• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
AWS セキュリティとコンプライアンス
 

AWS セキュリティとコンプライアンス

on

  • 26,945 views

 

Statistics

Views

Total Views
26,945
Views on SlideShare
5,849
Embed Views
21,096

Actions

Likes
3
Downloads
130
Comments
0

10 Embeds 21,096

http://dev.classmethod.jp 20956
http://localhost 98
https://cybozulive.com 15
http://www.google.co.jp 10
http://plus.url.google.com 8
https://twitter.com 4
http://hatebutv.com 2
http://translate.googleusercontent.com 1
http://news.google.com 1
http://webcache.googleusercontent.com 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    AWS セキュリティとコンプライアンス AWS セキュリティとコンプライアンス Presentation Transcript

    • AWSのセキュリティとコンプライアンス 2012.11.19
    • アジェンダ • AWSにおけるセキュリティ概要 • 主要なセキュリティ概念 • 認定・認証 • AWSのセキュリティ機能
    • 認定 & 認証評価 SOX法 ISO 27001 認定 PCI DSS Level I 認定 HIPAA 準拠アーキテクチャ SOC 1/SSAE 16/ISAE 3402/SOC 2 FISMA Low ATO  FISMA Moderate ATO 申請中  DIACAP MAC II Sensitive 申請中  FedRAMP サービスヘルスダッシュボード セキュリティ責任共有モデル Customer/SI Partner/ISV がゲストOS レベルのセキュリティを制御(パッチ運 用や運用管理含む) パスワード管理やロールベースのアクセ ス権管理を含むアプリケーションレベル のセキュリティ 侵入検知/回避システムを含むホストベ ースのファイアウォール データの暗号化/複合化. ハードウェアセ キュリティモジュール アクセス権の分離 物理セキュリティ 複数レベル、複数要素による制御されて いるアクセス環境 管理され必要性に応じたAWS従業員によ るアクセス(必要最小限) 管理者層による管理者権限アクセス 管理ホストへの多要素認証で、管理され 必要性に応じたアクセス 全てのアクセスのログ収集、監視、そし てレビュー AWS管理者は顧客VMの中、アプリケー ションとそのデータなどにはアクセスす る権限をもたない AWSにおけるクラウドセキュリティ概要 VMセキュリティ Amazonアカウントへの多要素認証によ るアクセス インスタンスの隔離 • ハイパバイザレベルでの顧客に よるファイアウォールの制御 • 隣にあるインスタンスへのアク セスは許可されていない • 仮想ディスクの管理レイヤがア カウントのオーナだけがストレ ージ(EBS)にアクセスすること を保証する APIコールの暗号化のためのエンドポイ ントのSSLサポート ネットワークセキュリティ セキュリティグループ設定によるインス タンス毎のファイアウォール設定が可能 トラフィックはプロトコル、サービスポ ート、ソースIPによって制限できる (個 別IPまたはindividual IP or Classless Inter-Domain Routing (CIDR)ブロッ ク). Virtual Private Cloud (VPC) により、 既存エンタープライズデータセンターと 論理的に隔離された複数のAWSリソース との間にIPSec VPNでアクセス可能 2011/11/13 update
    • 主要セキュリティ概念
    • AWS Security Center (http://aws.amazon.com/security/) • セキュリティホワイトペーパー • 沢山のセキュリティとプライバシーの回答 • 半年に1度アップデート • セキュリティ速報 • 顧客によるペネトレーションテストのポリシ • セキュリティベストプラクティス • AWS Identity & Access Management (AWS IAM) • AWS Multi-Factor Authentication (AWS MFA)
    • Control ownership. Who owns which controls for cloud- deployed infrastructure? Auditing IT. How can auditing of the cloud provider be accomplished? Sarbanes-Oxley compliance. How is SOX compliance achieved if in- scope systems are deployed in the cloud provider environment? HIPAA compliance. Is it possible to meet HIPAA certification requirements while deployed in the cloud provider environment? GLBA compliance. Is it possible to meet GLBA certification requirements while deployed in the cloud provider environment? Federal regulation compliance. Is it possible for a US Government agency to be compliant with security and privacy regulations while deployed in the cloud provider environment? Data location. Where does customer data reside? E-Discovery. Does the cloud provider meet the customer’s needs to meet electronic discovery procedures and requirements? Data center tours. Are data center tours by customers allowed by the cloud provider? Third party access. Are third parties allowed access to the cloud provider data centers? Privileged actions. Are privileged actions monitored and controlled? Insider access. Does the cloud provider address the threat of inappropriate insider access to customer data and applications? Multi-tenancy. Is customer segregation implemented securely? Hypervisor vulnerabilities. Has the cloud provider addressed known hypervisor vulnerabilities? Vulnerability management. Are systems patched appropriately? Encryption. Do the provided services support encryption? Data ownership. What are the cloud provider’s rights over customer data? Data isolation. Does the cloud provider adequately isolate customer data? Composite services. Does the cloud provider layer its service with other providers’ cloud services? Physical and environmental controls. Are these controls operated by the cloud provider specified? Client-side protection. Does the cloud provider allow customers to secure and manage access from clients, such as PC and mobile devices? Server security. Does the cloud provider allow customers to secure their virtual servers? Identity and Access Management. Does the service include IAM capabilities? Scheduled maintenance outages. Does the provider specify when systems will be brought down for maintenance? Capability to scale. Does the provider allow customers to scale beyond the original agreement? Service availability. Does the provider commit to a high level of availability? Distributed Denial Of Service (DDoS) attacks. How does the provider protect their service against DDoS attacks? Data portability. Can the data stored with a service provider be exported by customer request? Service provider business continuity. Does the service provider operate a business continuity program? Customer business continuity. Does the service provider allow customers to implement a business continuity plan? Data durability. Does the service specify data durability? Backups. Does the service provide backups to tapes? Price increases. Will the service provider raise prices unexpectedly? Sustainability. Does the service provider company have long term sustainability potential?
    • 共有責任モデル • ファシリティ • 物理セキュリティ • 物理インフラストラク チャ • ネットワークインフラ ストラクチャ • 仮想インフラストラク チャ AWS Customer • OS • アプリケーション • セキュリティグループ • OSファイアウォール • ネットワーク設定 • アカウント管理
    • • アカウントごとのユーザとグループの作成 • セキュリティクレデンシャル • アクセスキー • ログイン/パスワード • 多要素認証デバイス(オプション) • AWS APIを使ったポリシーコントロールアクセス • API コールは以下のサインどちらかが必須: • X.509 certificate • シークレットキー • 幾つかのサービスではより厳格なインテグレーション • S3: オブジェクト及びバケット毎のポリシー設定 • Simple DB: ドメイン • AWSマネージメントコンソールのユーザログオンサポート • OSやアプリケーションレベルのログインではない。 • LDAP, Active Directory/ADFS, etc... AWS Identity and Access Management (IAM)
    • 多要素認証デバイスによるセキュリティ強化 • Eメールアドレスとパスワードを乗っ取った第3者のなりす ましによるアクセスの拒否に効果あり • アカウント情報への追加の認証機能 • 以下のアカウントを使用可能 – マスターアカウント – IAM ユーザ • 下記サービスで動作 – AWSマネージメントコンソール – AWSポータル上のキーのページ – S3 (Secure Delete)
    • AWSは”継続的可用性”をビルトインしたプ ラットフォーム • 全てのサイトは常時稼働できるよう設計 • DR用のDCではなく常に稼働できる構成 • ゾーンも同様の標準で管理 • 最高レベルのインフラ設計 – 各ゾーンは冗長化されたティア1のISPプロバ イダを使用 – 柔軟性のある堅牢なネットワークインフラ – スケーラブルで耐障害性のあるサービス
    • 認定・認証
    • レポート、認定、第三者認証 • 原点は責任共有モデル • AWSの環境下では: – SSAE 16/ISAE 3402基準、SOC1レポート – SOC2レポート – ISO 27001 Certification – PCI DSS Level 1 Service Provider • 顧客は下記コンプライアンス準拠のアプリケーションを デプロイ可能です: – Sarbanes-Oxley (SOX) 法 – FISMA (US政府関係) – HIPAA (医療関係) – ASP・SaaS安全・信頼性に係る情報開示認定制度(日本総務省)
    • SSAE16/ISAE3402 SOC1レポート • 外部委託先の内部統制検証で使用される基準は、評価 の対象期間の最終日が2011年6月15日以降のものより、 SAS70から切り替わりSSAE16/ISAE3402を適用。 • AWSの内部統制に関する保証報告書。 • AWSの各サービスにおけるセキュリティ、変更管理、 運用等の情報を保証報告書という形式でお客様に提供 • NDAベースでSOC1レポートをご提示可能
    • SOC2レポート • 受託会社の財務報告以外の要望に応えるための報告書 • システムのセキュリティ、可用性、処理の完全性/整合 性、機密保持、プライバシー等に関する内部統制情報 に関する内容を含む • Trustサービスの基準に従って客観的に評価 • お客様にAWSのセキュリティに関して透明性をもたら す内容。 • NDAベースでSOC2レポートをご提示可能
    • ISO 27001認定 • ISO 27002 ベストプラクティスガイダン ス準拠 • AWSのInformation Security Management System (ISMS)をカバー • 全リージョン含む • アップデートはこちらをご覧ください。 – http://aws.amazon.com/security/iso-27001-certification- faqs/
    • PCI DSS Level1 Service Provider • PCI DSS 2.0 コンプライアンス準拠 • コアなインフラストラクチャとサービスをカバー – EC2, EBS, S3, VPC, RDS, ELB, IAM • 標準で、特に変更のない設定を使用して認定 • 認定セキュリティ評価機関(QSA)のタスクを利用 • AWSはビジネスでの利用が可能で、 Qualified Incident Response Assessors (QIRA)として設計 – フォレンジック調査をサポートする事が可能 • 全てのリージョンで認定 • アップデートはこちらをご覧ください。 – http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/
    • CSA Consensus Assesments Initiative Questionnaire • CSA Consensus Assessments Initiative Questionnaire には、クラウド使用者およびクラウド 監査人がクラウドプロバイダに要求すると CSA が想 定している質問を記載。クラウドプロバイダの選択や セキュリティの評価など、幅広い用途に使用可能。 • セキュリティ、統制、およびプロセスに関する一連の 質問にAWSは回答済み。 *CSAの詳細はhttp://aws.amazon.com/jp/security/ AWS リスクとコンプライアンスのホワイトペーパーを参照
    • AWSは業界の認定・認証を継続的に取得し ていきます • どのような認定・認証が御社にとって重要でし ょうか? • どの程度のインパクトがあるものでしょうか? • お客様の声を聞かせてください。
    • AWSにおける セキュリティ機能
    • データセンターにおける物理セキュリティ • Amazonは数年間にわたり、大規模なデータセンターを 構築してきました • 重要な特性: – 一見してそれとわからない外観 – 周囲の厳重な制御 – 物理アクセスの厳密なコントロール – 2要素認証を2回以上 • 完全管理された、必要性に基づくアクセス • 全てのアクセスはロギングされ、レビュー • 職務の分離 – 物理アクセス可能な従業員は論理権限にアクセス不可 • アベイラビリティゾーンへのマップ
    • 障害の分離と地理的多様性 EUリージョン アベイラ ビリティ ゾーンA アベイラ ビリティ ゾーンB USイーストリージョン アベイラ ビリティ ゾーンA アベイラ ビリティ ゾーンC アベイラ ビリティ ゾーンB Amazon CloudWatch Note: 上記図はコンセプト図です。リージョンやアベイラビリィゾーンは増える 可能性があります。詳細はhttp://aws.amazon.com/jp/about-aws/globalinfrastructure/ をご覧ください シンガポールリージョン vailability Zone A Availabilit y Zone B アベイラ ビリティ ゾーンD東京リージョン アベイラ ビリティ ゾーンA アベイラ ビリティ ゾーンB アベイラ ビリティ ゾーンA アベイラ ビリティ ゾーンB アベイラ ビリティ ゾーンC
    • データバックアップとレプリケーション • AWSでは従来のバックアップよりもレプリケーションが望 ましい – 従来のバックアップソリューションを頻繁に行うのと同等 – 高いデータ可用性とスループット • 複数エッジロケーションでデータを利用可能にする – CloudFront, Route 53 • 単一リージョン内での複数アベイラビリティゾーンでデー タはレプリケート – S3, S3 RRS, SimpleDB, SQS, RDS Multi-AZ, EBS Snapshots • データは単一アベイラビリティゾーン内の複数物理ロケー ションへレプリケート – EBS, RDS • データは自動的にレプリケーションしない – EC2 ephemeral drives (a.k.a. instance store)
    • EC2セキュリティ • ホストオペレーティングシステム – AWS管理者の拠点ホストからの個別のSSHキーによるログイン – 全てのアクセスはロギングされ、監査されます • ゲスト (a.k.a. インスタンス) オペレーティングシステム – 顧客による完全なコントロール (顧客がルート/管理者権限を保有) – AWS管理者はログイン不可能 – 顧客が生成したいキーペアを使用 • ステートフルファイアウォール – 必要なインバウンドだけ許可。デフォルトは全て拒否 – セキュリティグループにより顧客が完全に設定をコントロール可能
    • Firewall Physical Interfaces Amazon EC2のインスタンス独立性 Customer 1 Customer 2 Customer n Hypervisor … … Virtual Interfaces Customer 1 Security Groups Customer 2 Security Groups Customer n Security Groups
    • 仮想メモリとローカルディスク • 適切なディスク管理により、 あるインスタンスがその他 のインスタンスのデータを 読み取るのを防護 • ディスクは作成されるたび にワイプされる • ディスクはお客様が望めば セキュリティレベルを向上 させるために暗号化する事 が可能
    • ネットワークトラフィックフローセキュリティ • セキュリティグループ - インバウンドのトラフィックはプ ロトコル、ポート、セキュリティ グループにより明示的に指定 - VPCはアウトバウンドのフィルタ も追加する • ネットワークアクセスコント ロールリスト (ACLs): VPC はインバウンドとアウトバウ ンドのステートレスフィルタ も追加する • OSファイアウォール (iptables等) も使用される -セキュリティレイヤはユーザ が完璧に制御可能 -個別ホスト毎に細かいアクセ ス制御が可能 -ネットワークイベントのログ Encrypted File System Encrypted Swap File OSFirewall AmazonSecurityGroups Inbound Traffic
    • 多階層セキュリティアプローチの実例 Web Tier Application Tier Database Tier 80または443ポート のみをインターネッ ト側で受け付ける エンジニアがAP層にssh アクセスを行う その他のインターネット経由の アクセスは全てデフォルトで拒否 オンプレミスDBとの同期 Amazon EC2 Security Group Firewall
    • ネットワークセキュリティの考慮点 • Distributed Denial of Service (DDoS)対策: – 効果的な標準的な緩和対策を措置 • Man in the Middle (MITM)対策: – 全エンドポイントはSSLによって保護 – 起動時に新しいEC2ホストキーを生成 • IPスプーフィング: – ホストOSレベルで全て遮断 • 許可されていないポートスキャニング: – AWS ユーザ規約に違反 – 検出し、停止、およびブロック – インバウンドのポートは標準でブロック • パケットのスニフィング: – プロミスキャスモードはオフに – ハイパーバイザ―レベルで防御
    • 設定管理 • 全ての変更は認証され、ロギングされ、テスト され、承認されて、ドキュメント化されます。 • ほとんどの変更は上記のような方法で行われる ので、顧客には影響しません • 何か影響がありそうな場合には、AWSは電子メ ール、AWSサービスヘルスダッシュボード (http://status.aws.amazon.com/)などで顧客 にお知らせいたします
    • ネットワークトラフィックの機密性 Amazon EC2 インスタン ス • 機密情報は暗号化による制御などが望ましい • 企業ネットワークとの連携でのトラフィックは業界標準のVPNト ンネルを使うべき 企業 ネットワーク インターネット トラフィック VPN
    • Amazon Virtual Private Cloud (VPC) • 論理的に分離された環境をAmazonの高度にスケールするインフラストラク チャの上で構築可能 • 1つかそれ以上のパブリックまたはプライベートなサブネットにプライベー トIPのアドレスレンジを指定できる • ネットワークアクセスコントロールリストを使う事で、個別のサブネットに 対してのインバウンドとアウトバウンドへINとOUTのアクセスを制御可能 • セキュリティグループを使ったステートフルなインバウンドとアウトバウン ドのフィルタを使ってインスタンスを防御 • ElasticIPをVPC内のインスタンスに指定可能で、そうするとインターネット から直接アクセス可能になる • 業界標準の暗号化されたVPNコネクションにより、VPCと御社のオンプレ ミスインフラストラクチャをブリッジ出来る • ウィザードにより、4つの異なるトポロジーから簡単に選択可能
    • VPC - Dedicated Instances • 物理ホストを他の顧客とシェアしない事を 保証する新しいオプション • $10/時間を各リージョン毎に費用+微弱 ながらの従量課金 • ある特定インスタンスのみをDedicated Instanceに指定可能 • VPC全体をDedicatedにする事もオプショ ンで可能
    • Amazon S3 セキュリティ • バケット及びオブジェクト 単位でのアクセス制御: – 読み込み、書き込み、 フル権限 • オーナが全ての権限を持ち • 顧客による暗号化 • SSLもサポートしています • 堅牢性 99.999999999% • 可用性 99.99% • バージョン機能 (MFA Delete) • 詳細なアクセスロギング
    • ストレージデバイスの廃棄方法と残存データ のリスクへの対応 • ストレージデバイスが製品寿命に達した場合 に、顧客データが 権限のない人々に流出しな いようにする 廃棄プロセスを保持 • DoD 5220.22-M(「National Industrial Security Program Operating Manual(国立産業セキュリティプ ログラム作業マニュアル)」) または NIST 800-88 (「Guidelines for Media Sanitization(メディア衛生 のための ガイドライン)」)に詳細が記載されている技 術を用いる。 • 上記の手順を用い ハードウェアデバイスが廃 棄できない場合、 デバイスは業界標準の慣行 に従って、消磁 するか、物理的に破壊
    • セキュリティとコンプライアンスまとめ • AWSにおいてセキュリティとコンプライ アンスは常にトッププライオリティ – 必要なセキュリティ措置は今後も継続的にカバー – 認定・認証で必要なものは全て取得 • エンタープライズレベルの顧客に対応可能 なセキュリティレベル – 今後も継続的にセキュリティレベルを改善 – 顧客へセキュリティレベル・アセス方法を開示
    • AWSで提供しているホワイトペーパー • AWSセキュリティプロセス概要 – http://d36cz9buwru1tt.cloudfront.net/pdf/ AWS_Security_Whitepaper.pdf • AWSリスクとコンプライアンス – http://d36cz9buwru1tt.cloudfront.net/AW S_Risk_and_Compliance_Whitepaper.pdf
    • 42