Classmethod-developers.io-2016-d4-45min-aws-security

45分で学ぶAWSのセキュリティ

DevelopersIO 2016

1

2016/2/21 クラスメソッド Kaji

⾃⼰紹介梶浩幸（かじひろゆき） Twitter ID:@cocacola917 AWSコンサルティング部札幌オフィス勤務 2014年8⽉JOIN ネットワーク屋出⾝好きなAWSサービス • VPC

2

コカコーラ⼤好き

3

はじめに

• AWSを利⽤して1年以上の⽅ • AWSを利⽤して1年未満の⽅ • AWSをこれから利⽤予定の⽅

4

今⽇は何を話すの？

• AWSセキュリティ関連資料の・・・ • ⽤途 • 概要やポイント • 和訳との差異

をご紹介

5

今回ご紹介するAWSのセキュリティ資料https://aws.amazon.com/jp/security/ 代表的なもの(2016年2⽉14⽇現在）

6

英語名和名和訳有無や最新版

AWS Cloud Security Best Practices

セキュリティベストプラクティス和訳差異無し 2013/11

AWS Cloud Security Whitepaper(Overview of Security Processes)

セキュリティプロセスの概要 US 2015/8 和訳 2014/11

AWS Risk and Compliance Whitepaper

リスクとコンプライアンス US 2016/1 和訳 2015/8

Introduction to Auditing the Use of AWS

AWSの使⽤に際してのセキュリティ監査チェックリスト

US 2015/10 和訳 2013/6

7

セキュリティベストプラクティス

8

⽤途

• AWSを設計・設定する上で必要なセキュリティに関する内容が記載されている

• 今回はポイントを絞ってご紹介

9

共有責任モデル（責任分担モデル）

10

保護対象の確認

11

セキュリティポリシーを検討

「何を保護するのか」、「その理由は何か」

その保護に関する責任・体制「誰がその責任を負うのか」

共有責任モデル（責任分担モデル）

12

• ファシリティ • 物理セキュリティ • コンピュータインフラ • ストレージインフラ • ネットワークインフラ • 仮想レイヤー

• OS • アプリケーション • セキュリティグループ • ファイヤーウォール • ネットワーク設定 • アカウント管理

ドキュメント内では、責任分担モデルで記載

利⽤者

13

AWS Global Infrastructure

Edge LocationRegion

Availability Zone

AWS Foundation Services

Compute Storage Database Networking

Network Security

Customer Applications & Content

https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf

Inventory & Config

Access Control

Data Security


14


Edge LocationRegion

Availability Zone



Network Security



Inventory & Config

Access Control

Data Security

スコープ外！


Q.先ほどの共有責任モデルはAWSサービス全部同じ？

15

インフラストラクチャサービス

16

AWS セキュリティのベストプラクティス（⽇本語）より https://aws.amazon.com/jp/security/security-resources/

https://aws.amazon.com/jp/security/security-resources/

コンテナサービス

17



抽象化されたサービス

18



AWS アカウントと IAM ユーザー、グループ、およびロールの管理

19

AWSアカウント

• 新しいシステム構築するときの質問 • AWSアカウントを別に作成？ • 既存のアカウントに追加？

20

AWSアカウント• 単⼀のAWSアカウント • セキュリティ⼀元管理

• 複数のAWSアカウント • 独⽴した複数の部⾨ • 複数のプロジェクト • 本番⽤、開発⽤、テスト⽤など • 利⽤費⽤を明確に把握したい（→私が追記）

21

IAMユーザ・グループ・アカウント

• IAM(AWS Identity and Access Management) は、AWSユーザーに対して AWSのリソースへのアクセスできる範囲やアクセス⽅法を安全に制御するためのサービス

22

IAMのベストプラクティス

1.AWSアカウント（ルート）のアクセスキーはロックする 2.個々のIAMユーザを作成する 3.IAMユーザへのアクセス権を割り当てるため、グループを使う 4.最⼩限の特権を認める 5.ユーザのための強度の⾼いパスワードを設定する 6.特権ユーザに対しては、MFAを有効にする 7.EC2で作動するアプリケーションについてロールを使⽤する 8.認証情報を共有するのではなく、ロールを使って委任する 9.認証情報を定期的にローテーションする 10.不要の認証の削除 11.追加セキュリティに対するポリシー条件を使⽤する 12.AWSアカウントのアクティビティの履歴の保持

23

OSのアカウント管理と考え⽅が近い。⼤きく異なるポイント3つをご紹介

http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/best-practices.html

http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/best-practices.html

MFA 多要素認証（Multi-Factor Authentication）

• パスワード＋デバイス • パスワード＋指紋など • know + have/are の組み • 2要素認証が⼀般的 • Google 認証システム • Authy（マルチデバイスでおすすめ）

24

Amazon EC2 の IAM ロール

• アプリケーションからAWSリソースにアクセスするにはAWS認証情報を持ってAPIリクエストする必要がある

• サンプル:AWS SDK for Ruby

25

AWS.config({:access_key_id => 'ACCESS_KEY_ID',:secret_access_key => 'SECRET_ACCESS_KEY',:region => 'us-west-2',})

プログラム

IAMユーザで利⽤認証情報をEC2内に持たせる。保管やローテーションの検討が必要

プログラム

IAM ロールで利⽤IAMロールによる権限はテンポラリ。ローテーションも⾃動


• IAM roleをEC2に割り当てることでローカルにセキュリティ情報を持たなくて良い

26

プログラム

IAM ロールで利⽤IAMロールによる権限はテンポラリ。ローテーションも⾃動


• 注意 • IAM roleはEC2 Launch時にしか割り当

てられない。 • Launchしたあとには割り当て不可 • 割り当てさえしておけば、後からroleが

持つ権限の内容を変更可能。

27

AWSアカウントのアクティビティの履歴の保持

• AWS CloudTrailはAWSアカウントで利⽤されたAPI Callを記録し、S3上にログを保存するサービス

• AWSのリソースにどのような操作が加えられたか記録に残す機能のため、必ず有効化

• 特別な問題がない限り全リージョンで有効化

28

Switch Role

29

Amazon EC2インスタンスへのOSレベルのアクセスの管理

• EC2キーペア • ログイン時の認証

30

データの保護

• リソース単位でのユーザ制限 • 各サービスのデータ保護⽅法

31

OSとアプリケーションのセキュリティによる保護

• AMI公開時の注意点 • マルウェアからの防衛 • パッチ管理 • 侵害と迷惑⾏為の軽減

32

インフラストラクチャの保護

• VPCの利⽤ • セキュリティゾーンニングとネットワーク

セグメントテーションの使⽤ • ネットワークセキュリティの強化 • テストセキュリティ • DoS、DDoS攻撃に対する緩和及び⽅法

33

セキュリティモニタリング、アラート、監査証跡、およびインシデント対応の管理

• 変更管理ログの使⽤ • 重要なトランザクションのログの管理 • 障害のログ記録

34

35

セキュリティプロセスの概要

36

⽤途

• AWSが、セキュリティ（データの機密性、完全性、可⽤性）をどのように⽀援してくれるのか？を確認できます。

37

概要

• AWSの各サービスのセキュリティ機能が説明されている。

• 利⽤中、これから利⽤予定のサービスについてセキュリティ機能を把握したい場合に有効

38

概要

以下の3つに分けて説明 • AWS グローバルインフラストラクチャの

セキュリティ • AWSアカウントのセキュリティ機能 • AWSサービス固有のセキュリティ

39

例えば「物理的および環境のセキュリティ」

• Amazonのデータセンター • 場所の秘匿性 • 周囲の厳重なセキュリティ（ビデオ監視

カメラ、侵⼊検出システム） • 物理アクセスの厳密なコントロール • 2要素認証を2回以上で管理者がアクセス

40

例えば「Amazon RDSのセキュリティ」

• アクセスコントロール • ネットワーク隔離 • 暗号化 • ⾃動バックアップとスナップショット • レプリケーション • ⾃動パッチ適⽤ • イベント通知

41

和訳との差異セキュリティプロセス(2016年2⽉14⽇現在）

• Changes since last version (Nov 2014): • Updated compliance programs • Updated shared security responsibility model • Updated AWS Account security features • Reorganized services into categories • Updated several services with new features: CloudWatch, CloudTrail,

CloudFront, EBS, ElastiCache, Redshift,Route 53, S3, Trusted Advisor, and WorkSpaces

• Added Cognito Security • Added Mobile Analytics Security • Added WorkDocs Security

42

43

リスクとコンプライアンス

44

概要

• リスク管理と規格の適合について記載

45https://aws.amazon.com/jp/compliance/pci-data-privacy-protection-hipaa-soc-fedramp-faqs/

コンプライアンス

46


Edge LocationRegion

Availability Zone



Network Security



Inventory & Config

Access Control

Data Security

46


⽤途

ある⽇突然現れる調査票連携会社や、お客様から調査票が送付されて「コレってどうなっている？」って聞かれたことがある⽅？

47

調査例

48

質問対応状況

返品された、損傷を受けた、または陳腐化した在庫については、必ず消去、消磁、シュレッド、または物理的破壊を施してから廃棄し（例: DVD ならシュレッド、ハードドライブなら破壊）、資産管理台帳に除却した事実を反映していますか？

AWSの対応が書いてある

49

AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf 101ページ

和訳との差異リスクとコンプライアンス (2016年2⽉14⽇現在）

• January 2016 • Added GxP Compliance Program • Twelfth region added (Asia Pacific - Seoul)

• December 2015 • Updates to certifications and third-party attestations summaries • Added ISO 27017 certification • Added ISO 27018 certification • Eleventh region added (China - Beijing)

• November 2015 • Update to CSA v3.0.1

50

51

AWSの使⽤に際してのセキュリティ監査チェックリスト

52

チェックドキュメント

53

⽤途

• セキュリティベストプラクティスで対応した内容を、リストを照らし合わせてチェックできる。

• 内部セキュリティ、リスク、およびコンプライアンスを担当するチーム、あるいはAWS の使⽤にあたって各種の評価をするお客様の外部監査担当者が使うドキュメント

54

概要

• 監査⼈の調査するポイントが書いてある。

• システム構築者（監査受ける側）は対応すべき内容を把握できる。

55

例

56

和訳との差異 AWSの使⽤に際してのセキュリティ監査チェックリスト(2016年2⽉14⽇現在）

• バージョンヒストリーが無い。差異がわからず。

• 時間が⾜りず、未確認です。 • バージョンヒストリーをつけて欲し

い・・・

57

58

共有責任の統制モデル

59

60


Edge LocationRegion

Availability Zone



Network Security



Inventory & Config

Access Control

Data Security

AWSの部分は準拠済み


61


Edge LocationRegion

Availability Zone



Network Security



Inventory & Config

Access Control

Data Security

Network Security


Inventory & Config

Access Control

Data Security


62


Edge LocationRegion

Availability Zone



Network Security



Inventory & Config

Access Control

Data Security

Network Security


Inventory & Config

Access Control

Data Security

ユーザはAWSがカバーしていない部分を準拠させれば良い


• 継承統制 • ハイブリッド統制 • 共有統制 • ユーザ固有の統制

63

継承統制

• AWSから完全に継承される • AWSが準拠していればユーザも準拠した

ものとみなされる • 例えば、物理的や環境⾯など

64

ハイブリッド統制

• AWSが部分的な実装を提供 • AWSが⼀部に責任を持ち、残りはユーザ

が責任を持つ必要がある • 例えば、アクセスコントロールなど

65

共有統制

• AWSが特定のレイヤの実装を提供 • あるレイヤはAWSが、あるレイヤはユー

ザが責任を持つ • 例えば、パッチの適⽤、構成管理など

66

67


Edge LocationRegion

Availability Zone



Network Security



Inventory & Config

Access Control

Data Security

Network Security


Inventory & Config

Access Control

Data Security


68


Edge LocationRegion

Availability Zone



Network Security



Inventory & Config

Access Control

Data Security

Network Security


Inventory & Config

Access Control

Data Security

ユーザはAWSがカバーしていない部分を準拠させれば良い


69

70

71

おすすめ資料

• まず概要を知りたい⼈は、こちらもオススメです。

• AWS 初⼼者向けWebinar 「利⽤者が実施するAWS上でのセキュリティ対策」

http://aws.typepad.com/sajp/2015/12/aws-security-for-users-material.html

72

http://aws.typepad.com/sajp/2015/12/aws-security-for-users-material.html

まとめ

• 必ず出てくる「共有責任モデル」 • 各和訳のドキュメントで差分知った上で確

認すれば良い • 共有責任の統制モデル

73

ご静聴ありがとうございました

74

QA

75

Engineering

Classmethod-developers.io-2016-d4-45min-aws-security