Transcript
Page 1: AWS セキュリティとコンプライアンス

AWSのセキュリティとコンプライアンス

2012.11.19

Page 2: AWS セキュリティとコンプライアンス

アジェンダ

• AWSにおけるセキュリティ概要

• 主要なセキュリティ概念

• 認定・認証

• AWSのセキュリティ機能

Page 3: AWS セキュリティとコンプライアンス

認定 & 認証評価

SOX法

ISO 27001 認定

PCI DSS Level I 認定

HIPAA 準拠アーキテクチャ

SOC 1/SSAE 16/ISAE 3402/SOC 2

FISMA Low ATO

FISMA Moderate ATO 申請中

DIACAP MAC II Sensitive 申請中

FedRAMP

サービスヘルスダッシュボード

セキュリティ責任共有モデル

Customer/SI Partner/ISV がゲストOSレベルのセキュリティを制御(パッチ運用や運用管理含む)

パスワード管理やロールベースのアクセス権管理を含むアプリケーションレベルのセキュリティ

侵入検知/回避システムを含むホストベースのファイアウォール

データの暗号化/複合化. ハードウェアセキュリティモジュール

アクセス権の分離

物理セキュリティ

複数レベル、複数要素による制御されているアクセス環境

管理され必要性に応じたAWS従業員によるアクセス(必要最小限)

管理者層による管理者権限アクセス

管理ホストへの多要素認証で、管理され必要性に応じたアクセス

全てのアクセスのログ収集、監視、そしてレビュー

AWS管理者は顧客VMの中、アプリケーションとそのデータなどにはアクセスする権限をもたない

AWSにおけるクラウドセキュリティ概要

VMセキュリティ

Amazonアカウントへの多要素認証によるアクセス

インスタンスの隔離

• ハイパバイザレベルでの顧客によるファイアウォールの制御

• 隣にあるインスタンスへのアクセスは許可されていない

• 仮想ディスクの管理レイヤがアカウントのオーナだけがストレージ(EBS)にアクセスすることを保証する

APIコールの暗号化のためのエンドポイントのSSLサポート

ネットワークセキュリティ

セキュリティグループ設定によるインスタンス毎のファイアウォール設定が可能

トラフィックはプロトコル、サービスポート、ソースIPによって制限できる (個別IPまたはindividual IP or Classless Inter-Domain Routing (CIDR)ブロック).

Virtual Private Cloud (VPC) により、既存エンタープライズデータセンターと論理的に隔離された複数のAWSリソースとの間にIPSec VPNでアクセス可能

2011/11/13 update

Page 4: AWS セキュリティとコンプライアンス

主要セキュリティ概念

Page 5: AWS セキュリティとコンプライアンス

AWS Security Center (http://aws.amazon.com/security/)

• セキュリティホワイトペーパー

• 沢山のセキュリティとプライバシーの回答

• 半年に1度アップデート

• セキュリティ速報

• 顧客によるペネトレーションテストのポリシ

• セキュリティベストプラクティス

• AWS Identity & Access Management (AWS IAM)

• AWS Multi-Factor Authentication (AWS MFA)

Page 6: AWS セキュリティとコンプライアンス
Page 7: AWS セキュリティとコンプライアンス

Control

ownership. Who

owns which

controls for cloud-

deployed

infrastructure?

Auditing IT. How

can auditing of the

cloud provider be

accomplished?

Sarbanes-Oxley

compliance. How

is SOX

compliance

achieved if in-

scope systems

are deployed in

the cloud provider

environment?

HIPAA

compliance. Is it

possible to meet

HIPAA

certification

requirements

while deployed in

the cloud provider

environment?

GLBA compliance.

Is it possible to

meet GLBA

certification

requirements

while deployed in

the cloud provider

environment?

Federal regulation

compliance. Is it

possible for a US

Government

agency to be

compliant with

security and

privacy

regulations while

deployed in the

cloud provider

environment?

Data location.

Where does

customer data

reside?

E-Discovery. Does

the cloud provider

meet the

customer’s needs

to meet electronic

discovery

procedures and

requirements?

Data center tours.

Are data center

tours by

customers allowed

by the cloud

provider?

Third party

access. Are third

parties allowed

access to the

cloud provider

data centers?

Privileged actions.

Are privileged

actions monitored

and controlled?

Insider access.

Does the cloud

provider address

the threat of

inappropriate

insider access to

customer data and

applications?

Multi-tenancy. Is

customer

segregation

implemented

securely?

Hypervisor

vulnerabilities.

Has the cloud

provider

addressed known

hypervisor

vulnerabilities?

Vulnerability

management. Are

systems patched

appropriately?

Encryption. Do the

provided services

support

encryption?

Data ownership.

What are the

cloud provider’s

rights over

customer data?

Data isolation.

Does the cloud

provider

adequately isolate

customer data?

Composite

services. Does the

cloud provider

layer its service

with other

providers’ cloud

services?

Physical and

environmental

controls. Are

these controls

operated by the

cloud provider

specified?

Client-side

protection. Does

the cloud provider

allow customers to

secure and

manage access

from clients, such

as PC and mobile

devices?

Server security.

Does the cloud

provider allow

customers to

secure their virtual

servers?

Identity and

Access

Management.

Does the service

include IAM

capabilities?

Scheduled

maintenance

outages. Does the

provider specify

when systems will

be brought down

for maintenance?

Capability to

scale. Does the

provider allow

customers to

scale beyond the

original

agreement?

Service

availability. Does

the provider

commit to a high

level of

availability?

Distributed Denial

Of Service (DDoS)

attacks. How does

the provider

protect their

service against

DDoS attacks?

Data portability.

Can the data

stored with a

service provider

be exported by

customer request?

Service provider

business

continuity. Does

the service

provider operate a

business

continuity

program?

Customer

business

continuity. Does

the service

provider allow

customers to

implement a

business

continuity plan?

Data durability.

Does the service

specify data

durability?

Backups. Does

the service

provide backups

to tapes?

Price increases.

Will the service

provider raise

prices

unexpectedly?

Sustainability.

Does the service

provider company

have long term

sustainability

potential?

Page 8: AWS セキュリティとコンプライアンス

共有責任モデル

• ファシリティ

• 物理セキュリティ

• 物理インフラストラクチャ

• ネットワークインフラストラクチャ

• 仮想インフラストラクチャ

AWS Customer • OS

• アプリケーション

• セキュリティグループ

• OSファイアウォール

• ネットワーク設定

• アカウント管理

Page 9: AWS セキュリティとコンプライアンス

• アカウントごとのユーザとグループの作成

• セキュリティクレデンシャル

• アクセスキー

• ログイン/パスワード

• 多要素認証デバイス(オプション)

• AWS APIを使ったポリシーコントロールアクセス

• API コールは以下のサインどちらかが必須:

• X.509 certificate

• シークレットキー

• 幾つかのサービスではより厳格なインテグレーション

• S3: オブジェクト及びバケット毎のポリシー設定

• Simple DB: ドメイン

• AWSマネージメントコンソールのユーザログオンサポート

• OSやアプリケーションレベルのログインではない。

• LDAP, Active Directory/ADFS, etc...

AWS Identity and Access Management (IAM)

Page 10: AWS セキュリティとコンプライアンス

多要素認証デバイスによるセキュリティ強化

• Eメールアドレスとパスワードを乗っ取った第3者のなりすましによるアクセスの拒否に効果あり

• アカウント情報への追加の認証機能

• 以下のアカウントを使用可能

– マスターアカウント

– IAM ユーザ

• 下記サービスで動作

– AWSマネージメントコンソール

– AWSポータル上のキーのページ

– S3 (Secure Delete)

Page 11: AWS セキュリティとコンプライアンス

AWSは”継続的可用性”をビルトインしたプラットフォーム

• 全てのサイトは常時稼働できるよう設計

• DR用のDCではなく常に稼働できる構成

• ゾーンも同様の標準で管理

• 最高レベルのインフラ設計

– 各ゾーンは冗長化されたティア1のISPプロバイダを使用

– 柔軟性のある堅牢なネットワークインフラ

– スケーラブルで耐障害性のあるサービス

Page 12: AWS セキュリティとコンプライアンス

認定・認証

Page 13: AWS セキュリティとコンプライアンス

レポート、認定、第三者認証

• 原点は責任共有モデル

• AWSの環境下では:

– SSAE 16/ISAE 3402基準、SOC1レポート

– SOC2レポート

– ISO 27001 Certification

– PCI DSS Level 1 Service Provider

• 顧客は下記コンプライアンス準拠のアプリケーションをデプロイ可能です:

– Sarbanes-Oxley (SOX) 法

– FISMA (US政府関係)

– HIPAA (医療関係)

– ASP・SaaS安全・信頼性に係る情報開示認定制度(日本総務省)

Page 14: AWS セキュリティとコンプライアンス

SSAE16/ISAE3402 SOC1レポート

• 外部委託先の内部統制検証で使用される基準は、評価の対象期間の最終日が2011年6月15日以降のものより、SAS70から切り替わりSSAE16/ISAE3402を適用。

• AWSの内部統制に関する保証報告書。 • AWSの各サービスにおけるセキュリティ、変更管理、運用等の情報を保証報告書という形式でお客様に提供

• NDAベースでSOC1レポートをご提示可能

Page 15: AWS セキュリティとコンプライアンス

SOC2レポート

• 受託会社の財務報告以外の要望に応えるための報告書 • システムのセキュリティ、可用性、処理の完全性/整合性、機密保持、プライバシー等に関する内部統制情報に関する内容を含む

• Trustサービスの基準に従って客観的に評価

• お客様にAWSのセキュリティに関して透明性をもたらす内容。

• NDAベースでSOC2レポートをご提示可能

Page 17: AWS セキュリティとコンプライアンス

PCI DSS Level1 Service Provider

• PCI DSS 2.0 コンプライアンス準拠

• コアなインフラストラクチャとサービスをカバー

– EC2, EBS, S3, VPC, RDS, ELB, IAM

• 標準で、特に変更のない設定を使用して認定

• 認定セキュリティ評価機関(QSA)のタスクを利用

• AWSはビジネスでの利用が可能で、 Qualified Incident Response Assessors (QIRA)として設計

– フォレンジック調査をサポートする事が可能

• 全てのリージョンで認定

• アップデートはこちらをご覧ください。 – http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/

Page 18: AWS セキュリティとコンプライアンス

CSA Consensus Assesments Initiative Questionnaire

• CSA Consensus Assessments Initiative Questionnaire には、クラウド使用者およびクラウド監査人がクラウドプロバイダに要求すると CSA が想定している質問を記載。クラウドプロバイダの選択やセキュリティの評価など、幅広い用途に使用可能。

• セキュリティ、統制、およびプロセスに関する一連の質問にAWSは回答済み。

*CSAの詳細はhttp://aws.amazon.com/jp/security/ AWS リスクとコンプライアンスのホワイトペーパーを参照

Page 19: AWS セキュリティとコンプライアンス

AWSは業界の認定・認証を継続的に取得していきます

• どのような認定・認証が御社にとって重要でしょうか?

• どの程度のインパクトがあるものでしょうか?

• お客様の声を聞かせてください。

Page 20: AWS セキュリティとコンプライアンス

AWSにおける

セキュリティ機能

Page 21: AWS セキュリティとコンプライアンス

データセンターにおける物理セキュリティ

• Amazonは数年間にわたり、大規模なデータセンターを構築してきました

• 重要な特性:

– 一見してそれとわからない外観

– 周囲の厳重な制御

– 物理アクセスの厳密なコントロール

– 2要素認証を2回以上

• 完全管理された、必要性に基づくアクセス

• 全てのアクセスはロギングされ、レビュー

• 職務の分離

– 物理アクセス可能な従業員は論理権限にアクセス不可

• アベイラビリティゾーンへのマップ

Page 22: AWS セキュリティとコンプライアンス

障害の分離と地理的多様性

EUリージョン

アベイラビリティゾーンA

アベイラビリティゾーンB

USイーストリージョン

アベイラビリティゾーンA

アベイラビリティゾーンC

アベイラビリティゾーンB

Amazon CloudWatch

Note: 上記図はコンセプト図です。リージョンやアベイラビリィゾーンは増える可能性があります。詳細はhttp://aws.amazon.com/jp/about-aws/globalinfrastructure/ をご覧ください

シンガポールリージョン

vailability Zone A

Availability Zone B

アベイラビリティゾーンD 東京リージョン

アベイラビリティゾーンA

アベイラビリティゾーンB

アベイラビリティゾーンA

アベイラビリティゾーンB

アベイラビリティゾーンC

Page 23: AWS セキュリティとコンプライアンス

データバックアップとレプリケーション

• AWSでは従来のバックアップよりもレプリケーションが望ましい – 従来のバックアップソリューションを頻繁に行うのと同等

– 高いデータ可用性とスループット

• 複数エッジロケーションでデータを利用可能にする – CloudFront, Route 53

• 単一リージョン内での複数アベイラビリティゾーンでデータはレプリケート – S3, S3 RRS, SimpleDB, SQS, RDS Multi-AZ, EBS Snapshots

• データは単一アベイラビリティゾーン内の複数物理ロケーションへレプリケート – EBS, RDS

• データは自動的にレプリケーションしない – EC2 ephemeral drives (a.k.a. instance store)

Page 24: AWS セキュリティとコンプライアンス

EC2セキュリティ

• ホストオペレーティングシステム

– AWS管理者の拠点ホストからの個別のSSHキーによるログイン

– 全てのアクセスはロギングされ、監査されます

• ゲスト (a.k.a. インスタンス) オペレーティングシステム

– 顧客による完全なコントロール (顧客がルート/管理者権限を保有)

– AWS管理者はログイン不可能

– 顧客が生成したいキーペアを使用

• ステートフルファイアウォール

– 必要なインバウンドだけ許可。デフォルトは全て拒否

– セキュリティグループにより顧客が完全に設定をコントロール可能

Page 25: AWS セキュリティとコンプライアンス

Firewall

Physical Interfaces

Amazon EC2のインスタンス独立性

Customer 1 Customer 2 Customer n

Hypervisor

… Virtual Interfaces

Customer 1 Security Groups

Customer 2 Security Groups

Customer n Security Groups

Page 26: AWS セキュリティとコンプライアンス

仮想メモリとローカルディスク

• 適切なディスク管理により、あるインスタンスがその他のインスタンスのデータを読み取るのを防護

• ディスクは作成されるたびにワイプされる

• ディスクはお客様が望めばセキュリティレベルを向上させるために暗号化する事が可能

Page 27: AWS セキュリティとコンプライアンス

ネットワークトラフィックフローセキュリティ

• セキュリティグループ - インバウンドのトラフィックはプロトコル、ポート、セキュリティグループにより明示的に指定

- VPCはアウトバウンドのフィルタも追加する

• ネットワークアクセスコントロールリスト (ACLs): VPC はインバウンドとアウトバウンドのステートレスフィルタも追加する

• OSファイアウォール(iptables等) も使用される

-セキュリティレイヤはユーザが完璧に制御可能

-個別ホスト毎に細かいアクセス制御が可能

-ネットワークイベントのログ

Encrypted File System

Encrypted Swap File

OS

Fire

wal

l

Am

azo

n S

ecu

rity

Gro

up

s

Inbound Traffic

Page 28: AWS セキュリティとコンプライアンス

多階層セキュリティアプローチの実例

Web Tier

Application Tier

Database Tier

80または443ポートのみをインターネット側で受け付ける

エンジニアがAP層にsshアクセスを行う

その他のインターネット経由の アクセスは全てデフォルトで拒否

オンプレミスDBとの同期 Amazon EC2 Security Group Firewall

Page 29: AWS セキュリティとコンプライアンス

ネットワークセキュリティの考慮点 • Distributed Denial of Service (DDoS)対策:

– 効果的な標準的な緩和対策を措置

• Man in the Middle (MITM)対策: – 全エンドポイントはSSLによって保護 – 起動時に新しいEC2ホストキーを生成

• IPスプーフィング:

– ホストOSレベルで全て遮断

• 許可されていないポートスキャニング: – AWS ユーザ規約に違反 – 検出し、停止、およびブロック – インバウンドのポートは標準でブロック

• パケットのスニフィング:

– プロミスキャスモードはオフに – ハイパーバイザ―レベルで防御

Page 30: AWS セキュリティとコンプライアンス

設定管理

• 全ての変更は認証され、ロギングされ、テストされ、承認されて、ドキュメント化されます。

• ほとんどの変更は上記のような方法で行われるので、顧客には影響しません

• 何か影響がありそうな場合には、AWSは電子メール、AWSサービスヘルスダッシュボード(http://status.aws.amazon.com/)などで顧客にお知らせいたします

Page 31: AWS セキュリティとコンプライアンス

ネットワークトラフィックの機密性

Amazon EC2 インスタンス

• 機密情報は暗号化による制御などが望ましい • 企業ネットワークとの連携でのトラフィックは業界標準のVPNトンネルを使うべき

企業 ネットワーク

インターネット トラフィック

VPN

Page 32: AWS セキュリティとコンプライアンス

Amazon Virtual Private Cloud (VPC)

• 論理的に分離された環境をAmazonの高度にスケールするインフラストラクチャの上で構築可能

• 1つかそれ以上のパブリックまたはプライベートなサブネットにプライベートIPのアドレスレンジを指定できる

• ネットワークアクセスコントロールリストを使う事で、個別のサブネットに対してのインバウンドとアウトバウンドへINとOUTのアクセスを制御可能

• セキュリティグループを使ったステートフルなインバウンドとアウトバウンドのフィルタを使ってインスタンスを防御

• ElasticIPをVPC内のインスタンスに指定可能で、そうするとインターネットから直接アクセス可能になる

• 業界標準の暗号化されたVPNコネクションにより、VPCと御社のオンプレミスインフラストラクチャをブリッジ出来る

• ウィザードにより、4つの異なるトポロジーから簡単に選択可能

Page 33: AWS セキュリティとコンプライアンス
Page 34: AWS セキュリティとコンプライアンス
Page 35: AWS セキュリティとコンプライアンス
Page 36: AWS セキュリティとコンプライアンス
Page 37: AWS セキュリティとコンプライアンス

VPC - Dedicated Instances

• 物理ホストを他の顧客とシェアしない事を保証する新しいオプション

• $10/時間を各リージョン毎に費用+微弱ながらの従量課金

• ある特定インスタンスのみをDedicated Instanceに指定可能

• VPC全体をDedicatedにする事もオプションで可能

Page 38: AWS セキュリティとコンプライアンス

Amazon S3 セキュリティ

• バケット及びオブジェクト単位でのアクセス制御:

– 読み込み、書き込み、フル権限

• オーナが全ての権限を持ち

• 顧客による暗号化 • SSLもサポートしています

• 堅牢性 99.999999999%

• 可用性 99.99%

• バージョン機能 (MFA Delete)

• 詳細なアクセスロギング

Page 39: AWS セキュリティとコンプライアンス

ストレージデバイスの廃棄方法と残存データのリスクへの対応

• ストレージデバイスが製品寿命に達した場合に、顧客データが 権限のない人々に流出しないようにする 廃棄プロセスを保持

• DoD 5220.22-M(「National Industrial Security Program Operating Manual(国立産業セキュリティプログラム作業マニュアル)」) または NIST 800-88(「Guidelines for Media Sanitization(メディア衛生のための ガイドライン)」)に詳細が記載されている技術を用いる。

• 上記の手順を用い ハードウェアデバイスが廃棄できない場合、 デバイスは業界標準の慣行に従って、消磁 するか、物理的に破壊

Page 40: AWS セキュリティとコンプライアンス

セキュリティとコンプライアンスまとめ

• AWSにおいてセキュリティとコンプライアンスは常にトッププライオリティ – 必要なセキュリティ措置は今後も継続的にカバー

– 認定・認証で必要なものは全て取得

• エンタープライズレベルの顧客に対応可能なセキュリティレベル – 今後も継続的にセキュリティレベルを改善

– 顧客へセキュリティレベル・アセス方法を開示

Page 41: AWS セキュリティとコンプライアンス

AWSで提供しているホワイトペーパー

• AWSセキュリティプロセス概要

– http://d36cz9buwru1tt.cloudfront.net/pdf/AWS_Security_Whitepaper.pdf

• AWSリスクとコンプライアンス

– http://d36cz9buwru1tt.cloudfront.net/AWS_Risk_and_Compliance_Whitepaper.pdf

Page 42: AWS セキュリティとコンプライアンス

42


Recommended