AWS Cloud Roadshow 2016 今こそクラウド、あなたの都市で。これで安心！セキュリティとネットワーク Getting ...roadshow.awseventsjapan.com/doc/crs-sapporo-aws-02.pdf ·

AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。

これで安心！セキュリティとネットワーク

～ Getting Started with AWS Security and

Networking ～アマゾンウェブサービスジャパン株式会社

セキュリティソリューションアーキテクト

桐山隼人


自己紹介

2

• 氏名: 桐山隼人

• 略歴

– 組み込み/セキュリティ系開発エンジニア@IT企業ソフトウェア開発研究所

– 技術営業@セキュリティ企業

– ソリューションアーキテクト@AWS

• 好きなAWSサービス

– Amazon Inspector@hkiriyam1


本日は、AWS移行を促進した“２つの安心”についてお話します

仮想プライベートクラウドAmazon Virtual

Private Cloud(VPC)

利用者の認証とアクセスポリシー管理

AWSIdentity and Access Management (IAM)


AWS Identity and Access Management (IAM)AWS操作をよりセキュアに行うための認証・認可の仕組み

AWS利用者の認証と、アクセスポリシーを管理AWS操作のためのグループ・ユーザー・ロールの作成が可能

グループ、ユーザーごとに、実行出来る操作を規定できる

ユーザーごとに認証情報の設定が可能

開発チーム運用チーム


IAMの主機能

権限設定：◦必要な権限を必要な人・グループだけに

監査：◦証拠保全と追跡支援

認証：◦様々な利用者認証方法


IAM動作イメージAPIやマネジメントコンソールからのアクセスに対して、権限をチェック

全操作可能

S3はすべて操作可能

S3参照だけ


IAMポリシーの記述

{"Effect": "Allow","Action": [" s3:ListBuckets "," s3:Get ＊ "

], "Resource": ["arn:aws:s3:::mybucket"

],"Condition": {"IpAddress": {"aws:SourceIP": [“176.32.92.49/32“]

}}

}

Effect:許可の設定なら”Allow”拒否の設定なら”Deny”

Action:対象となるAWS操作を指定

Resource:対象となるAWSリソースを指定

Condition:このアクセス制御が有効になる条件の設定

この例の場合、「アクセス元IPが176.32.92.49だったら、S3のListBucketsとGet系の操作を許可する」という意味


AWS CloudTrailによるAPIコール記録

ユーザによるAPIの発行

各リージョンのAWSリソースの呼び出し

CloudTrailがAPIコールをロ

ギング

ユーザの操作を管理


AWS Configによる変更履歴、構成変更を管理・確認


IAM認証情報レポート（Credential Report）

ユーザーの作成日時

最後にパスワードが使われた日時

最後にパスワードが変更された日時

MFAを利用しているか

Access KeyがActiveか

Access Keyのローテートした日時

Access Keyを最後に使用した日時

Access Keyを最後に利用したAWSサービス

証明書はActiveか

証明書のローテートした日時


IAMによる認証


AWSルートアカウントは利用せずIAMユーザを利用

AWSルートアカウントはIAMで設定するアクセスポリシーが適用されない強力なアカウント

十分に強度の強いパスワードを設定した上、通常は極力利用しないような運用を

IAMユーザーはAWS操作用のユーザーと心得る

強力なパスワードポリシーを強制可能

AWSサービスへのアクセスポリシー管理可能

IAMユーザをまとめるIAMグループ


強力なパスワードポリシーの利用AWSの管理コンソールにログインするために必要となるIAMユーザーのパスワードには以下のようなパスワードポリシーを持たせることが可能

• パスワードの最小文字数

• 大文字英字の要求

• 小文字英字の要求

• 数字を含めることの要求

• 特殊文字の要求

• ユーザー自身によるパスワード変更の許可

• パスワードの有効期限の設定

• パスワードの再利用の制限

• パスワードが期限切れになった場合管理者によるリセットの有無

AWSルートアカウントには適用されないことに注意


MFAによるアカウントの保護

ハードウェアソフトウェア（認証情報コピー不可）

ソフトウェア（認証情報コピー可能）

SMS（プレビュー）

製品 Gemalto Google Authenticator Authy N/A

形式トークン型／（カード型）スマホアプリスマホアプリモバイルデバイスのSMS

コスト有料（2,000円程度）無料無料 SMS料金/データ料金

保管持ち歩くことも可能だし、金庫などに厳重に保管も可能

常に持ち歩く常に持ち歩く常に持ち歩く

交換紛失／故障時は、再登録交換時のために予備の準備が必要

紛失／機種変更時は、再登録機種交換時に認証情報を引き継げる

同じ電話番号を持つ新しいモバイルフォンを取得する場合支障なし

ルートアカウント

サポートサポートサポートサポートしていない

IAMユーザー

サポートサポートサポートサポート


認証情報の定期的なローテーション IAMユーザーのパスワードやAccess Key/Secret

Access Keyは定期的にローテーションすることを推奨

認証情報の利用状況はIAMのCredential Report機能で確認可能ユーザーの作成日時

最後にパスワードが使われた日時

最後にパスワードが変更された日時

MFAを利用しているか

Access KeyがActiveか

Access Keyのローテートした日時

Access Keyを最後に使用した日時

Access Keyを最後に利用したAWSサービス

証明書はActiveか

証明書のローテートした日時


IAM認証情報レポート（Credential Report）

パスワードやアクセスキーのローテーションなど、認証情報ライフサイクルの要件の結果を監査可能

認証情報レポートは、カンマ区切り値（CSV）ファイルとしてダウンロード可能

Credential Report

https://blogs.aws.amazon.com/security/post/Tx1GZCHQC7LR3UT/New-in-IAM-Quickly-Identify-When-an-Access-Key-Was-Last-Used

レポートは4時間毎に一回生成可能

https://blogs.aws.amazon.com/security/post/Tx1GZCHQC7LR3UT/New-in-IAM-Quickly-Identify-When-an-Access-Key-Was-Last-Used


IAMユーザーのパスワードローテーション

• IAMのパスワードポリシーでユーザーがパスワードを変更できるように設定

• パスワードに有効期限を設けることで利用者が自分で定期的にパスワードをローテーションできるようにする


5

OpenID Connect または SAML 2.0 のサポート

Enterprise (Identity Provider) AWS (Service Provider)

AWS Resources

Client Application

Active Directory

Identityprovider

4

AssumeRoleWithSAMLの呼び出し

2

S3 Bucket with Objects

Amazon DynamoDB

Amazon EC2

IdPに認証情報のリクエスト

1

認証応答の受け取り

3

APP認証情報を用いたAPIの呼び出し

https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_providers_saml.html

一時的な認証情報の受け渡し

6

SAML2.0の例

https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_providers_saml.html


Federation/SSOを提供するパートナーソリューション

http://aws.amazon.com/jp/iam/partners/

http://aws.amazon.com/jp/iam/partners/


仮想プライベートクラウド(VPC)


Amazon VPC

AWS上にプライベートネットワーク空間を構築◦社内からVPN接続して閉域網でAWS利用

◦仮想ネットワーキング

オンプレミスとのハイブリッドが簡単に実現◦AWSが社内インフラの一部に見える

社内システム、ソフトウェアの移行がより容易に


AWS上にプライベートのアドレス空間を作成し、お客様のインフラをAWS上に延長する

リージョン

EC2

VPCイントラ

プライベートサブネット

パブリックサブネット

Internet

VPC内に分離したサブネットを自由に作成

VPN接続専用線

ゲートウェイ

VPN

DX


VPCを利用したWebシステム構成例

VPC 10.0.0.0/16

Availability Zone - B

Availability Zone - A

Internet

Anyone

Internet Gateway

Public Subnet 10.0.0.0/24

Public Subnet 10.0.2.0/24

Private Subnet 10.0.1.0/24

Private Subnet 10.0.3.0/24

Amazon RDS

Amazon RDS

Web10.0.0.7

EC2 Instance

EC2 Instance

Web10.0.2.7

Corporate data

center

DB

DB

インターネットからもアクセス可能

DC/社内からのみアクセス可能

VPN接続専用線

AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。目的別にVPCを使ったシステム例

営業支援

会計

BI

文書管理

利用者

管理者

AD

監視ソフト

DNS

1 VPC

1 VPC

1 VPC

1 VPC

1 VPC

IGW

VGW

VGW

VGW

IGW

VGW

VGW

Router#1

Router#2

FW

SSO

NTP

既存環境

OracleWIN

人事

WIN

WIN Oracle

BI DB

WIN Proxy


ネットワークアクセスコントロールリスト(NACL)

アベイラビリティゾーン A アベイラビリティゾーン B

VPC Subnet with ACL VPC Subnet with ACL

• サブネット毎に設定するフィルタ機能

• インバウンド、アウトバウンドをサブネット毎に制御

• ステートレス

• デフォルトはすべて許可

http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_ACLs.html

NACL-in

NACL-out

ステートレスなのでinに対するout, outに対するinも設定が必要

http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_ACLs.html


セキュリティグループ(SG)

アベイラビリティゾーン A アベイラビリティゾーン B

Subnet: 10.0.1.0/24

VPC CIDR: 10.0.0.0/16

Subnet: 10.0.10.0/24

• EC2インスタンスの仮想ファイアウォールとして機能

• ステートフル

• デフォルトですべての通信は禁止

• 複数のEC2インスタンスをグルーピング可能

http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html

SG-in

SG-out

ステートフルなのでinに対するout, outに対するinは設定しなくてOK

http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html


VPCセキュリティコントロール

Route Table

Route Table

インターネットゲートウェイ

バーチャルプライベートゲートウェイ

Virtual Router

VPC 10.1.0.0/16


ネットワークACL vs セキュリティグループネットワークACL セキュリティグループ

サブネットレベルで効果サーバレベルで効果

Allow/DenyをIN・OUTで指定可能(ブラックリスト型)

AllowのみをIN・OUTで指定可能(ホワイトリスト型)

ステートレスなので、戻りのトラフィックも明示的に許可設定する

ステートフルなので、戻りのトラフィックを考慮しなくてよい

番号の順序通りに適用全てのルールを適用

サブネット内のすべてのインスタンスがACLの管理下に入る

インスタンス管理者がセキュリティグループを適用すればその管理下になる


その他のセキュリティ対策例

29

ホスト型のIDS/IPS(TrendMicro DeepSecurity, etc…)

WAF on EC2(Imperva, SOPHOS, etc…)AWS WAF

VPC以外のサービスはパートナー製品を利用


AWS Direct Connect


AWS Direct Connectとは？

お客様

AWS CloudEC2, S3などのPublic サービス

Amazon VPC

相互接続ポイント

専用線サービス

AWSとお客様設備（データセンター、オフィス、またはコロケーション）

の間に専用線を利用したプライベート接続を提供するサービス


インターネットVPN 専用線

コスト安価なベストエフォート回線も利用可能

キャリアの専用線サービスの契約が必要

リードタイム即時~ 数週間~

帯域暗号化のオーバーヘッドにより制限あり ~10Gbps

品質インターネットベースのため経路上のネットワーク状態の影響を受ける

キャリアにより高い品質が保証されている

障害時の切り分け

インターネットベースのため自社で保持している範囲以外での切り分けが難しい

エンドツーエンドでどの経路を利用しているか把握できているため比較的容易

インターネットVPN vs 専用線


まとめ


オンプレミスと同等以上の環境を構築可能

東京リージョン

EC2 Instance

EC2 Instance

社内NW(オンプレ)

プライベートサブネット

パブリックサブネット

NAT

InternetGWDirect

Connect

Internet

VPN

VirtualGW

Internet

EC2 Instance 従来と同等の

セキュリティ対策

従来オンプレミス環境と同様にプライベートIPのみで接続外部からのアクセスはネットワークレベルで遮断

IAMによる認証、権限設定、監査


“２つの安心”

仮想プライベートクラウドAmazon Virtual

Private Cloud(VPC)

利用者の認証とアクセスポリシー管理

AWSIdentity and Access Management (IAM)


ありがとうございました

Documents

AWS Cloud Roadshow 2016 今こそクラウド、あなたの都市で。 これで安心！ セキュリティとネットワーク Getting ...roadshow.awseventsjapan.com/doc/crs-sapporo-aws-02.pdf ·

AWS Cloud Roadshow 2016 今こそクラウド、あなたの都市で。これで安心！セキュリティとネットワーク Getting ...roadshow.awseventsjapan.com/doc/crs-sapporo-aws-02.pdf ·