Upload
koki-abe
View
552
Download
1
Embed Size (px)
Citation preview
クラウドセキュリティ FAQセキュリティ対策を分解して考える
2017 年 2 月 2 日AWS 事業部 阿部 洸樹
自己紹介• AWS 事業部• 阿部 洸樹• アーキテクトグループ(設計 / 構築)• セキュリティチーム• AWS 資格 5 冠
2
本セッションでお伝えすること 3
• セキュリティ対策は難しい• 対策を分解して考える事が大切• よく行う対策
4
セキュリティ対策は難しい
はじめに
5
3 つの理由1 2 3
完璧なセキュリティ対策は存在しない
セキュリティ対策が難しい理由
6
3 つの理由1 2 3
いい感じの対策が望ましい
セキュリティ対策が難しい理由
3 つの理由1 2 3
セキュリティという言葉は便利に使われている
7セキュリティ対策が難しい理由
8
セキュリティ対策を分解して考える
セキュリティ対策で大切なこと
セキュリティ対策分解図
セキュリティ対策
AWS ユーザ担当者
9
責任共有モデル
AWS の担当 = クラウドのセキュリティ
ユーザーの担当 = クラウド内のセキュリティ
ハードディスクの廃棄データセンターのセキュリティ
適切な AWS 設定(ネットワーク、アカウント)OS 、アプリケーション
10
https://aws.amazon.com/jp/compliance/shared-responsibility-model/
11
AWS の担当箇所は任せよう
セキュリティ対策を担当者で分解
セキュリティ対策分解図
ユーザ
必須 オプション要件
12
人のセキュリティ対策
必須 • 出かける前に戸締りをする• 遅い時間帯の外出は避ける• 治安の悪い場所には近づかない
13
人のセキュリティ対策
オプション • 警備サービスに加入する • 番犬を飼う
家や家にいる人を守る
人を守る• ボディガードを雇う
14
15
必須の対策 +(要件に応じて)オプション
セキュリティ対策を要件で分解
16
Amazon EC2 のセキュリティ対策を分解
Amazon EC2
セキュリティ対策分解図
ユーザ
必須 オプション
オンプレと同じAWS 固有か否か
AWS 固有
17
EC2 の必須セキュリティ対策
オンプレミスと同様• 最新の OS を使う• 最新のアプリケーションを使う
脆弱性をついた攻撃を軽減
アクセス制限• 悪意のある人がアクセス出来ないようにする
18
EC2 アクセス制限の基本SecurityGroup
• インスタンス単位• Inbound/Outbound• Permit• ステートフル
NACL
Security Group
EC2
19
EC2 アクセス制限の基本SecurityGroup NACL
HTTP 0.0.0.0/0
SSH 自拠点の IP アドレス
Inbound Outbound
ALL 0.0.0.0/0
最低限の許可 基本は ALL 許可要件に応じて制御
20
VPC Subnet VPC Subnet
EC2 アクセス制限の基本NACLSecurityGroup
• サブネット単位• Inbound/Outbound• Permit/Deny• 番号順にルール適用• ステートレス
21
EC2 アクセス制限の基本NACLSecurityGroup
ALL Deny Block したい IP
ALL Permit 0.0.0.0/0
OutboundInbound
ALL Permit 0.0.0.0/0
デフォルトは許可IP 指定でブロック
基本は ALL 許可要件に応じて制御
22
EC2 の必須セキュリティ対策
AWS 固有の対策23
http://dev.classmethod.jp/cloud/aws/ec2-sec/
セキュリティ対策分解図
ユーザ
必須 オプション
AWS サービス手段AWS パートナー
24
オプション
AWS サービスパートナー
• 気楽に試せる
25
• AWS では出来ないこと• EC2 にインストール• AWS Marketplace• 外部 SaaS
26
AWS サービス
オプション
AWS API 記録
AWS CloudTrail• 有効化を強くオススメ• AWS で実行された API を記録• 弊社では全アカウントで有効
27
http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-online-seminar-2016-aws-cloudtrail-aws-config
AWS 構成管理
AWS Config• 有効化をオススメ• AWS の構成記録• AWS リソースの作成 / 変更を記録• タイムラインで可視化
28
http://dev.classmethod.jp/cloud/aws/aws-config-start/
DDoS 対策
AWS Shield• ELB 、 CloudFront 、 Route53 に自動適用• L3/L4 DDoS 攻撃に対する保護• DDoS レスポンスチームへのアクセス
( Advanced )
29
WAF ( Web Application Firewall )
AWS WAF• WAF 機能• 用意されているシグネチャが少ない
30
プラットフォーム診断
AWS Inspector• プラットフォーム診断• エージェント型• CVE ( OS やミドルウェアの脆弱性)• CIS ( OS やミドルウェアの設定)
31
http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-online-seminar-amazon-inspector
32
パートナーが提供する製品 / サービス
セキュリティ対策 – オプション
リモートメンテナンス
SSL-VPN• メンテナンス拠点の IP を絞れないとき• ユーザーごとに接続出来るインスタンスを絞る
33
マルウェア対策
Anti-Virus• マルウェア対策• バーチャルアプライアンス型• ホスト型
34
WAF
• SaaS 型( Imperva Incapsula )• バーチャルアプライアンス型( F5 BIG-IP など)• ホスト型( Trend Micro Deep Security な
ど)
WAF
35
http://dev.classmethod.jp/security/getting-started-waf/
36
セキュリティ製品を選ぶ前に
ポイント
セキュリティ製品を選ぶ前に
何を何から守りたいのかを明確化
2 つのポイント1 2
37
セキュリティ製品を選ぶ前に2 つのポイント1 2
副作用(運用の手間、誤検知など)の確認
38
39
まとめ
まとめ
まとめ(セキュリティ対策分解図)ユーザ
要件
AWS サービスAWS パートナー
手段AWS 固有
オンプレと同じ
オプション必須固有
AWS
40
まとめ( 3 行)
分解して考える必須の対策を行う要件に応じて追加の対策クラスメソッドにご相談下さい
41