Upload
amazon-web-services-japan
View
41.158
Download
3
Embed Size (px)
Citation preview
AWSのセキュリティとコンプライアンス
2012.11.19
アジェンダ
• AWSにおけるセキュリティ概要
• 主要なセキュリティ概念
• 認定・認証
• AWSのセキュリティ機能
認定 & 認証評価
SOX法
ISO 27001 認定
PCI DSS Level I 認定
HIPAA 準拠アーキテクチャ
SOC 1/SSAE 16/ISAE 3402/SOC 2
FISMA Low ATO
FISMA Moderate ATO 申請中
DIACAP MAC II Sensitive 申請中
FedRAMP
サービスヘルスダッシュボード
セキュリティ責任共有モデル
Customer/SI Partner/ISV がゲストOSレベルのセキュリティを制御(パッチ運用や運用管理含む)
パスワード管理やロールベースのアクセス権管理を含むアプリケーションレベルのセキュリティ
侵入検知/回避システムを含むホストベースのファイアウォール
データの暗号化/複合化. ハードウェアセキュリティモジュール
アクセス権の分離
物理セキュリティ
複数レベル、複数要素による制御されているアクセス環境
管理され必要性に応じたAWS従業員によるアクセス(必要最小限)
管理者層による管理者権限アクセス
管理ホストへの多要素認証で、管理され必要性に応じたアクセス
全てのアクセスのログ収集、監視、そしてレビュー
AWS管理者は顧客VMの中、アプリケーションとそのデータなどにはアクセスする権限をもたない
AWSにおけるクラウドセキュリティ概要
VMセキュリティ
Amazonアカウントへの多要素認証によるアクセス
インスタンスの隔離
• ハイパバイザレベルでの顧客によるファイアウォールの制御
• 隣にあるインスタンスへのアクセスは許可されていない
• 仮想ディスクの管理レイヤがアカウントのオーナだけがストレージ(EBS)にアクセスすることを保証する
APIコールの暗号化のためのエンドポイントのSSLサポート
ネットワークセキュリティ
セキュリティグループ設定によるインスタンス毎のファイアウォール設定が可能
トラフィックはプロトコル、サービスポート、ソースIPによって制限できる (個別IPまたはindividual IP or Classless Inter-Domain Routing (CIDR)ブロック).
Virtual Private Cloud (VPC) により、既存エンタープライズデータセンターと論理的に隔離された複数のAWSリソースとの間にIPSec VPNでアクセス可能
2011/11/13 update
主要セキュリティ概念
AWS Security Center (http://aws.amazon.com/security/)
• セキュリティホワイトペーパー
• 沢山のセキュリティとプライバシーの回答
• 半年に1度アップデート
• セキュリティ速報
• 顧客によるペネトレーションテストのポリシ
• セキュリティベストプラクティス
• AWS Identity & Access Management (AWS IAM)
• AWS Multi-Factor Authentication (AWS MFA)
Control
ownership. Who
owns which
controls for cloud-
deployed
infrastructure?
Auditing IT. How
can auditing of the
cloud provider be
accomplished?
Sarbanes-Oxley
compliance. How
is SOX
compliance
achieved if in-
scope systems
are deployed in
the cloud provider
environment?
HIPAA
compliance. Is it
possible to meet
HIPAA
certification
requirements
while deployed in
the cloud provider
environment?
GLBA compliance.
Is it possible to
meet GLBA
certification
requirements
while deployed in
the cloud provider
environment?
Federal regulation
compliance. Is it
possible for a US
Government
agency to be
compliant with
security and
privacy
regulations while
deployed in the
cloud provider
environment?
Data location.
Where does
customer data
reside?
E-Discovery. Does
the cloud provider
meet the
customer’s needs
to meet electronic
discovery
procedures and
requirements?
Data center tours.
Are data center
tours by
customers allowed
by the cloud
provider?
Third party
access. Are third
parties allowed
access to the
cloud provider
data centers?
Privileged actions.
Are privileged
actions monitored
and controlled?
Insider access.
Does the cloud
provider address
the threat of
inappropriate
insider access to
customer data and
applications?
Multi-tenancy. Is
customer
segregation
implemented
securely?
Hypervisor
vulnerabilities.
Has the cloud
provider
addressed known
hypervisor
vulnerabilities?
Vulnerability
management. Are
systems patched
appropriately?
Encryption. Do the
provided services
support
encryption?
Data ownership.
What are the
cloud provider’s
rights over
customer data?
Data isolation.
Does the cloud
provider
adequately isolate
customer data?
Composite
services. Does the
cloud provider
layer its service
with other
providers’ cloud
services?
Physical and
environmental
controls. Are
these controls
operated by the
cloud provider
specified?
Client-side
protection. Does
the cloud provider
allow customers to
secure and
manage access
from clients, such
as PC and mobile
devices?
Server security.
Does the cloud
provider allow
customers to
secure their virtual
servers?
Identity and
Access
Management.
Does the service
include IAM
capabilities?
Scheduled
maintenance
outages. Does the
provider specify
when systems will
be brought down
for maintenance?
Capability to
scale. Does the
provider allow
customers to
scale beyond the
original
agreement?
Service
availability. Does
the provider
commit to a high
level of
availability?
Distributed Denial
Of Service (DDoS)
attacks. How does
the provider
protect their
service against
DDoS attacks?
Data portability.
Can the data
stored with a
service provider
be exported by
customer request?
Service provider
business
continuity. Does
the service
provider operate a
business
continuity
program?
Customer
business
continuity. Does
the service
provider allow
customers to
implement a
business
continuity plan?
Data durability.
Does the service
specify data
durability?
Backups. Does
the service
provide backups
to tapes?
Price increases.
Will the service
provider raise
prices
unexpectedly?
Sustainability.
Does the service
provider company
have long term
sustainability
potential?
共有責任モデル
• ファシリティ
• 物理セキュリティ
• 物理インフラストラクチャ
• ネットワークインフラストラクチャ
• 仮想インフラストラクチャ
AWS Customer • OS
• アプリケーション
• セキュリティグループ
• OSファイアウォール
• ネットワーク設定
• アカウント管理
• アカウントごとのユーザとグループの作成
• セキュリティクレデンシャル
• アクセスキー
• ログイン/パスワード
• 多要素認証デバイス(オプション)
• AWS APIを使ったポリシーコントロールアクセス
• API コールは以下のサインどちらかが必須:
• X.509 certificate
• シークレットキー
• 幾つかのサービスではより厳格なインテグレーション
• S3: オブジェクト及びバケット毎のポリシー設定
• Simple DB: ドメイン
• AWSマネージメントコンソールのユーザログオンサポート
• OSやアプリケーションレベルのログインではない。
• LDAP, Active Directory/ADFS, etc...
AWS Identity and Access Management (IAM)
多要素認証デバイスによるセキュリティ強化
• Eメールアドレスとパスワードを乗っ取った第3者のなりすましによるアクセスの拒否に効果あり
• アカウント情報への追加の認証機能
• 以下のアカウントを使用可能
– マスターアカウント
– IAM ユーザ
• 下記サービスで動作
– AWSマネージメントコンソール
– AWSポータル上のキーのページ
– S3 (Secure Delete)
AWSは”継続的可用性”をビルトインしたプラットフォーム
• 全てのサイトは常時稼働できるよう設計
• DR用のDCではなく常に稼働できる構成
• ゾーンも同様の標準で管理
• 最高レベルのインフラ設計
– 各ゾーンは冗長化されたティア1のISPプロバイダを使用
– 柔軟性のある堅牢なネットワークインフラ
– スケーラブルで耐障害性のあるサービス
認定・認証
レポート、認定、第三者認証
• 原点は責任共有モデル
• AWSの環境下では:
– SSAE 16/ISAE 3402基準、SOC1レポート
– SOC2レポート
– ISO 27001 Certification
– PCI DSS Level 1 Service Provider
• 顧客は下記コンプライアンス準拠のアプリケーションをデプロイ可能です:
– Sarbanes-Oxley (SOX) 法
– FISMA (US政府関係)
– HIPAA (医療関係)
– ASP・SaaS安全・信頼性に係る情報開示認定制度(日本総務省)
SSAE16/ISAE3402 SOC1レポート
• 外部委託先の内部統制検証で使用される基準は、評価の対象期間の最終日が2011年6月15日以降のものより、SAS70から切り替わりSSAE16/ISAE3402を適用。
• AWSの内部統制に関する保証報告書。 • AWSの各サービスにおけるセキュリティ、変更管理、運用等の情報を保証報告書という形式でお客様に提供
• NDAベースでSOC1レポートをご提示可能
SOC2レポート
• 受託会社の財務報告以外の要望に応えるための報告書 • システムのセキュリティ、可用性、処理の完全性/整合性、機密保持、プライバシー等に関する内部統制情報に関する内容を含む
• Trustサービスの基準に従って客観的に評価
• お客様にAWSのセキュリティに関して透明性をもたらす内容。
• NDAベースでSOC2レポートをご提示可能
ISO 27001認定
• ISO 27002 ベストプラクティスガイダンス準拠
• AWSのInformation Security Management System (ISMS)をカバー
• 全リージョン含む
• アップデートはこちらをご覧ください。 – http://aws.amazon.com/security/iso-27001-certification-
faqs/
PCI DSS Level1 Service Provider
• PCI DSS 2.0 コンプライアンス準拠
• コアなインフラストラクチャとサービスをカバー
– EC2, EBS, S3, VPC, RDS, ELB, IAM
• 標準で、特に変更のない設定を使用して認定
• 認定セキュリティ評価機関(QSA)のタスクを利用
• AWSはビジネスでの利用が可能で、 Qualified Incident Response Assessors (QIRA)として設計
– フォレンジック調査をサポートする事が可能
• 全てのリージョンで認定
• アップデートはこちらをご覧ください。 – http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/
CSA Consensus Assesments Initiative Questionnaire
• CSA Consensus Assessments Initiative Questionnaire には、クラウド使用者およびクラウド監査人がクラウドプロバイダに要求すると CSA が想定している質問を記載。クラウドプロバイダの選択やセキュリティの評価など、幅広い用途に使用可能。
• セキュリティ、統制、およびプロセスに関する一連の質問にAWSは回答済み。
*CSAの詳細はhttp://aws.amazon.com/jp/security/ AWS リスクとコンプライアンスのホワイトペーパーを参照
AWSは業界の認定・認証を継続的に取得していきます
• どのような認定・認証が御社にとって重要でしょうか?
• どの程度のインパクトがあるものでしょうか?
• お客様の声を聞かせてください。
AWSにおける
セキュリティ機能
データセンターにおける物理セキュリティ
• Amazonは数年間にわたり、大規模なデータセンターを構築してきました
• 重要な特性:
– 一見してそれとわからない外観
– 周囲の厳重な制御
– 物理アクセスの厳密なコントロール
– 2要素認証を2回以上
• 完全管理された、必要性に基づくアクセス
• 全てのアクセスはロギングされ、レビュー
• 職務の分離
– 物理アクセス可能な従業員は論理権限にアクセス不可
• アベイラビリティゾーンへのマップ
障害の分離と地理的多様性
EUリージョン
アベイラビリティゾーンA
アベイラビリティゾーンB
USイーストリージョン
アベイラビリティゾーンA
アベイラビリティゾーンC
アベイラビリティゾーンB
Amazon CloudWatch
Note: 上記図はコンセプト図です。リージョンやアベイラビリィゾーンは増える可能性があります。詳細はhttp://aws.amazon.com/jp/about-aws/globalinfrastructure/ をご覧ください
シンガポールリージョン
vailability Zone A
Availability Zone B
アベイラビリティゾーンD 東京リージョン
アベイラビリティゾーンA
アベイラビリティゾーンB
アベイラビリティゾーンA
アベイラビリティゾーンB
アベイラビリティゾーンC
データバックアップとレプリケーション
• AWSでは従来のバックアップよりもレプリケーションが望ましい – 従来のバックアップソリューションを頻繁に行うのと同等
– 高いデータ可用性とスループット
• 複数エッジロケーションでデータを利用可能にする – CloudFront, Route 53
• 単一リージョン内での複数アベイラビリティゾーンでデータはレプリケート – S3, S3 RRS, SimpleDB, SQS, RDS Multi-AZ, EBS Snapshots
• データは単一アベイラビリティゾーン内の複数物理ロケーションへレプリケート – EBS, RDS
• データは自動的にレプリケーションしない – EC2 ephemeral drives (a.k.a. instance store)
EC2セキュリティ
• ホストオペレーティングシステム
– AWS管理者の拠点ホストからの個別のSSHキーによるログイン
– 全てのアクセスはロギングされ、監査されます
• ゲスト (a.k.a. インスタンス) オペレーティングシステム
– 顧客による完全なコントロール (顧客がルート/管理者権限を保有)
– AWS管理者はログイン不可能
– 顧客が生成したいキーペアを使用
• ステートフルファイアウォール
– 必要なインバウンドだけ許可。デフォルトは全て拒否
– セキュリティグループにより顧客が完全に設定をコントロール可能
Firewall
Physical Interfaces
Amazon EC2のインスタンス独立性
Customer 1 Customer 2 Customer n
Hypervisor
…
… Virtual Interfaces
Customer 1 Security Groups
Customer 2 Security Groups
Customer n Security Groups
仮想メモリとローカルディスク
• 適切なディスク管理により、あるインスタンスがその他のインスタンスのデータを読み取るのを防護
• ディスクは作成されるたびにワイプされる
• ディスクはお客様が望めばセキュリティレベルを向上させるために暗号化する事が可能
ネットワークトラフィックフローセキュリティ
• セキュリティグループ - インバウンドのトラフィックはプロトコル、ポート、セキュリティグループにより明示的に指定
- VPCはアウトバウンドのフィルタも追加する
• ネットワークアクセスコントロールリスト (ACLs): VPC はインバウンドとアウトバウンドのステートレスフィルタも追加する
• OSファイアウォール(iptables等) も使用される
-セキュリティレイヤはユーザが完璧に制御可能
-個別ホスト毎に細かいアクセス制御が可能
-ネットワークイベントのログ
Encrypted File System
Encrypted Swap File
OS
Fire
wal
l
Am
azo
n S
ecu
rity
Gro
up
s
Inbound Traffic
多階層セキュリティアプローチの実例
Web Tier
Application Tier
Database Tier
80または443ポートのみをインターネット側で受け付ける
エンジニアがAP層にsshアクセスを行う
その他のインターネット経由の アクセスは全てデフォルトで拒否
オンプレミスDBとの同期 Amazon EC2 Security Group Firewall
ネットワークセキュリティの考慮点 • Distributed Denial of Service (DDoS)対策:
– 効果的な標準的な緩和対策を措置
• Man in the Middle (MITM)対策: – 全エンドポイントはSSLによって保護 – 起動時に新しいEC2ホストキーを生成
• IPスプーフィング:
– ホストOSレベルで全て遮断
• 許可されていないポートスキャニング: – AWS ユーザ規約に違反 – 検出し、停止、およびブロック – インバウンドのポートは標準でブロック
• パケットのスニフィング:
– プロミスキャスモードはオフに – ハイパーバイザ―レベルで防御
設定管理
• 全ての変更は認証され、ロギングされ、テストされ、承認されて、ドキュメント化されます。
• ほとんどの変更は上記のような方法で行われるので、顧客には影響しません
• 何か影響がありそうな場合には、AWSは電子メール、AWSサービスヘルスダッシュボード(http://status.aws.amazon.com/)などで顧客にお知らせいたします
ネットワークトラフィックの機密性
Amazon EC2 インスタンス
• 機密情報は暗号化による制御などが望ましい • 企業ネットワークとの連携でのトラフィックは業界標準のVPNトンネルを使うべき
企業 ネットワーク
インターネット トラフィック
VPN
Amazon Virtual Private Cloud (VPC)
• 論理的に分離された環境をAmazonの高度にスケールするインフラストラクチャの上で構築可能
• 1つかそれ以上のパブリックまたはプライベートなサブネットにプライベートIPのアドレスレンジを指定できる
• ネットワークアクセスコントロールリストを使う事で、個別のサブネットに対してのインバウンドとアウトバウンドへINとOUTのアクセスを制御可能
• セキュリティグループを使ったステートフルなインバウンドとアウトバウンドのフィルタを使ってインスタンスを防御
• ElasticIPをVPC内のインスタンスに指定可能で、そうするとインターネットから直接アクセス可能になる
• 業界標準の暗号化されたVPNコネクションにより、VPCと御社のオンプレミスインフラストラクチャをブリッジ出来る
• ウィザードにより、4つの異なるトポロジーから簡単に選択可能
VPC - Dedicated Instances
• 物理ホストを他の顧客とシェアしない事を保証する新しいオプション
• $10/時間を各リージョン毎に費用+微弱ながらの従量課金
• ある特定インスタンスのみをDedicated Instanceに指定可能
• VPC全体をDedicatedにする事もオプションで可能
Amazon S3 セキュリティ
• バケット及びオブジェクト単位でのアクセス制御:
– 読み込み、書き込み、フル権限
• オーナが全ての権限を持ち
• 顧客による暗号化 • SSLもサポートしています
• 堅牢性 99.999999999%
• 可用性 99.99%
• バージョン機能 (MFA Delete)
• 詳細なアクセスロギング
ストレージデバイスの廃棄方法と残存データのリスクへの対応
• ストレージデバイスが製品寿命に達した場合に、顧客データが 権限のない人々に流出しないようにする 廃棄プロセスを保持
• DoD 5220.22-M(「National Industrial Security Program Operating Manual(国立産業セキュリティプログラム作業マニュアル)」) または NIST 800-88(「Guidelines for Media Sanitization(メディア衛生のための ガイドライン)」)に詳細が記載されている技術を用いる。
• 上記の手順を用い ハードウェアデバイスが廃棄できない場合、 デバイスは業界標準の慣行に従って、消磁 するか、物理的に破壊
セキュリティとコンプライアンスまとめ
• AWSにおいてセキュリティとコンプライアンスは常にトッププライオリティ – 必要なセキュリティ措置は今後も継続的にカバー
– 認定・認証で必要なものは全て取得
• エンタープライズレベルの顧客に対応可能なセキュリティレベル – 今後も継続的にセキュリティレベルを改善
– 顧客へセキュリティレベル・アセス方法を開示
AWSで提供しているホワイトペーパー
• AWSセキュリティプロセス概要
– http://d36cz9buwru1tt.cloudfront.net/pdf/AWS_Security_Whitepaper.pdf
• AWSリスクとコンプライアンス
– http://d36cz9buwru1tt.cloudfront.net/AWS_Risk_and_Compliance_Whitepaper.pdf
42