1から学ぶクラウドのセキュリティ勉強会@北九州「awsに組み込まれてるセキュリティ機能」...
DESCRIPTION
1から学ぶクラウドのセキュリティ勉強会@北九州 2014.08.23 「AWSに組み込まれてるセキュリティ機能」TRANSCRIPT
1から学ぶクラウドのセキュリティ勉強会@北九州
HAW International, Inc 2014. 8. 23 安土 茂亨
AWSに組み込まれている
セキュリティ機能
自己紹介 (安土 茂亨)
株式会社ハウインターナショナル
● Cloud Integratoin Service(クラウドに特化したシステム設計、環境構築、運用監視、 etc..)
● クラウドに特化した受託開発
AWSでのセキュリティの考え方
共有責任モデル
(Shared Responsibility Model)
● 物理的なセキュリティ○ 場所の秘匿○ 全アクセスをロギング○ 物理アクセス可能なスタッフは論
理アクセス不可能● VMのセキュリティ
○ インスタンスの隔離○ 別のEC2のインスタンスデータの
読み取りは不可能○ APIのエンドポイントSSL
● ネットワークセキュリティ○ SGの設定に従ったアクセス制御○ ポートスキャンの検知・ブロック
● OSより上の階層の設定
● OSのファイアウォール
● ネットワーク設定
● SGの管理
● アカウント管理
● アプリケーションのセキュリティ
よくあるいつも気をつけていないといけないこと。
AWS独自のセキュリティ関連機能
● セキュリティグループ
● VPC(Virtual Private Cloud)
● IAM(Identity and Accesss Management)
● MFA(Multi Factor Authentication)デバイス
● ストレージの暗号化
● Trusted AdvisorAWSセキュリティセンター
http://aws.amazon.com/jp/security/
セキュリティグループ
EC2のインスタンスのトラフィックを制御する仮想ファイアウォール
Amazon EC2
Inbound、Outboundのトラフィックをプロトコル、
ポート、Sourcsを指定して制御
Inbound
Outbound
security group
VPC(Virtual Private Cloud)
virtual private cloud
AWS cloud
コーポレートDC
Public subnet Private subnet
Amazon EC2 Amazon EC2
オンプレサーバ
VPN
論理的に分離した仮想ネットワーク環境を構築
IPレンジ
Subnet
ルートテーブル
Gateway
インターネットからのアクセスを許可するPublic Subnet
インターネットからのアクセスは許可せず、既存データセンターからのアクセスを許可するPrivate Subnet
セキュリティグループ、ACLでセキュリティ制御
Private Subnetへの接続方法
① 専用線接続DC or オフィスとAWS間をインターネットを介さずに
専用線経由でアクセス。AWS Direct Connect
customer gateway
virtual private gateway
VPN connection
②ハードウェアVPN接続DC or オフィスのルーターとAWSの仮想ゲートウェイを
IPSec VPNで接続。
③ソフトウェアVPN接続Public Subnet内のインスタンスに構築したOpenVPN Serverを経由しPrivate Subnetに接続。
instance
VPCのネットワークACL
VPC subnet
security group
Amazon EC2
Network ACL
Subnet内のトラフィックを制御するファイアウォール
セキュリティグループ ネットワークACL
インスタンス単位で設定 Subnet単位で設定
許可するルールのみ設定可能
許可ルールと拒否ルールを設定可能
IAM(Identity and Access Management)
● AWSサービスにアクセス可能な個々のユーザを作成
● ユーザ個別にセキュリティ認証情報
(パスワード、アクセスキー、MFA)を設定
● 各AWSサービスへのPermission設定
● ユーザの集合に対して権限設定できるグループ
● AWSサービスにアクセスできる権限を定義し、AWSサービスに適用でき
るRole
● IAM Role for EC2 Instance
EC2起動時にインスタンスに適用するRoleを指定すれば、Roleの権限
によって、そのインスタンスから他のAWSサービスへアクセス可能に。
user
group
role
instancerole
適用 Roleに定義された権限を有するアクセスキーが自動的に配信され
定期的に更新される
APIやSDKを利用しAWSリソースにアクセスする際
のアクセスキー等
MFAデバイス
ユーザ名とパスワードに加えて
MFAデバイスからの認証コードを使って
認証を行う仕組み。
購入するにはUS amazon.comのアカウントが必要
スマホ向け仮想MFAアプリ
ストレージの暗号化
Amazon S3
Server Side Encryption
アップロード 暗号化
AWS側で生成したキーで暗号化
Client Side Encryption
アップロード
アップロード
暗号化
自前のキーを使用暗号化後はメモリ
上から削除
Ruby
Java
暗号化
クライアントサイド暗号化
ストレージの暗号化
Amazon RDS
SSLによる通信の暗号化
instances
SSL
透過的なデータ暗号化(TDE)をサポート
暗号化/復号化のオーバヘッドは発生
● ストレージに書き込まれる前にデータを暗号化
● ストレージから読み込まれた後にデータを復号化
Amazon EBS
EBS Volumeの暗号化をサポート
volumeinstanceM3、C3、R3、CR1、G2、I2ファミリーのみサポート
スナップショット作成アタッチ
snapshot
スナップショットも自動的に暗号化※Root Volumeの暗号化は不可
Trusted Advisor最近、無料化
(4プラクティス)
● 特定のポートに対して無制限アクセスを許可してないか?
● ルートアカウントでMFAが無効でないか?
● EC2のインスタンスやEBSボリュームが80%超えてないか?
● 最近EBSのSnapshotが取られてない?
● ロードバランサの最適化の提案