Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
アマゾンウェブサービスジャパン株式会社
2016年12月19日
AWSにおけるセキュリティとコンプライアンス
アジェンダ
AWSのセキュリティと責任共有モデルAWSの責任範囲とお客様の責任範囲
AWSの責任範囲グローバルインフラストラクチャーとアベイラビリティゾーン
データセンタセキュリティ
ネットワークセキュリティ
論理セキュリティ
データ・ストレージセキュリティ
各種規制とコンプライアンス
お客様の責任範囲お客様の責任範囲
各種AWSによるマネージドセキュリティツール
最新のトレンド・まとめ
Amazon Web Services (AWS)
アマゾンのイノベーションからうまれたビジネス
過去10年間で59回の値下げ(2016年12月現在)
世界に広がAWSのインフラ
イノベーションのペース
AWS 基本サービス
コンピュート ストレージ データベース ネットワーク
AWSグローバルインフラストラクチャ
リージョン
アベイラビリティゾーン エッジ
ロケーション
ネットワークセキュリティ
サーバー(OS)セキュリティ
お客様のアプリケーション・コンテンツ
データセキュリティ
アクセスコントロール
AWSがクラウドのセキュリティを担当
お客様
AWS
AWS責任共有モデル
お客様自身でクラウドをコントロール可能
AWS 基本サービス
コンピュート ストレージ データベース ネットワーク
AWSグローバルインフラストラクチャ
リージョン
アベイラビリティゾーン エッジ
ロケーション
ネットワークセキュリティ
サーバー(OS)セキュリティ
お客様のアプリケーション・コンテンツ
データセキュリティ
アクセスコントロール
お客様
AWS
この部分の統制に関してお客様は AWSにお任せいただけます
AWS責任共有モデル
お客様自身でクラウドをコントロール可能
AWS責任共有モデル https://aws.amazon.com/jp/compliance/shared-responsibility-model/
AWSセキュリティベストプラクティス https://d0.awsstatic.com/International/ja_JP/Whitepapers/AWS_Security_Best_Practices.pdf
AWSの責任共有モデルについては、AWSコンプライアンスWebサイトや「AWSセキュリティベストプラクティス」ホワイトペーパーでも解説しています。
AWS責任共有モデル
AWS 基本サービス
コンピュート ストレージ データベース ネットワーク
AWSグローバルインフラストラクチャ
リージョン
アベイラビリティゾーン エッジ
ロケーション
ネットワークセキュリティ
サーバー(OS)セキュリティ
お客様のアプリケーション・コンテンツ
お客様自身でクラウドをコントロール可能
データセキュリティ
アクセスコントロール
お客様
AWSの責任範囲
AWS責任共有モデル
AWSは、お客様が使用するAWS サービスに関連した統制およびそれらの統制がどのように検証されているかをお客様にご理解頂くことを支援致します。
業界における認定と独立したサードパーティによる証明を取得します
AWS のセキュリティと統制に関する情報をホワイトペーパーおよびウェブサイト上で公表します
NDA に従いAWS のお客様に証明書レポートなどの文書を直接提供します
AWSの責任範囲
AWSの責任範囲
北カリフォルニア
US-WEST (N. California)
US-WEST (Oregon)
オレゴン
US-EAST (Virginia)
SOUTH AMERICA (Sao Paulo)
サンパウロ
EU-WEST (Ireland)
EU-CENTRAL (Frankfurt)
ASIA PAC (Tokyo)
ASIA PAC (Singapore)
ASIA PAC (Sydney)
シンガポール
シドニー
東京
北京
ASIA PAC (Seoul)
Beijing
ASIA PAC (Mumbai)
ムンバイ
US-EAST (Ohio)
GOV CLOUD (US)
Gov Cloud
リージョンやアベイラビリィゾーンは随時増えていきます。 詳細はhttp://aws.amazon.com/jp/about-aws/globalinfrastructure/ をご覧ください。
AWSグローバルインフラストラクチャー
バージニア
オハイオ アイルランド
フランクフルト ソウル
アベイラビリティゾーン
アベイラビリティ・ゾーンによる可用性
US-WEST (N. California) EU-WEST (Ireland)
ASIA PAC (Tokyo)
ASIA PAC (Singapore)
US-WEST (Oregon)
SOUTH AMERICA (Sao Paulo)
US-EAST (Virginia)
GOV CLOUD
ASIA PAC (Sydney)
EU-CENTRAL (Frankfurt) ASIA PAC (Seoul)
Beijing
リージョンやアベイラビリィゾーンは随時増えていきます。 詳細はhttp://aws.amazon.com/jp/about-aws/globalinfrastructure/ をご覧ください。
AWSの「アベイラビリティゾーン(AZ)」は下図の様に複数のデータセンターによって構成され、耐障害性を意識した設計となっています。
AZ
AZ
AZ AZ
Transit
Transit
AZ
1データセンターあたり5万台以上のサーバ
42のアベイライビリティゾーン
どのリージョンにも2つ以上のAZ
AZは1つ以上のDCから構成• 1つのDCは2つのAZに所属しない
• 6つのDCを持つAZも存在
DC間は通常¼ msのレイテンシー• AZ内のDC間接続は気にしなくても良い
• 低レイテンシー/フル帯域で利用可能
アベイラビリティ・ゾーン(AZ)について
データセンター間はAWSの専用線で接続
EU (Ireland)
AvailabilityZone A
AvailabilityZone C
AvailabilityZone B
Asia Pacific (Tokyo)
AvailabilityZone A
AvailabilityZone B
US West (Oregon)
AvailabilityZone A
AvailabilityZone B
US West(Northern California)
AvailabilityZone A
AvailabilityZone B
Asia Pacific (Singapore)
AvailabilityZone A
AvailabilityZone B
Asia Pacific (Sidney)
AvailabilityZone A
AvailabilityZone B
South America (Sao Paulo)
AvailabilityZone A
AvailabilityZone B
US East (Northern Virginia)
AvailabilityZone D
AvailabilityZone C
AvailabilityZone B
AvailabilityZone A
EU (Frankfurt)
AvailabilityZone A
AvailabilityZone B
AvailabilityZone C
Asia Pacific (Seoul)
AvailabilityZone A
AvailabilityZone B
Beijing
AvailabilityZone A
AvailabilityZone B
US Gov Cloud
AvailabilityZone A
AvailabilityZone B
DCレベルの障害対策
リージョンやアベイラビリィゾーンは随時増えていきます。 詳細はhttp://aws.amazon.com/jp/about-aws/globalinfrastructure/ をご覧ください。
複数DC設置におけるAWSのポリシー 単一のデータセンタレベル障害でもシステムは継続可能 物理的に離れたデータセンター群、洪水を考慮 地盤が安定している場所 無停止電源(UPS)、バックアップ電源、異なる電源供給元 冗長化されたTier-1ネットワーク
場所の秘匿性
• 周囲の厳重なセキュリティ
• 監視カメラや侵入検知システム、24時間常駐の専門の保安要員による物理アクセスの厳密なコントロール
• 完全管理された、必要性に基づくアクセス
• 2要素認証を2回以上で管理者がアクセス
全てのアクセスは記録され、監査対象となる
データセンターの物理セキュリティ
AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf
Q. AWSのデータセンターの入退室管理について教えてくださいA. AWS は、データセンターへのアクセスのための多要素認証メカニズム、および権限のある関係者のみが
AWSデータセンターに入場するための追加のセキュリティメカニズムを利用しています。権限のある関係者は、施設への入場および許可された部屋への入室には、カードリーダーでバッジを使用し一意の PIN を入力する必要 があります。AWSは、データセンターへの長期にわたるアクセスを承認された従業員に対し、写真付きの身分証を兼ねた電子アクセスカードを発行します。AWSはデータセンターへのアクセスのための多要素認証メカニズムおよび権限のある関係者のみがAWSデータセンターに入場するための追加のセキュリティメカニズムを利用しています。権限のある関係者は、施設への入場および許可された部屋への入室には、カードリーダーでバッジを使用し一意の PIN を入力する必要 があります。
Q. 監視カメラによる監視は実施していますでしょうかA. 物理的アクセスは、建物の周辺および入り口において、監視カメラや侵入検知システムなどの電子的手段を
用いる専門の保安要員により、厳重に管理されています。サーバー設置箇所への物理アクセスポイントはAWSデータセンター物理セキュリティポリシーの規定により、CCTV(Closed Circuit Television Camera)を使用して録画されています。録画は90日間保存されます。ただし、法的または契約義務により30日間に制限される場合もあります。
Q. オペレーションルーム以外から、サーバにアクセスできないような対策が講じられていますでしょうかA. 管理プレーンにアクセスする必要のある作業を担当する管理者は、多要素認証を使用して専用の管理ホストに
アクセスする必要があります。
よくある質問 (データセンターセキュリティ編)
Q. AWSのデータセンターの立地について教えてくださいA. AWSのデータセンターは、環境リスクに対する物理的な保護を組み込んでいます。AWSのサービスは
複数の地理的リージョン内および複数のアベイラビリティーゾーンにわたってデータを保存する柔軟性をお客様に提供しています。お客様は、複数のリージョンやアベイラビリティゾーンを活用可能な利点を考慮し、AWSの利用について設計する必要があります。詳細については、ISO 27001規格の附属書A ドメイン9.1およびAWS SOC 1 Type IIレポートを参照してください。
Q. AWSのデータセンターの電気設備について教えてくださいA. 個別の無停電電源装置(UPS)やオンサイトのバックアップ生成施設に加え、シングルポイントの障害の
可能性を減らすために、別々の電力供給施設から異なる配管網を経由して、個別に電力供給を行っています。これらはすべて、冗長的に複数の Tier-1 プロバイダーに接続されています。顧客は AWS の使用量を計画しながら、複数のリージョンやアベイラビリティーゾーンを利用する必要があります。複数のアベイラビリティーゾーンにアプリケーションを配信することによって、自然災害やシステム障害などほとんどの障害モードに対して、その可用性を保つことができます。データセンターの電力システムは完全に冗長性をもち、運用に影響を与えることなく管理が可能となっています。1日24時間体制で、年中無休で稼動しています。施設内で重要かつ不可欠な負荷に対応するために、電力障害時には無停電電源装置(UPS)がパックアップ電力を供給しています。データセンターは、発電機を使用して施設全体のバックアップ電力を供給しています。
よくある質問 (データセンターセキュリティ編)
Q. AWSのデータセンターの空調について教えてくださいA. 空調と温度サーバーその他のハードウェアの運用温度を一定に保つために、空調制御が必要です。これに
よって過熱を防ぎ、サーバー停止の可能性を減らすことができます。データセンターは、大気の状態を最適なレベルに保つように設定されています。作業員とシステムが、温度と湿度を適切なレベルになるよう監視してコントロールしています。
Q. AWSのデータセンターの建物の耐震性について教えてくださいA. Amazonのデータセンターは最新式で、革新的で建築的かつ工学的アプローチを採用しています。Amazonは
大規模データセンターの設計、構築、運用において、長年の経験を有しています。この経験は、AWSプラットフォームとインフラストラクチャに活かされています。
Q. AWSのデータセンターの防災設備について教えてくださいA. 火災検出と鎮火自動火災検出および鎮火装置が取り付けられリスクを軽減しています。この火災検出システムは
全データセンター環境、機械的及び電気的インフラストラクチャースペース、冷却室および発電機設備室において煙検出センサーを使用しています。これらのエリアは、充水型、二重連結予作動式、またはガス式スプリンクラーシステムによって守られています。
よくある質問 (データセンターセキュリティ編)
Distributed Denial of Service (DDoS)対策
中間者攻撃対策
IPなりすまし対策
許可されていないポートスキャニング対策• AWSサービス利用規約違反に該当• 検出され、停止され、ブロックされる
パケットの盗聴対策• プロミスキャスモードは不許可• ハイパーバイザ―レベルで防御
ネットワークセキュリティ
AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf
ハイパーバイザー(ホストOS)
• 承認を受けたAWS管理者の拠点ホストからの個別のログイン
• 特別に設計、構築、設定された管理ホスト
• 多要素認証の利用
• 全てのアクセスをロギングし監査
• 作業完了後システムへの特権とアクセス権の削除
ゲストOS(EC2インスタンス)
• お客様による完全なコントロール
• 顧客が生成したキーペアを使用
論理的なセキュリティ
AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf
従業員の雇用
• 雇用前審査の一環として適用法令が認める範囲での犯罪歴の確認
• Amazonリーガルによる機密保持契約書の管理
• 従業員はアクセス権を付与される前に機密保持契約書に署名
• 入社時研修の一環として利用規定及びAmazon業務行動倫理規定への同意
アカウント管理
• 人事管理システムのプロセスの一環として、一意のユーザー IDを作成
• 最小権限の適用。最小権限を越えるアクセスには適切な認証
• 少なくとも四半期ごとのアカウントの確認
• 90日間アクティビティがないアカウントの自動的無効化
• 従業員の記録が人事システムから削除されると、アクセス権も自動的に削除
従業員・アカウントの管理
AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf
データの所有権と管理権はお客様に
データとサーバーを配置する物理的なリージョンはお客様が指定
AWS は、法令遵守または政府機関の要請によりやむをえない場合を除き、お客様のコンテンツを指定されたリージョンから移動しない
法令、または政府機関もしくは規制当局による有効かつ拘束力のある命令を遵守するために必要な場合を除き、お客様のコンテンツを開示することはない
そうすることが禁止されている場合または Amazon の製品もしくはサービスの利用に関連した違法行為の存在を明確に示すものがある場合を除き、お客様が開示からの保護を求められるようカスタマーコンテンツの開示に先立ってお客様に通知
AWSでは、S3、EBS、EC2 など、ほぼすべてのサービスについて、お客様が独自の暗号化メカニズムを使用することを許可(サーバーサイド暗号化、クライアントサイド暗号化、鍵の保管・管理方法等)
データセキュリティ
AWSデータプライバシーのよくある質問 http://aws.amazon.com/jp/compliance/data-privacy-faq/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf
上記の手順を用いハードウェアデバイスが廃棄できない場合、デバイスは業界標準の慣行に従って、消磁するか、物理的に破壊する
顧客データが 権限のない人々に流出しないようにするストレージ廃棄プロセスを保持
DoD 5220.22-M(「National Industrial Security Program Operating Manual(国立産業セキュリティプログラム作業マニュアル)」)
NIST 800-88(「Guidelines for Media Sanitization(メディア衛生のための ガイドライン)」)
ストレージの廃棄プロセス
AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf
AWSは主要な規制/標準 / ベストプラクティスに準拠
AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf
セキュリティ対応調査協力
システム構築・運用
調査・対応案検討
支援
2013年10月、FISC安全対策基準(第8追補版)へのAWSの準拠状況を調査した資料をSI/ISV 8社(現在は9社)が共同で調査して一般公開
AWSと利用者で責任分担することで、FISC安対基準を満たせるとの見解を一般公開http://aws.amazon.com/jp/aws-jp-fisclist/
サマリー版 詳細版
Amazon Web Services対応セキュリティリファレンス
FISC安全対策基準
設備:138項目運用:115項目技術: 53項目
各基準に対応 Amazon Web Services
各金融事業者のセキュリティ指針・監査指針
クラウドを活用したシステム
安心・安全かつ、機動性の高い金融サービスの実現
金融事業者(銀行、証券、保険等)
作成/更新
金融機関向け Amazon Web Services対応セキュリティリファレンス
SCSKISIDNRITISMKI
TrendMicro
CAC
セキュリティやコンプライアンスに関する多くの質問に対する回答• セキュリティ Whitepaper
• リスクとコンプライアンス Whitepaper
• セキュリティプロセス概要 Whitepaper
• “Security at Scale” whitepaper シリーズ
Security bulletins
侵入テスト申請フォーム
Securityベストプラクティス
詳しい情報のお問い合わせ先
AWSセキュリティセンターとAWSコンプライアンスaws.amazon.com/jp/securityaws.amazon.com/jp/compliance
AWS利用者のセキュリティ評価、チェックシートの回答等に利用
AWSの内部に関する統制状況は基本的にホワイトペーパーや、SOC1/2・PCI等の
NDAベースで提供している情報から評価
公開されている情報で直接的に確認項目に回答されていないものも、提供されている
情報によりリスクを評価いただくことで問題がないかどうか検討
または、多層的なコントロールを考えることでその確認項目に関するリスクを許容
できるものにできるか検討
それでも許容できないリスクが残る場合はAWSにご相談を
コンプライアンス情報の使いどころ
AWSのお客様がIT環境をサポートする既存の統制フレームワークにAWSを統合する際に役立つ情報を提供
AWS の統制の評価に関する基本的なアプローチについて説明し、統制環境の統合の際に役立つ情報を提供
内容• リスクとコンプライアンスの概要• AWS統制の評価と統合• AWSリスク及びコンプライアンスプログラム• AWS の報告、認定、およびサードパーティによる証明• コンプライアンスに関するよくある質問と AWS
• AWS へのお問い合わせ• 付録 A: CSA Consensus Assessments Initiative Questionnaire v1.1
• 付録 B: 米国映画協会(MPAA)コンテンツセキュリティモデルに対する AWS の準拠状況
• 付録 C: オーストラリア信号局 (ASD) のクラウドコンピューティングに関するセキュリティ上の考慮事項への AWS の準拠
• 付録 C: 用語集
リスクとコンプライアンスホワイトペーパー
これらの章に書かれている内容がAWSにどのような統制がありどのような運用をしているかの主要な情報源になります
英語のサイトの情報もご確認ください
http://aws.amazon.com/compliance/?nc2=h_ls
各種保証プログラムや重要項目に関するFAQ、公開資料• PCI DSS
• ISO27001/27017/27018/9001
• CSA
• Data Privacy/EU Data Protection
• SOC
• FedRAMP
• HIPAA
• GxP
• DoD
Compliance Latest News ダウンロード可能な認証
• AWS ISM Letter of Compliance
• AWS ISO 27001/27017/27018/9001 Certification
• Multi-Tier Cloud Security Standard Level-3 (CSP) Certification
• AWS SOC 3 Report
AWS Compliance 詳細情報
お客様の責任範囲
AWS account owner
(master)Network
management
Security manageme
nt
Server manageme
nt
Storage manageme
nt
AWS IAM AWS CloudTrail
EncryptionAmazon EC2Security Group
Operational Check List
AuditingSecurity
Check List
AWSSecurity
Best Practice
Security At Scale
Governance
In AWS
• ネットワーク管理
• 論理アクセスコントロール
• ログ管理
• データ保護
• 脆弱性対策
• 変更管理
• リソース監視
• ビジネス継続性
• ETC
お客様の責任範囲の整理
AWSは、お客様固有の要件に適合するソリューションの選択を可能にする柔軟性と
お客様による統制が可能な環境を提供いたします
ネットワークセキュリティ
サーバー(OS)セキュリティ
お客様のアプリケーション・コンテンツ
データセキュリティ
アクセスコントロール
お客様の責任範囲
AWSのセキュリティツール・機能
AWSとAWSのパートナーは、700以上のセキュリティサービスや、ツール、機能を提供。
既存の環境で実施していたことと同等、もしくはそれ以上のコントロールを実現可能です。
インスタンスの開始
EC2
AMIカタログ インスタンスの起動 お客様の独自インスタンス
ハードニングと構成
監査とログ取得
脆弱性管理
マルウェア、IDS, IPS
Whitelisting and integrity
ユーザー管理
OS
OSの選択とハードニング• インスタンスサイズ、OSの選択もお客様が柔軟に構成可能
• 標準的なOSのハードニングガイドとテクニックを活用
• 最新のセキュリティパッチの適用
ホストベースの防御策の適用を考慮• ホストベースの防御製品をプリインストール
• 管理ソフトやSEIM等との接続設定の組み込み
管理者権限やユーザー管理• 必要最小限のアクセス
• パスワードや認証の管理
サーバー(OS)・セキュリティ
インスタンス構成
• 自動化されたホストのセキュリティ診断サービス
• 診断対象のインスタンスにエージェントをインストールした後にInspectorを起動して利用する
• APIで制御できるので、開発プロセスの中に組み込むことで均質なセキュリティ診断を自動的に実行できる
• 内容についてはルールセットにより制御が可能(PCI DSSにも対応)
Amazon Inspector
CIDR : 10.0.0.0/8
Private Subnet172.16.0.0/24
Public Subnet172.16.1.0/24
CIDR : 172.16.0.0/16
Subnet10.0.0.0/24
NACL NACL
SG SG
社内システム
IPSec VPNor 専用線
インターネット
CGW
VPCPeering
お客様専用の仮想ネットワークを構築可能
サブネットとルーティングによるセグメンテーション
組み込まれたFirewall機能の利用。商用製品の利用も可能
オンプレ環境とのVPN・専用線接続
他VPCとPeering接続機能
ネットワークセキュリティ
VGW
AWS Identity and Access Management (IAM)
AWSサービスとリソースへの厳格なアクセス・コントロールが可能
アカウントごとのユーザとグループの作成
AWSマネージメントコンソールのユーザログオンサポート
セキュリティクレデンシャル• アクセスキー• ログイン/パスワード• 多要素認証デバイス(オプション)
AWS APIを使ったアクセスコントロールポリシー
API コールは以下のサインどちらかが必須:• X.509 certificate• シークレットキー
幾つかのサービスではより厳格なインテグレーション• S3: オブジェクト及びバケット毎のポリシー設定
AWS account owner (master)
Network management
Security management
Server management
Storage management
論理的アクセスコントロール
{"Version": "2012-10-17","Statement": [{"Effect": "Allow","Action": [
"ec2:StartInstances","ec2:StopInstances","ec2:RebootInstances"
],"Condition": {
"StringEquals": {"ec2:ResourceTag/SystemName": “system-name"
}},"Resource": ["*"]
},{"Effect": "Allow","Action": ["ec2:Describe*"],"Resource": ["*"]
}]
}
ポリシー作成を支援する機能も充実• 事前定義されAWSが管理してくれるAWS管理ポリシー• IAMポリシーの作成ツール• IAMポリシーのシミュレーションツール• IAMポリシーの文法チェック
特定のタグがついたEC2の停止/削除権限
API単位でのコントロール
利用者へのIAM権限付与の例
AWSサービスのリソースに関する情報は管理コンソール上に集約され確認が可能。
資産情報を分類するためのタグ情報も付与可能です。これらの情報をAPIにより取得することもできます。
構成変更管理・インベントリ
お互いに密接な関係にあるリソース
• インスタンスやサーバーに適用されたパーミッション
• Amazon EC2インスタンスにアタッチされた
Amazon EBSボリューム
• Amazon EC2インスタンスに構成された
ネットワークインターフェース
• VPCやそのサブネットに配置されたインスタンス
AWS Configにより、AWSサービスのリソースに関係する変更を時系列で表示し、加えられた変更の追跡と把握を行うことが可能
構成変更管理・インベントリ
AWSサービス 機能 SSE SSE with KMS SSE with CloudHSM
CSE
EBS 仮想Disk 〇 〇 N/A 〇
S3 オブジェクトストレージ 〇 〇 N/A 〇
Glacier アーカイビング 〇 N/A N/A 〇
RDS RDBMS 〇 〇 Oracle 〇
Redshift DWH 〇 〇 〇 〇
ElastiCache インメモリキャッシュ N/A N/A N/A 〇
DynamoDB NoSQL DB N/A N/A N/A 〇
AWSではAWSのサービス側で暗号化を行うServer Side Encryption(SSE)や、クライアント側で行うClient Side Encryption(CSE)の他に、暗号鍵の保管の仕方等、要件に応じた様々な方法を選択することが可能
RDS
上記の表内のAWSサービスは一例です
データセキュリティ
暗号鍵の作成、管理、運用サービス
• 暗号鍵の可用性、機密性を確保
• 暗号鍵の有効化・無効化、ローテーションをサポート
• S3, EBS, Redshift等のAWSサービスにおけるデータを暗号化
• SDKとの連携でお客様の独自アプリケーションデータを暗号化
• 低コストで使用可能
Customer MasterKey(s)
Data Key 1
Amazon S3
Object
Amazon EBS
Volume
Amazon Redshift Cluster
Data Key 2 Data Key 3 Data Key 4
CustomApplication
AWS KMS
Category Supported Services
Database Redshift , RDS
Storage and Content Delivery S3 , EBS , Import/Export , Snowball
Application Services Elastic Transcoder , SES
Enterprise Applications WorkMail , WorkSpaces
Management Tools CloudTrail
AWS Key Management ServiceAWSでは暗号鍵を管理する鍵管理環境を提供
サポートしているサービス(2016/3現在)
サポートされているリージョン
・米国東部(バージニア北部)
・米国西部(オレゴン)
・米国Govクラウド
・欧州(アイルランド)
・欧州(フランクフルト)
・アジアパシフィック(シドニー)
・アジアパシフィック(東京)
・アジアパシフィック(シンガポール)
AWS CloudHSM
AWSクラウド内のお客様専用ハードウェアセキュリティモジュール(HSM)アプライアンス(SafeNet LunaSA7000)
暗号化キーやHSMによって実行される暗号化操作を管理
情報セキュリティ国際評価基準(Common Criteria EAL4+)および米国政府規制基準(NIST FIPS 140-2)に準拠
CloudTrailやsyslogの使用によるコンプライアンス監査
AWS サービスおよびリソースへのアクセスを安全にコントロール
AWS
Virtual Private Cloud
CloudHSM
VPCインスタンス
SSL App
HSM Client
マネージドDDoS プロテクションサービス
無償版のStandard Protectionと有償版のAdvanced Protectionを提供
AWS Shield
Shield Standard (for everyone) Shield Advanced
• ネットワークフローモニタリングによるクイック検知
• 一般的なL3/L4レイヤーへのアタックからの
プロテクション機能
• パケットフィルター、優先度をつけたトラフィック
シェーピング等の技術を使い、アプリケーションへの
影響を与えず、攻撃を軽減
• 全リージョンにて利用可能
• 大規模かつ洗礼された攻撃に対する包括的なプロテクションを実施
• CloudFront, Route53, ELBにて利用可能。AWS WAFの利用費用も含まれL7レイヤーも対応。
• アドバンスなL3/L4レイヤーへのアタックからのプロテクション機能
• ほぼリアルタイムでCloudwatchへ分析情報を通知• 24x7 連絡可能なDDoS Response Teamによる
スペシャルサポート• ELB、CloudFront、Route53でのDDoSに対する
コストプロテクション• バージニア、オレゴン、アイルランド、東京
リージョンにて利用可能• 年契約による$3,000/月とデータ転送コスト
特徴 https://aws.amazon.com/jp/waf/
CloudFront経由の外部からのアクセスの制御
以下の内容でアクセスのOn/Off制御が可能
• ソースIPアドレスレンジ
• URI
• HTTPヘッダ
• HTTPメソッド
• SQL構文
• XSS
価格体系 https://aws.amazon.com/jp/waf/pricing/
ACL(AccessControlList)ごとに5ドル/月
ACL内で設定されるルールごとに1ドル/月
100万リクエストごとに0.6ドル
CloudFront利用料はEC2のDL金額と同等かそれ以下となります
AWS CloudFront経由での外部からのHTTPアクセスの防御
EC2
CloudFront
S3
ルール抵触リクエスト
正当なリクエスト
AWS Web Application Firewall (WAF)
CloudTrailでAWSのサービスに対する各種APIログを取得可能
http://aws.amazon.com/jp/cloudtrail/
• APIを呼び出した身元(Who)
• APIを呼び出した時間(When)
• API呼び出し元のSource IP(Where)
• 呼び出されたAPI(What)
• APIの対象となるAWSリソース(What)
• 管理コンソールへのログインの成功・失敗
監視・監督
CloudWatchMetrics
Amazon Linux Ubuntu
Windows Red Hat Linux
CloudWatch Logs
CloudWatchAlarm
SNS
Log Agent Log Agent
Log Agent Log Agent
VPC Flow Log
Kinesis
OSにはLog Agentの導入が
必要です
CloudWatchLogsにログを
ためます
フィルターなどを使いログの監視
閾値を超えた場合はAlarmをあげます
https://aws.amazon.com/jp/cloudwatch/
CloudWatch LogsでOS上の各種ログやVPC Flow LogsといったAWSのログも収集・監視
監視・監督
2013年よりサービス開始
コスト最適化、セキュリティ、可用性パフォーマンスの4つのカテゴリからAWSの利用状態を評価
170万のベストプラクティス
3億ドルを超えるコスト削減を通知
2014/7/31より、47のチェック項目中4項目をすべてのユーザに開放
利用者のAWS環境をAWSのベストプラクティスを元に評価するTrusted Advisorを用いて原因が把握されていない未達のチェック項目がないか確認をしてください。Notificationの設定も行うことができます。
https://aws.amazon.com/jp/premiumsupport/trustedadvisor/
監視・監督
AWS アカウントの設計の規格化セキュリティ制御の自動化、および監査の合理化のためのセキュリティ保証アプローチ
セキュリティを遡及的に監査するのではなく、AWSのIT管理プロセス全体にセキュリティ制御を組み込む
Identity & Access Management
CloudTrail
CloudWatch
Config Rules
Trusted Advisor
Cloud HSMKey Management
Service
Directory Service
https://aws.amazon.com/jp/compliance/security-by-design/
Security by Design (SbD)
1.2 AWSに移すワークロードの識別
2.1 セキュリティ要件の整理 2.2 データ保護と統制の定義 2.3 セキュリティアーキテクチャーの文書化
3.1 セキュリティアーキテクチャーの構築
1. 要件を把握する
2. セキュリティ要件の分析と文書化
1.1 ステークホルダーの確認
3. 環境構築と自動化、監視
3.2 運用の自動化
4. 検証と監査
3.3 継続的な監視
4.1 監査と認証
3.4 テスト
SbDのアプローチ
CloudFormationを用いてセキュリティ要件を満たす設計をテンプレート化
必要となるセキュリティの設定や、利用インスタンス、リソースをパッケージ化
Service Catalogを利用した環境の展開
CloudFormation Service CatalogStack
Template
インスタンス Appsリソース Stack
Stack
設計 パッケージ化
Products Portfolios
展開制限
Identity & Access Management
パーミッション
セキュリティ関連の運用自動化
Service Type Use cases
APIログの取得 AWS環境の操作に関するログの取得
リソース・ログ監視AWSサービスのリソース監視と各種ログの収集・モニタリング
変更管理AWSサービスの変更記録とトラッキング
オンデマンドの評価EC2インスタンス内に導入されるOSアプリケーションのセキュリティ分析
継続的な評価変更による誤設定検知、ベストプラクティスの維持、脆弱性の検知
定期的な評価コスト、パフォーマンス、信頼性セキュリティの観点からの広範な調査
AWS Security and Compliance “AWSの責任範囲”
“お客様の責任範囲”をサポートする
サービス群Inspector
Config Rules
Trusted Advisor
AWSConfig
CloudTrail
CloudWatch
継続的な監視
権限のないユーザーの変更を防止する強制的な機能を作成
制御を確実に実行できるようにする
継続的でリアルタイムな監査を実現
お客様のガバナンスポリシーを技術的にスクリプト化
結果としてセキュリティ要件を満たす環境の構築を自動化
Automate
GovernanceAutomate
DeploymentsAutomate Security
Operations
Continuous
Compliance & Audit
Reporting
SbDの狙い
責任共有モデルに基づき、AWSが基盤のセキュリティ・統制を実施
AWS上に構築するシステムの構成・設定に関するセキュリティ・統制はお客様の責任により実施
AWSはお客様を助ける様々なセキュリティ関連機能を提供
更に固有のセキュリティ要件がある場合はAPNパートナーの製品の利用も検討
自動化やAPIによる制御といったAWSの特性をセキュリティやコンプライアンスにも活かすことで効果的な統制環境を構築
まとめ
AWS Securityページ
http://aws.amazon.com/jp/security
AWS Complianceページ
http://aws.amazon.com/jp/compliance
セキュリティ・コンプライアンス情報