jaws-ug福岡 vpc実践編 + よりセキュアな環境実例
TRANSCRIPT
2013.3.19 JAWS-UG福岡
VPC実践編+
よりセキュアな環境実例
後藤 和貴@kaz_goto
facebook.com/kaz.goto
自己紹介プロフィール
アイレット株式会社 cloudpack エバンジェリストJAWS-UG 副代表
出没するJAWS-UG: 東京、大阪、福岡、宮崎、 浜松、静岡、鹿児島、沖縄、名古屋、札幌、 北陸、熊本、長崎、神戸、岩手
受賞歴: AWS SAMURAI 2012/2013!! (個人) 2011年度パートナー特別賞(会社)
好きなAWSサービス: プレミアムサポート
好きなCDP:
@kaz_gotofacebook.com/kaz.gotoslideshare.net/kaz.goto
1年前の勉強会...
ほぼ反応なし...
VPC関連アップデート1/11 【AWS発表】 クラウドに専用線接続できるAWS Direct Connectが東京リージョンでも利用可能に
1/24 【AWS発表】 Virtual Private Cloudの中でRelational Database Serviceが利用可能に
2/6 【AWS発表】 Elastic MapReduceの新機能:メトリクス、Hadoopのアップデート、VPC、そしてクラスタコンピュートのサポート
4/26 【AWS発表】 Virtual Private Cloudの中でクラスターコンピュートインスタンスが利用可能に
5/18 【AWS発表】Amazon RDSのリードレプリカがVPC内でも作成可能に
6/12 【AWS発表】プライベートIPを負荷分散できるELBが登場!
7/7 【AWS発表】VPC内の単一EC2インスタンスに複数のIPアドレス関連づけることが可能に!
8/17 Additional RDS for Oracle Features - VPC Support, Oracle Application Express (APEX) and Oracle XML DB
8/15 【AWS発表】AWS Direct Connect - 新しいロケーションとコンソールサポート
9/14 【AWS発表】Amazon RDS for SQL Server が VPC内で利用可能に
9/17 【AWS発表】Amazon VPCに2つの新機能が追加 - BGPをサポートしないデバイスでもVPCに接続可能に
10/19 【AWS発表】Virtual Private Cloud (VPC) 内でEC2のマイクロインスタンスが起動可能に!
11/1 【AWS発表】 AWS Elastic Beanstalk - Rubyのサポート開始、さらにVPC統合も可能に
新規のお客さんはほとんどがVPC利用
設計が細かく毎回手作業は危険
かつ毎回同じ設計をしている
たとえば...
VPCネットワーク構成
サブネット作成指針
ルーティング
• Public - インターネットとInbound/Outbound可
• Protected - インターネットへNAT経由でOutboundのみ可
• Private - インターネットへのアクセス不可(社内へは可)
IPアドレス固定・任意
• 自動でIPが付与されるELB/RDS/Auto Scaling利用とわけるため
セキュリティグループ接続用途別に作成
Functional Firewallパターン
• EC2標準• データベース(MySQL/Oracle)Operational Firewallパターン
• cloudpackからアクセス(監視・メンテ)• 踏み台へのアクセス• NATへのアクセス• 管理画面へのアクセス
Functional Firewallパターン
ルールをグループ化し、グループ単位での設定や各サーバーへの適用を行うことができるものもある。このグループの単位を機能ごと(WebやDBなど)にすることで、機能に関する設定をグループ内で一元管理できるようになる。
Operational Firewallパターン
ルールをグループ化し、グループ単位で設定したりサーバーに適用したりできる。このグループという単位をシステムにアクセスできる組織などにすることで、非機能要件的なアクセス制限に関する設定を使いやすく分割/一元管理することができる。
メンテナンス用NATサーバーメンテナンスのときだけNATを利用して外部へアクセス
例: yumアップデート
OnDemand NATパターン
OnDemand NATパターン
NATを仮想サーバーで実現し、OSパッケージのアップデートなどのメンテンス時だけ起動するようにしておけば、コスト効率がよくなる。APIを利用してNAT(仮想サーバー)の起動と停止を自動化することも可能である。
踏み台サーバーサーバーメンテナンス時のアクセス経路
定型化できる部分が多い
これらすべて自動化
これらすべて自動化=
CloudFormation
https://github.com/suz-lab/suz-lab-centos-ami/tree/master/share/cloudfromation
カスタマイズしたい場合もOK
くわしくはこちらhttp://blog.suz-lab.com/2012/12/cdp-templates.html
メリットテンプレートを利用して、必要なときに起動する(構成を作る)ことが簡単にできる
CloudFormationなら面倒な構成を一瞬で構築可能=作業時間短縮
すでにテスト済みの環境を構築するのでフルテストは不要=信頼性が高い
設計そのものがテンプレートされることで、再利用が可能で、かつ設計上のミスも発生しにくくなる
PCI DSS対応の話
PCI DSSとはクレジットカードブランド5社により策定された、クレジット業界のセキュリティ基準クレジットカード会社は加盟店に対し要求を満たさない場合にペナルティを科したり保険料率に差をつけたりしている
米国では「PCI DSSの重要部分に適合しない場合、刑事罰を受ける」と法制化している州も
データの漏洩などが発生した場合にPCI DSS運用を正しく行っていたことを30日以内に証明できると、金融機関からの基礎を回避することができると規定している州も
12の要件から細かくドリルダウンした実装レベルでの明確な規定がされているクレジット業界以外でのグローバルなセキュリティ基準として対応するケースが多い
業務委託先も含めて対応が必要
http://coiney.com/
System ChallengePCI-DSS compliant on the cloud?Mostly, PCI-DSS on own server.
Differences between cloud vs. own server.
AWS Management Console logging?
DMZ, WAF implementation?
NTP server?
Antivirus software?
System auto-lockout?
Log, Log, and LOG! i.e. Firewall log? File consistency? File monitoring?
Coiney社の資料より抜粋
クラウド上でPCI DSSを取ることができるのか?必要な対策を講じることができるのか?
cloudpack(に期待したこと)Leverage cloudpack knowledge
Discussion with PCI consultants
Establish the PCI-compliant environment on AWS
Coiney社の資料より抜粋
AWS上でのシステム構築ノウハウ提供PCI DSS準拠支援会社とコラボ
どう対応したのか
システム概念図
対応サマリFirewall設定
セキュリティソフトウェア導入
アカウント管理
アクセス記録・ログ集約管理
脆弱性対策
Firewall一旦すべてアクセス不可
必要な箇所を許可
サーバー毎の通信許可
個別のセキュリティグループ(サブネットは通信要件毎に分けている)
セキュリティソフトウェア導入Trend Micro Deep Security
IPS/IDS/改ざん検知/Firewall/WAF/ログ監視
ServerProtect
ウィルス対策(リアルタイムスキャン)
http://jp.trendmicro.com/jp/products/enterprise/tmds/pcidss/
アカウント管理サーバー毎ではなく個人毎のアカウント
OpenLDAP導入・権限管理
パスワード有効期限
90日
ロックアウト対応6回以上パスワードトライされたらロック
アクセス記録・ログ集約管理ログ管理
EC2インスタンス内に1週間分残す
fluentd経由でログサーバーへまとめ、S3へアーカイブ
[参考] FluentdでWeb Storage Archiveパターンhttp://blog.cloudpack.jp/2013/01/aws-‐‑‒news-‐‑‒cdp-‐‑‒web-‐‑‒storage-‐‑‒archive-‐‑‒fluentd.html
アクセス記録・ログ集約管理Management Consoleアクセス制限とログ記録
多要素認証に加えて誰が何をしたか記録が必須
プロキシ経由のみアクセス可
プロキシサーバー上でアクセスログ記録
[参考] Squid経由でAWSマネジメントコンソールにアクセスしてソースIP制限や認証やログ取得http://blog.cloudpack.jp/2013/02/aws-‐‑‒news-‐‑‒squid-‐‑‒aws-‐‑‒console-‐‑‒ip-‐‑‒log.html
脆弱性対策ミドルウェア最新化
Apacheはパッケージでは不可だったため、最新版ソースをコンパイル
• IPA(独立行政法人 情報処理推進機構)の定めるCVSS 4.0以上(レベルIII危険+レベルII警告)はすべて対策必須のため
Deep Security仮想パッチ
ソフトウェアのセキュリティパッチ提供前に脆弱性を保護
パッチ適用後は自動的に外れる
AWSはPCI DSSレベル1準拠レベル1サービスプロバイダとして認定
EC2/S3/EBS/VPC/RDS/ELB/IAMがPCI検証済み
cloudpack担当範囲
その他運営およびアプリレベルですべて対応
日経コンピュータ
AWS導入事例ページ
プレスリリース(PCFさんと提携リリース画面キャプチャ)
ワンストップでサービス提供
•PCI DSS準拠⽀支援•QSA
•インフラ構築•PCI DSS準拠対策
エンドユーザー
•PCI DSSレベル1サービスプロバイダ
PCI DSS準拠インフラ構築サービス
AWS上でPCI DSS対応するなら
AWSの足りない部分を補完した月額費用固定型フルマネージドホスティング
24時間365日サーバー運用・保守
電話/メールによるサポート
初期費用なし(移行作業含む)
月額5万円からのスタート
日本円で請求書発行
フルマネージドサービス/リソース監視ディスク使用量、メモリ使用量、プロセス数、Webサーバー・DBサーバー死活...
バックアップ/リストアEBSスナップショットを利用した二世代(過去二日分)バックアップ
アクセス制御(ファイアーウォール)適切なセキュリティグループを設定、OS・ミドルウェアレベルでさらに細かな設定も対応可能
定額課金・請求書払い
従量課金では予算計画が立てられない
クレジットカードでUSドル決済では利用料の予測が難しい
Amazon Web Servicesでは...
月額固定+日本円請求書発行
バースト保障
キャンペーンなど急激なアクセス増加へ合わせてインフラ準備するのは不可能
いつあるかわからないピークのために予め準備できない
追加料金無しでスケールアウト(7インスタンス日まで)
最後に
今日会場に来た皆さんにプレゼント
cloudpack版PCI DSSベーステンプレートhttps://github.com/suz-lab/suz-lab-cloudformation/blob/master/pattern/suz-lab_0302_admin_firewall.json