Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
1© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
そこが知りたい!AWS クラウドのセキュリティ
#AWSRoadshow
2© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
TwitterでAWS Cloud Roadshowに参加しよう!
公式アカウント@awscloud_jp最新技術情報、イベント情報、お得なクーポン情報など日々更新中!
#AWSRoadshow皆さんのご意見聞かせてください!
3© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
名前:鈴木宏昌(スズキヒロアキ)
所属:AWSテクニカルトレーナー
好きなAWSのサービス:Amazon CloudWatch
前職:国内SIerでクラウドサービスの企画~運営を担当
自己紹介
4© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
Agenda
AWSでのネットワークアクセス制御 VPC(仮想プライベートクラウド) サブネット セキュリティグループ、ネットワークACL
AWSリソースのアクセス制御 IAMユーザ IAMロール
AWS監査機能 CloudTrail、AWS Config Amazon Inspector
5© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
ネットワーク制御とAWSリソース制御
不要なトラフィックを遮断してセキュアな環境を構築 VPCやセキュリティグループによりネットワークを制御 EC2インスタンス(仮想サーバ)へのアクセスを遮断することはできる
EC2インスタンスの起動や停止などの、AWSリソース操作を制御する機能ではない
セキュアな運用にはAWSリソースの制御も重要 AWS Identity and Access Management (IAM) EC2の起動や停止などのAWSリソース操作の制御が可能 AWSリソースの操作にはAPIが利用される
6© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS利用におけるセキュリティ確保の全体像
コマンドライン/ SDK
キーペアによる認証
セキュリティグループによるインスタンスの通信保護
仮想デスクトップ
ターミナル
アクセスキーIDシークレットキーによるAPIの認証
マネジメントコンソール
EBS
EBS
EC2(Linux)
EC2(Windows)
IAMユーザIDPasswordによる認証
AWS A
PIマ
ネジ
メン
トコ
ンソ
ール
VPC・サブネットによるネットワークの通信保護
SSL
SSL
SSH
RDP
IAM
7© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
ネットワーク制御によるセキュリティ確保の全体像
キーペアによる認証
仮想デスクトップ
ターミナル
EBS
EBS
EC2(Linux)
EC2(Windows)
SSH
RDP
VPC・サブネットによるネットワークの通信保護
セキュリティグループによるインスタンスの通信保護
8© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
Amazon Virtual Private Cloud (VPC)
AWS上に仮想的なプライベートネットワーク空間を構築 EC2やRDSなどのサービスはVPC内で起動
VPCは他の仮想ネットワークなどからも論理的に隔離VPNの利用より社内からの閉域網でAWSを利用可能 社内インフラの拡張として利用できる従来のネットワーク環境と同様の環境を構築できる
9© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
ルートテーブル
ネットワークACL
ルートテーブル
ネットワークACL
インターネットゲートウェイ
VPNゲートウェイ
VPCの構成概要
サブネット
セキュリティグループ
インスタンス
インスタンス
サブネット
セキュリティグループ
インスタンス
インスタンス
Amazon VPC
10© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
サブネット
VPC内は大きく次の2つの領域に分割可能 パブリックサブネット
• インターネットからアクセス可能な領域• ロードバランサーなどのサービスを配置
プライベートサブネット• インターネットから直接アクセスができない領域• インターネットから直接アクセスする必要がないリソースを配置し保護
※ロードバランサーを利用した場合、Webサーバーもプライベートサブネットに配置可能
11© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
VPC構成例1:Web3層システム
Web Web踏み台 NAT
パブリックサブネット
Internet
プライベートサブネット
AP AP
アベイラビリティゾーンAアベイラビリティゾーンA アベイラビリティゾーンBアベイラビリティゾーンB
Amazon VPC
インターネットゲートウェイ
12© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
VPC構成例2:オンプレミス環境との連携
VPN接続専用線
自社データセンター
アベイラビリティゾーンAアベイラビリティゾーンA
アベイラビリティゾーンBアベイラビリティゾーンB
Amazon VPC
仮想プライベートゲートウェイ(VGW)
13© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
VPC構成例3:ワークロードごとのVPC分割
人事
営業
会計
VPC1
VPC2
VPC3自社ネットワーク 社外ネットワーク
(インターネット)
14© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
VPCエンドポイントによるアクセス
Web Web踏み台 NAT
パブリックサブネット
プライベートサブネット
AP AP
S3
DynamoDB
アベイラビリティゾーンAアベイラビリティゾーンA アベイラビリティゾーンBアベイラビリティゾーンB
Amazon VPC
VPCエンドポイント
Internet
15© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
VPCエンドポイント
VPCとAWSサービスをプライベートに接続 VPCエンドポイントがない場合は、インターネット経由でアクセス
プライベートサブネットからもアクセス可能
以下のサービスに対応(2017/09/27時点) S3
DynamoDB
16© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
セキュリティグループとネットワークACL
EC2
サブネットサブネット
ネットワークACL(サブネットの境界を保護)
セキュリティグループ(インスタンスを保護)
Amazon VPC
Internet
17© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
セキュリティグループ
インスタンスの仮想ファイアウォールとして機能 複数のインスタンスをグルーピング可能
デフォルトですべてのインバウンド通信は禁止
ステートフル
Web Web Web
Webサーバーセキュリティグループ
18© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
多層セキュリティグループ
Web
Web
AP
AP
APサーバー
ロードバランサー
内部ロードバランサー
sg-0000001 sg-00000002 sg-00000003 sg-00000004
タイプ:HTTPソース:sg-00000001
タイプ:HTTPソース:sg-00000003
タイプ:HTTPソース:0.0.0.0/0
Webサーバー
セキュリティグループID
sg-00000001からのHTTP通信を許可
19© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
ネットワークACL
サブネット毎に設定するパケットフィルタ機能
サブネット毎にインバウンド、アウトバウンド通信を制御
デフォルトはすべて許可
ステートレス
20© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
セキュリティグループとネットワークACL
セキュリティグループ ネットワークACL
対象 サーバレベルで効果 サブネットレベルで効果
タイプ ホワイトリスト型AllowのみをIN・OUTで指定可能
ブラックリスト型Allow/DenyをIN・OUTで指定可能
ステート制御
ステートフルなので、戻りのトラフィックを考慮しなくてよい
ステートレスなので、戻りのトラフィックも明示的に許可設定する
適用順 全てのルールを適用 番号の順序通りに適用
適用範囲 インスタンス管理者がセキュリティグループを適用すればその管理下になる
サブネット内のすべてのインスタンスがACLの管理下に入る
21© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS利用におけるセキュリティ確保の全体像
コマンドライン/ SDK
キーペアによる認証
セキュリティグループによるインスタンスの通信保護
仮想デスクトップ
ターミナル
アクセスキーIDシークレットキーによるAPIの認証
マネジメントコンソール
EBS
EBS
EC2(Linux)
EC2(Windows)
IAMユーザIDPasswordによる認証
AWS A
PIマ
ネジ
メン
トコ
ンソ
ール
VPC・サブネットによるネットワークの通信保護
SSL
SSL
SSH
RDP
IAM
22© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
IAMによるセキュリティ確保の全体像
コマンドライン/ SDK
アクセスキーIDシークレットキーによるAPIの認証
マネジメントコンソール
EBS
EBS
EC2(Linux)
EC2(Windows)
IAMユーザIDPasswordによる認証
AWS A
PIマ
ネジ
メン
トコ
ンソ
ール
SSL
SSL
IAM
23© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Identity and Access Management (IAM)
AWSリソースの操作をセキュアに行うための認証・認可の仕組み
AWS利用者の認証と、アクセスポリシーを管理 AWS操作のためのユーザー・グループ・ロールの作成が可能 グループ、ユーザーごとに、実行出来る操作を規定できる ユーザーごとに認証情報の設定が可能
24© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWSにおける認証の種類
種類 説明
メールアドレス&パスワードrootユーザ※としてAWSにアクセス
IAMユーザ名&パスワードIAMユーザとしてAWSマネージメントコンソールにアクセス
アクセスキーID&シークレットアクセスキー
CLIやAPIなどのプログラムによるAWSへのアクセスに利用
※rootユーザ• アカウント取得時に作成されるユーザ• AWSリソースのフルアクセス権を持つユーザ• 日々の運用業務などには使用しないことを強く推奨
25© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
IAMユーザ/グループ
IAMユーザ AWS管理などを行うユーザ アプリケーションからの接続用など必ずしも人の操作用とは限らない
IAMグループ IAM ユーザーの集合 グループ全体の権限を指定する
rootユーザ
管理者グループ
開発グループ
TAKAHASHI
TANAKA
WATANABE
KURODA
IAMユーザ
AWSアカウント
IAMユーザ
26© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
IAMポリシー
権限を記述している JSON ドキュメントIAMユーザ・グループなどに割り当てる
{"Version": "2012-10-17","Statement": {"Effect": "Allow","Action": "s3:ListBucket","Resource": "arn:aws:s3:::example_bucket"
}}
開発グループ
IAMポリシー
27© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
IAM動作イメージ
管理者グループ
開発グループ
IAMポリシーS3
TAKAHASHITANAKA
WATANABEKURODA
EC2
AWSの全操作権限
S3の全操作権限マ
ネジ
メン
トコ
ンソ
ール AW
S API
IAMIAMポリシー
28© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
IAMポリシー例
{"Version": "2012-10-17","Statement": [
{"Action": "ec2:*","Resource": "*","Effect": "Allow","Condition": {
"StringEquals": {"ec2:Region": "<REGION>"
}}
}]
}
{"Version": "2012-10-17","Statement": [
{"Effect": "Allow","Action": [
"ec2:TerminateInstances"],"Resource": [
"*"]
},{
"Effect": "Deny","Action": [
"ec2:TerminateInstances"],"Condition": {"NotIpAddress": {"aws:SourceIp": [
"192.0.2.0/24","203.0.113.0/24"]}},
"Resource": ["*"
]}
]}
特定のリージョン内でのみEC2アクセスを許可
EC2の終了権限を特定のIP範囲のユーザに制限
29© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
IAMロール
AWS リソースへのアクセスを委任するために使用ロールを引き受けることでロールにアタッチされた権限を使用できる第三者へアクセス権を付与する際にも利用可能
ロール
AWSアカウントAのS3へのアクセス権
AWSアカウントBがロールを引き受け
AWSアカウントAのS3
クロスアカウントアクセス
アクセス
IAMポリシー
30© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
IAMロールによるセキュアなアプリケーション開発
EC2にロールをアタッチすることでEC2上で動作するアプリケーションに権限を付与できるアクセスキー/シークレットアクセスキーをソースコードに埋め込む必要がない
ロール
S3FullAccess
AmazonDynamoDBFullAccess
IAMポリシーEC2インスタンス
AP S3
DynamoDB
インスタンスプロファイル
31© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS IAM のベストプラクティス
AWS アカウントの (rootユーザ) アクセスキーの削除個々の IAM ユーザーの作成グループを使用して IAM ユーザーに権限を割り当てる最小権限を付与強力なパスワードポリシーを設定する権限のあるユーザーに対して MFA を有効にする
※IAMベストプラクティスの詳細は以下を参照http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/best-practices.html
32© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
その他、セキュアな環境構築のポイント
トラブル発生時にはログ記録の確認も重要 AWS CloudTrail
AWS Config
定期的な脆弱性の存在の有無のチェックなどのセキュリティ評価 Amazon Inspector
33© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS CloudTrail
AWSアカウントのすべてのリソースに対する AWS API 呼び出しを記録し、監視することができる
AWSCloudTrail
Amazon VPC
Amazon EC2
AmazonRDS
Amazon Redshift
管理コンソールCLI 他
34© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Config
AWSConfig
AWS の詳細なリソース設定履歴を確認でき、設定を評価、監査、審査できるようにするサービス
Amazon EC2
停止→起動
35© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
Amazon Inspector
AWSにデプロイしたアプリケーションのセキュリティとコンプライアンスを向上させるための自動セキュリティ評価サービス脆弱性やベストプラクティスからの逸脱をチェック重要度や改善ステップを載せた詳細レポートを作成
36© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
まとめAWSでのネットワークアクセス制御 VPC(仮想プライベートクラウド) サブネット セキュリティグループ、ネットワークACL
AWSリソースのアクセス制御 IAMユーザ IAMロール
AWS監査機能 CloudTrail、AWS Config Amazon Inspector
37© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.
ご清聴ありがとうございました!
#AWSRoadshow