１から学ぶクラウドのセキュリティ勉強会＠北九州「AWSに組み込まれてるセキュリティ機能」...

１から学ぶクラウドのセキュリティ勉強会＠北九州

HAW International, Inc　　2014. 8. 23　安土 茂亨

AWSに組み込まれている

セキュリティ機能

自己紹介 （安土　茂亨）

株式会社ハウインターナショナル

● Cloud Integratoin Service（クラウドに特化したシステム設計、環境構築、運用監視、 etc..）

● クラウドに特化した受託開発

AWSでのセキュリティの考え方

共有責任モデル

（Shared Responsibility Model）

● 物理的なセキュリティ○ 場所の秘匿○ 全アクセスをロギング○ 物理アクセス可能なスタッフは論

理アクセス不可能● VMのセキュリティ

○ インスタンスの隔離○ 別のEC2のインスタンスデータの

読み取りは不可能○ APIのエンドポイントSSL

● ネットワークセキュリティ○ SGの設定に従ったアクセス制御○ ポートスキャンの検知・ブロック

● OSより上の階層の設定

● OSのファイアウォール

● ネットワーク設定

● SGの管理

● アカウント管理

● アプリケーションのセキュリティ

よくあるいつも気をつけていないといけないこと。

AWS独自のセキュリティ関連機能

● セキュリティグループ

● VPC（Virtual Private Cloud）

● IAM（Identity and Accesss Management）

● MFA（Multi Factor Authentication）デバイス

● ストレージの暗号化

● Trusted AdvisorAWSセキュリティセンター

http://aws.amazon.com/jp/security/

セキュリティグループ

EC2のインスタンスのトラフィックを制御する仮想ファイアウォール

Amazon EC2

Inbound、Outboundのトラフィックをプロトコル、

ポート、Sourcsを指定して制御

Inbound

Outbound

security group

VPC（Virtual Private Cloud）

virtual private cloud

AWS cloud

コーポレートDC

Public subnet Private subnet

Amazon EC2 Amazon EC2

オンプレサーバ

VPN

論理的に分離した仮想ネットワーク環境を構築

IPレンジ

Subnet

ルートテーブル

Gateway

インターネットからのアクセスを許可するPublic Subnet

インターネットからのアクセスは許可せず、既存データセンターからのアクセスを許可するPrivate Subnet

セキュリティグループ、ACLでセキュリティ制御

Private Subnetへの接続方法

① 専用線接続DC or オフィスとAWS間をインターネットを介さずに

専用線経由でアクセス。AWS Direct Connect

customer gateway

virtual private gateway

VPN connection

②ハードウェアVPN接続DC or オフィスのルーターとAWSの仮想ゲートウェイを

IPSec VPNで接続。

③ソフトウェアVPN接続Public Subnet内のインスタンスに構築したOpenVPN Serverを経由しPrivate Subnetに接続。

instance

VPCのネットワークACL

VPC subnet

security group

Amazon EC2

Network ACL

Subnet内のトラフィックを制御するファイアウォール

セキュリティグループ ネットワークACL

インスタンス単位で設定 Subnet単位で設定

許可するルールのみ設定可能

許可ルールと拒否ルールを設定可能

IAM（Identity and Access Management）

● AWSサービスにアクセス可能な個々のユーザを作成

● ユーザ個別にセキュリティ認証情報

（パスワード、アクセスキー、MFA）を設定

● 各AWSサービスへのPermission設定

● ユーザの集合に対して権限設定できるグループ

● AWSサービスにアクセスできる権限を定義し、AWSサービスに適用でき

るRole

● IAM Role for EC2 Instance

EC2起動時にインスタンスに適用するRoleを指定すれば、Roleの権限

によって、そのインスタンスから他のAWSサービスへアクセス可能に。

user

group

role

instancerole

適用 Roleに定義された権限を有するアクセスキーが自動的に配信され

定期的に更新される

APIやSDKを利用しAWSリソースにアクセスする際

のアクセスキー等

MFAデバイス

ユーザ名とパスワードに加えて

MFAデバイスからの認証コードを使って

認証を行う仕組み。

購入するにはUS amazon.comのアカウントが必要

スマホ向け仮想MFAアプリ

ストレージの暗号化

Amazon S3

Server Side Encryption

アップロード 暗号化

AWS側で生成したキーで暗号化

Client Side Encryption

アップロード

アップロード

暗号化

自前のキーを使用暗号化後はメモリ

上から削除

Ruby

Java

暗号化

クライアントサイド暗号化

ストレージの暗号化

Amazon RDS

SSLによる通信の暗号化

instances

SSL

透過的なデータ暗号化（TDE）をサポート

暗号化/復号化のオーバヘッドは発生

● ストレージに書き込まれる前にデータを暗号化

● ストレージから読み込まれた後にデータを復号化

Amazon EBS

EBS Volumeの暗号化をサポート

volumeinstanceM3、C3、R3、CR1、G2、I2ファミリーのみサポート

スナップショット作成アタッチ

snapshot

スナップショットも自動的に暗号化※Root Volumeの暗号化は不可

Trusted Advisor最近、無料化

(4プラクティス)

● 特定のポートに対して無制限アクセスを許可してないか？

● ルートアカウントでMFAが無効でないか？

● EC2のインスタンスやEBSボリュームが８０％超えてないか？

● 最近EBSのSnapshotが取られてない？

● ロードバランサの最適化の提案