Upload
hiroyuki-kaji
View
839
Download
0
Embed Size (px)
Citation preview
45分で学ぶAWSのセキュリティ
DevelopersIO 2016
1
2016/2/21 クラスメソッド Kaji
⾃⼰紹介梶 浩幸(かじ ひろゆき) Twitter ID:@cocacola917 AWSコンサルティング部 札幌オフィス勤務 2014年8⽉JOIN ネットワーク屋出⾝ 好きなAWSサービス • VPC
2
コカコーラ⼤好き
3
はじめに
• AWSを利⽤して1年以上の⽅ • AWSを利⽤して1年未満の⽅ • AWSをこれから利⽤予定の⽅
4
今⽇は何を話すの?
• AWSセキュリティ関連資料の・・・ • ⽤途 • 概要やポイント • 和訳との差異
をご紹介
5
今回ご紹介するAWSのセキュリティ資料https://aws.amazon.com/jp/security/ 代表的なもの(2016年2⽉14⽇現在)
6
英語名 和名 和訳有無や最新版
AWS Cloud Security Best Practices
セキュリティベストプラクティス 和訳差異無し 2013/11
AWS Cloud Security Whitepaper(Overview of Security Processes)
セキュリティプロセスの概要 US 2015/8 和訳 2014/11
AWS Risk and Compliance Whitepaper
リスクとコンプライアンス US 2016/1 和訳 2015/8
Introduction to Auditing the Use of AWS
AWSの使⽤に際してのセキュリティ監査チェックリスト
US 2015/10 和訳 2013/6
7
セキュリティベストプラクティス
8
⽤途
• AWSを設計・設定する上で必要なセキュリティに関する内容が記載されている
• 今回はポイントを絞ってご紹介
9
共有責任モデル(責任分担モデル)
10
保護対象の確認
11
セキュリティポリシーを検討
「何を保護するのか」、「その理由は何か」
その保護に関する責任・体制「誰がその責任を負うのか」
共有責任モデル(責任分担モデル)
12
• ファシリティ • 物理セキュリティ • コンピュータインフラ • ストレージインフラ • ネットワークインフラ • 仮想レイヤー
• OS • アプリケーション • セキュリティグループ • ファイヤーウォール • ネットワーク設定 • アカウント管理
ドキュメント内では、責任分担モデルで記載
利⽤者
13
AWS Global Infrastructure
Edge LocationRegion
Availability Zone
AWS Foundation Services
Compute Storage Database Networking
Network Security
Customer Applications & Content
https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf
Inventory & Config
Access Control
Data Security
14
AWS Global Infrastructure
Edge LocationRegion
Availability Zone
AWS Foundation Services
Compute Storage Database Networking
Network Security
Customer Applications & Content
https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf
Inventory & Config
Access Control
Data Security
スコープ外!
Q.先ほどの共有責任モデル はAWSサービス全部同じ?
15
インフラストラクチャサービス
16
AWS セキュリティのベストプラクティス(⽇本語)より https://aws.amazon.com/jp/security/security-resources/
コンテナサービス
17
AWS セキュリティのベストプラクティス(⽇本語)より https://aws.amazon.com/jp/security/security-resources/
抽象化されたサービス
18
AWS セキュリティのベストプラクティス(⽇本語)より https://aws.amazon.com/jp/security/security-resources/
AWS アカウントと IAM ユーザー、グループ、およびロールの管理
19
AWSアカウント
• 新しいシステム構築するときの質問 • AWSアカウントを別に作成? • 既存のアカウントに追加?
20
AWSアカウント• 単⼀のAWSアカウント • セキュリティ⼀元管理
• 複数のAWSアカウント • 独⽴した複数の部⾨ • 複数のプロジェクト • 本番⽤、開発⽤、テスト⽤など • 利⽤費⽤を明確に把握したい(→私が追記)
21
IAMユーザ・グループ・アカウント
• IAM(AWS Identity and Access Management) は、AWSユーザーに対して AWSのリソースへのアクセスできる範囲やアクセス⽅法を安全に制御するためのサービス
22
IAMのベストプラクティス
1.AWSアカウント(ルート)のアクセスキーはロックする 2.個々のIAMユーザを作成する 3.IAMユーザへのアクセス権を割り当てるため、グループを使う 4.最⼩限の特権を認める 5.ユーザのための強度の⾼いパスワードを設定する 6.特権ユーザに対しては、MFAを有効にする 7.EC2で作動するアプリケーションについてロールを使⽤する 8.認証情報を共有するのではなく、ロールを使って委任する 9.認証情報を定期的にローテーションする 10.不要の認証の削除 11.追加セキュリティに対するポリシー条件を使⽤する 12.AWSアカウントのアクティビティの履歴の保持
23
OSのアカウント管理と考え⽅が近い。⼤きく異なるポイント3つをご紹介
http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/best-practices.html
MFA 多要素認証(Multi-Factor Authentication)
• パスワード + デバイス • パスワード + 指紋 など • know + have/are の組み • 2要素認証が⼀般的 • Google 認証システム • Authy(マルチデバイスでおすすめ)
24
Amazon EC2 の IAM ロール
• アプリケーションからAWSリソースにアクセスするにはAWS認証情報を持ってAPIリクエストする必要がある
• サンプル:AWS SDK for Ruby
25
AWS.config({:access_key_id => 'ACCESS_KEY_ID',:secret_access_key => 'SECRET_ACCESS_KEY',:region => 'us-west-2',})
プログラム
IAMユーザで利⽤ 認証情報をEC2内に持たせる。 保管やローテーションの検討が必要
プログラム
IAM ロールで利⽤IAMロールによる権限はテンポラリ。ローテーションも⾃動
Amazon EC2 の IAM ロール
• IAM roleをEC2に割り当てることでローカルにセキュリティ情報を持たなくて良い
26
プログラム
IAM ロールで利⽤IAMロールによる権限はテンポラリ。ローテーションも⾃動
Amazon EC2 の IAM ロール
• 注意 • IAM roleはEC2 Launch時にしか割り当
てられない。 • Launchしたあとには割り当て不可 • 割り当てさえしておけば、後からroleが
持つ権限の内容を変更可能。
27
AWSアカウントのアクティビティの履歴の保持
• AWS CloudTrailはAWSアカウントで利⽤されたAPI Callを記録し、S3上にログを保存するサービス
• AWSのリソースにどのような操作が加えられたか記録に残す機能のため、必ず有効化
• 特別な問題がない限り全リージョンで有効化
28
Switch Role
29
Amazon EC2インスタンスへのOSレベルのアクセスの管理
• EC2キーペア • ログイン時の認証
30
データの保護
• リソース単位でのユーザ制限 • 各サービスのデータ保護⽅法
31
OSとアプリケーションのセキュリティによる保護
• AMI公開時の注意点 • マルウェアからの防衛 • パッチ管理 • 侵害と迷惑⾏為の軽減
32
インフラストラクチャの保護
• VPCの利⽤ • セキュリティゾーンニングとネットワーク
セグメントテーションの使⽤ • ネットワークセキュリティの強化 • テストセキュリティ • DoS、DDoS攻撃に対する緩和及び⽅法
33
セキュリティモニタリング、アラート、監査証跡、およびインシデント対応の管理
• 変更管理ログの使⽤ • 重要なトランザクションのログの管理 • 障害のログ記録
34
35
セキュリティプロセスの概要
36
⽤途
• AWSが、セキュリティ(データの機密性、完全性、可⽤性)をどのように⽀援してくれるのか?を確認できます。
37
概要
• AWSの各サービスのセキュリティ機能が説明されている。
• 利⽤中、これから利⽤予定のサービスについてセキュリティ機能を把握したい場合に有効
38
概要
以下の3つに分けて説明 • AWS グローバルインフラストラクチャの
セキュリティ • AWSアカウントのセキュリティ機能 • AWSサービス固有のセキュリティ
39
例えば「物理的および環境のセキュリティ」
• Amazonのデータセンター • 場所の秘匿性 • 周囲の厳重なセキュリティ(ビデオ監視
カメラ、侵⼊検出システム) • 物理アクセスの厳密なコントロール • 2要素認証を2回以上で管理者がアクセス
40
例えば「Amazon RDSのセキュリティ」
• アクセスコントロール • ネットワーク隔離 • 暗号化 • ⾃動バックアップとスナップショット • レプリケーション • ⾃動パッチ適⽤ • イベント通知
41
和訳との差異 セキュリティプロセス(2016年2⽉14⽇現在)
• Changes since last version (Nov 2014): • Updated compliance programs • Updated shared security responsibility model • Updated AWS Account security features • Reorganized services into categories • Updated several services with new features: CloudWatch, CloudTrail,
CloudFront, EBS, ElastiCache, Redshift,Route 53, S3, Trusted Advisor, and WorkSpaces
• Added Cognito Security • Added Mobile Analytics Security • Added WorkDocs Security
42
43
リスクとコンプライアンス
44
概要
• リスク管理と規格の適合について記載
45https://aws.amazon.com/jp/compliance/pci-data-privacy-protection-hipaa-soc-fedramp-faqs/
コンプライアンス
46
AWS Global Infrastructure
Edge LocationRegion
Availability Zone
AWS Foundation Services
Compute Storage Database Networking
Network Security
Customer Applications & Content
https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf
Inventory & Config
Access Control
Data Security
46
⽤途
ある⽇突然現れる調査票 連携会社や、お客様から調査票が送付されて「コレってどうなっている?」って聞かれたことがある⽅?
47
調査例
48
質問 対応状況
返品された、損傷を受けた、または陳腐化した在庫については、必ず消去、消磁、シュレッド、または物理的破壊を施してから廃棄し(例: DVD ならシュレッド、ハードドライブなら破壊)、資産管理台帳に除却した事実を反映していますか?
AWSの対応が書いてある
49
AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf 101ページ
和訳との差異 リスクとコンプライアンス (2016年2⽉14⽇現在)
• January 2016 • Added GxP Compliance Program • Twelfth region added (Asia Pacific - Seoul)
• December 2015 • Updates to certifications and third-party attestations summaries • Added ISO 27017 certification • Added ISO 27018 certification • Eleventh region added (China - Beijing)
• November 2015 • Update to CSA v3.0.1
50
51
AWSの使⽤に際しての セキュリティ監査チェックリスト
52
チェックドキュメント
53
⽤途
• セキュリティベストプラクティスで対応した内容を、リストを照らし合わせてチェックできる。
• 内部セキュリティ、リスク、およびコンプライアンスを担当するチーム、あるいはAWS の使⽤にあたって各種の評価をするお客様の外部監査担当者が使うドキュメント
54
概要
• 監査⼈の調査するポイントが書いてある。
• システム構築者(監査受ける側)は対応すべき内容を把握できる。
55
例
56
和訳との差異 AWSの使⽤に際してのセキュリティ監査チェックリスト(2016年2⽉14⽇現在)
• バージョンヒストリーが無い。差異がわからず。
• 時間が⾜りず、未確認です。 • バージョンヒストリーをつけて欲し
い・・・
57
58
共有責任の統制モデル
59
60
AWS Global Infrastructure
Edge LocationRegion
Availability Zone
AWS Foundation Services
Compute Storage Database Networking
Network Security
Customer Applications & Content
https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf
Inventory & Config
Access Control
Data Security
AWSの部分は準拠済み
61
AWS Global Infrastructure
Edge LocationRegion
Availability Zone
AWS Foundation Services
Compute Storage Database Networking
Network Security
Customer Applications & Content
https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf
Inventory & Config
Access Control
Data Security
Network Security
Customer Applications & Content
Inventory & Config
Access Control
Data Security
62
AWS Global Infrastructure
Edge LocationRegion
Availability Zone
AWS Foundation Services
Compute Storage Database Networking
Network Security
Customer Applications & Content
https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf
Inventory & Config
Access Control
Data Security
Network Security
Customer Applications & Content
Inventory & Config
Access Control
Data Security
ユーザはAWSがカバーしていない部分を準拠させれば良い
• 継承統制 • ハイブリッド統制 • 共有統制 • ユーザ固有の統制
63
継承統制
• AWSから完全に継承される • AWSが準拠していればユーザも準拠した
ものとみなされる • 例えば、物理的や環境⾯など
64
ハイブリッド統制
• AWSが部分的な実装を提供 • AWSが⼀部に責任を持ち、残りはユーザ
が責任を持つ必要がある • 例えば、アクセスコントロールなど
65
共有統制
• AWSが特定のレイヤの実装を提供 • あるレイヤはAWSが、あるレイヤはユー
ザが責任を持つ • 例えば、パッチの適⽤、構成管理など
66
67
AWS Global Infrastructure
Edge LocationRegion
Availability Zone
AWS Foundation Services
Compute Storage Database Networking
Network Security
Customer Applications & Content
https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf
Inventory & Config
Access Control
Data Security
Network Security
Customer Applications & Content
Inventory & Config
Access Control
Data Security
68
AWS Global Infrastructure
Edge LocationRegion
Availability Zone
AWS Foundation Services
Compute Storage Database Networking
Network Security
Customer Applications & Content
https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf
Inventory & Config
Access Control
Data Security
Network Security
Customer Applications & Content
Inventory & Config
Access Control
Data Security
ユーザはAWSがカバーしていない部分を準拠させれば良い
69
70
71
おすすめ資料
• まず概要を知りたい⼈は、こちらもオススメです。
• AWS 初⼼者向けWebinar 「利⽤者が実施するAWS上でのセキュリティ対策」
http://aws.typepad.com/sajp/2015/12/aws-security-for-users-material.html
72
まとめ
• 必ず出てくる「共有責任モデル」 • 各和訳のドキュメントで差分知った上で確
認すれば良い • 共有責任の統制モデル
73
ご静聴ありがとうございました
74
QA
75