• Save
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜

  • 6,966 views
Uploaded on

2013/6/22(土) JAWS-UG大阪で発表した資料「AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜」です。

2013/6/22(土) JAWS-UG大阪で発表した資料「AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜」です。

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
6,966
On Slideshare
5,355
From Embeds
1,611
Number of Embeds
13

Actions

Shares
Downloads
0
Comments
0
Likes
16

Embeds 1,611

https://bozuman.cybozu.com 567
http://d.hatena.ne.jp 566
http://blog.cloudpack.jp 329
https://bozuman.s.cybozu.com 84
https://twitter.com 33
http://yoshidashingo.hatenablog.com 22
http://3449707904234438373_ebb5d0aa9dae40f61c46202be459da9b0f197f5a.blogspot.com 4
http://translate.googleusercontent.com 1
http://webcache.googleusercontent.com 1
http://cloud.feedly.com 1
https://www.google.co.jp 1
http://s.deeeki.com 1
http://54.249.80.26 1

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. 2013.6.22 JAWS-UG大阪吉田真吾 @yoshidashingoAWSの共有責任モデル∼クラウドってセキュリティ大丈夫なの?と聞かれたら∼
  • 2. 自己紹介プロフィール名前:吉田真吾アイレット株式会社 cloudpack エバンジェリストJAWS-UG 横浜 代表好きなAWSサービス:Amazon S3好きなAWSクラウドデザインパターン:DirectHostingパターン
  • 3. Confidentialセキュリティ cloudpack ?
  • 4. AWSのみでクレジット決済のインフラを構築→PCI DSS審査合格AWSのみでクレジット決済のインフラを構築→PCI DSS 審査合格
  • 5. AWSってセキュリティ大丈夫?
  • 6. Confidentialhttp://www.atmarkit.co.jp/ait/articles/1301/24/news087.htmlSunday, March 3, 13AWSエバンジェリスト堀内さん資料より抜粋 http://www.slideshare.net/horiyasu/ja
  • 7. 大丈夫だ、問題ない
  • 8. Confidential情報セキュリティ=機密性/完全性/可用性
  • 9. Confidential機密性アクセスを許可された者が許可された範囲内で操作できる
  • 10. Confidential完全性データの正当性・正確性・網羅性・一貫性が維持されている
  • 11. Confidential可用性必要なときに、いつでも正常なサービス状態を維持している
  • 12. 情報セキュリティの基礎情報セキュリティ=可用性については各サービスのセッションで可用性については各サービスのセッションで
  • 13. アジェンダAWSのセキュリティ方針AWSの共有責任モデルAWSインフラのセキュリティ利用者が担保すべきセキュリティ(構築事例)利用者が担保すべきセキュリティ(便利な機能)
  • 14. ConfidentialAWSのセキュリティ方針
  • 15. AWSのセキュリティ方針AWSの方針セキュリティはトッププライオリティ事項継続的な投資、セキュリティ専門部隊共有責任モデルAWSとユーザー2者でセキュリティを確保
  • 16. Confidential共有責任モデルって何?
  • 17. 共有責任モデル・ファシリティ・物理インフラ・ネットワークインフラ・物理セキュリティ・仮想インフラ・OS・アプリケーション・セキュリティグループ・OSファイアウォール・ネットワーク設定・アカウント管理
  • 18. ConfidentialAWSインフラのセキュリティ
  • 19. AWS片山さん資料より抜粋 http://www.slideshare.net/c95029/awsshared-responsibility-model-16612378
  • 20. Confidential事業者自身の公開情報では裏付けがない→第三者認証
  • 21. AWS片山さん資料より抜粋 http://www.slideshare.net/c95029/awsshared-responsibility-model-16612378
  • 22. SOC 報告書米国公認会計士協会(AICPA)が分類受託会社の「内部統制」に関する3種類の報告書SOC 1/SSAE 16(米国)/ISAE 3402(国際) (formerlySAS 70 Type II) ※要NDA• 財務諸表に関する統制の評価SOC 2 ※要NDA• 情報セキュリティ、可用性、処理の整合性、プライバシーに関わる統制SOC 3 ※Webで参照可能• 情報セキュリティ、可用性、処理の整合性、プライバシーに関わる統制
  • 23. SOC 報告書我が社のサービスの内部統制は有効です!
  • 24. ISO27001ISMS(情報セキュリティマネジメントシステム)の国際規格組織自らのリスクアセスメントを行い、必要なセキュリティレベルを決め、プランを持ち、資源配分を行い、システムを運用する、国際的に整合性のとれた情報セキュリティマネジメントに対する第三者適合性評価制度
  • 25. ISO27001我が社のサービスは情報セキュリティのPDCAサイクルが適切に確保・維持されています!
  • 26. FISMA, DIACAP, and FedRAMPFISMA連邦政府および外部委託先に米法で義務づけられた情報セキュリティ強化義務DIACAP国防総省の情報システムの適用規則、不測事態対応計画の立案&テスト義務FedRAMP2012年から米国で運用が開始された、政府のクラウド調達の際に、1つの省庁で認証を受けた事業者は、別の省庁でも追加仕様部分以外の認証を引き継げる制度
  • 27. FISMA, DIACAP, and FedRAMP我が社のサービスは米国政府の調達基準を満たしています!
  • 28. ITARInternational Traffic in Arms Regulations = 武器国際取引に関する規則武器輸出管理法の実施細目規定米国の国家安全保障の防衛防衛・軍事技術に関する情報は、アメリカ市民によってのみ共用してもよい
  • 29. Confidential(ITAR)Sunday, March 3, 13AWSエバンジェリスト堀内さん資料より抜粋 http://www.slideshare.net/horiyasu/ja
  • 30. PCIDSS Level 1PCI DSS v2年間600万件以上(VISA※JCBは100万件以上)の決済件数を扱ってよい認定州によっては運営が準拠していたことを証明できると対象ブランドからの訴訟回避が可能(違約金一部免除なども)
  • 31. PCIDSS Level 1我が社のサービスはクレジット決済のインフラに利用可能です!
  • 32. Confidential利用者が担保すべきセキュリティ(事例)
  • 33. 金融サービス業態に特化した「コミュニティ・クラウド」Amazon VPC + AWS Direct Connect でインターネットを介さない独立したネットワーク内に存在ブローカーディーラーのシステムから、NASDAQOMXのDCを経由(暗号GW)してAWS内の環境に接続される2つのサービス:R3=ストレージサービス、SSR=データマイニングサービスFinQloud by NASDAQ OMX
  • 34. 金融機関向け『Amazon Web Services』対応 セキュリティリファレンス2012/9 iSiD、NRI、SCSK 3社で共同発表金融機関等コンピュータシステムの安全対策基準(FISC安全対策基準)第8版に対応金融情報システムセンター(FISC)の作成した金融機関等の自主基準※第8版追補版はクラウドコンピューティングについて言及
  • 35. 金融機関向け『Amazon Web Services』対応 セキュリティリファレンスAWSはFISC安全対策基準に適合しうる!
  • 36. Confidential利用者が担保すべきセキュリティ(事例)
  • 37. http://coiney.com/
  • 38. PCI DSSとはクレジットカードブランド5社により策定された、クレジット業界のセキュリティ基準クレジットカード会社は加盟店に対し要求を満たさない場合にペナルティを科したり保険料率に差をつけたりしている米国では「PCI DSSの重要部分に適合しない場合、刑事罰を受ける」と法制化している州もデータの漏洩などが発生した場合にPCI DSS運用を正しく行っていたことを30日以内に証明できると、金融機関からの基礎を回避することができると規定している州も12の要件から細かくドリルダウンした実装レベルでの明確な規定がされているクレジット業界以外でのグローバルなセキュリティ基準として対応するケースが多い業務委託先も含めて対応が必要
  • 39. System ChallengePCI-DSS compliant on the cloud?Mostly, PCI-DSS on own server.Differences between cloud vs. own server.AWS Management Console logging?DMZ, WAF implementation?NTP server?Antivirus software?System auto-lockout?Log, Log, and LOG! i.e. Firewall log? File consistency? Filemonitoring?Coiney社の資料より抜粋クラウド上でPCI DSSを取ることができるのか?必要な対策を講じることができるのか?
  • 40. プロジェクト体制•PCI  DSS準拠⽀支援•QSA•インフラ構築•PCI  DSS準拠対策•PCI  DSSレベル1サービスプロバイダ
  • 41. cloudpack(に期待したこと)Leverage cloudpack knowledgeDiscussion with PCI consultantsEstablish the PCI-compliant environmenton AWSCoiney社の資料より抜粋AWS上でのシステム構築ノウハウ提供PCI DSS準拠支援会社とコラボ
  • 42. どう対応したのか
  • 43. PCI DSS要件要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない要件3: 保存されるカード会員データを保護する要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する要件6: 安全性の高いシステムとアプリケーションを開発し、保守する要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる要件9: カード会員データへの物理アクセスを制限する要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する要件11: セキュリティシステムおよびプロセスを定期的にテストする要件12: すべての担当者の情報セキュリティポリシーを整備する
  • 44. PCI DSS要件要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない要件3: 保存されるカード会員データを保護する要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する要件6: 安全性の高いシステムとアプリケーションを開発し、保守する要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる要件9: カード会員データへの物理アクセスを制限する要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する要件11: セキュリティシステムおよびプロセスを定期的にテストする要件12: すべての担当者の情報セキュリティポリシーを整備する
  • 45. システム概念図
  • 46. 対応サマリFirewall設定セキュリティソフトウェア導入アカウント管理アクセス記録・ログ集約管理脆弱性対策
  • 47. Firewall一旦すべてアクセス不可必要な箇所を許可サーバー毎の通信許可個別のセキュリティグループ(サブネットは通信要件毎に分けている)
  • 48. セキュリティソフトウェア導入Trend Micro Deep SecurityIPS/IDS/改ざん検知/Firewall/WAF/ログ監視ServerProtectウィルス対策(リアルタイムスキャン)
  • 49. http://jp.trendmicro.com/jp/products/enterprise/tmds/pcidss/
  • 50. アカウント管理サーバー毎ではなく個人毎のアカウントOpenLDAP導入・権限管理パスワード有効期限90日ロックアウト対応6回以上パスワードトライされたらロック
  • 51. アクセス記録・ログ集約管理ログ管理EC2インスタンス内に1週間分残すfluentd経由でログサーバーへまとめ、S3へアーカイブ[参考]  FluentdでWeb  Storage  Archiveパターンhttp://blog.cloudpack.jp/2013/01/aws-‐‑‒news-‐‑‒cdp-‐‑‒web-‐‑‒storage-‐‑‒archive-‐‑‒fluentd.html
  • 52. アクセス記録・ログ集約管理Management Consoleアクセス制限とログ記録多要素認証に加えて誰が何をしたか記録が必須プロキシ経由のみアクセス可プロキシサーバー上でアクセスログ記録[参考]  Squid経由でAWSマネジメントコンソールにアクセスしてソースIP制限や認証やログ取得http://blog.cloudpack.jp/2013/02/aws-‐‑‒news-‐‑‒squid-‐‑‒aws-‐‑‒console-‐‑‒ip-‐‑‒log.html
  • 53. 脆弱性対策ミドルウェア最新化Apacheはパッケージでは不可だったため、最新版ソースをコンパイル• IPA(独立行政法人 情報処理推進機構)の定めるCVSS 4.0以上(レベルIII危険+レベルII警告)はすべて対策必須のためDeep Security仮想パッチソフトウェアのセキュリティパッチ提供前に脆弱性を保護パッチ適用後は自動的に外れる
  • 54. AWSはPCI DSSレベル1準拠レベル1サービスプロバイダとして認定EC2/S3/EBS/VPC/RDS/ELB/IAMがPCI検証済み
  • 55. cloudpack担当範囲
  • 56. 日経コンピュータAWS導入事例ページ
  • 57. プレスリリース(PCFさんと提携リリース画面キャプチャ)
  • 58. ワンストップでサービス提供•PCI  DSS準拠⽀支援•QSA•インフラ構築•PCI  DSS準拠対策エンドユーザー•PCI  DSSレベル1サービスプロバイダPCI DSS準拠インフラ構築サービス
  • 59. AWSで便利に使えるセキュリティ機能Amazon VPCAWS IAMRoles for EC2エンタープライズトラックで!
  • 60. ベストプラクティス=CDPBack Net Pattern Ondemand NAT PatternOperational Firewall PatternFunctional Firewall PatternWAF Proxy Pattern
  • 61. CDP 2.0 候補Ondemand Bastion Pattern Ondemand Firewall Pattern
  • 62. まとめAWSインフラのセキュリティはトップレベル共有責任モデルを理解し、ユーザーが担保すべき部分を理解するセキュアなシステムがすでにAWS上でたくさん運用されている
  • 63. Thanks!http://www.cloudpack.jp/suuport@cloudpack.jp@cloudpack_jp
  • 64. 参考文献Amazon Web Services セキュリティプロセス概要のホワイトペーパーhttp://media.amazonwebservices.com/pdf/AWS_Security_Whitepaper.pdfセキュリティのベストプラクティスhttp://media.amazonwebservices.com/Whitepaper_Security_Best_Practices_2010.pdf
  • 65. 参考文献AWSの共有責任モデルhttp://www.slideshare.net/c95029/awsshared-responsibility-model-16612378セキュリティを捉えてクラウドを使うためのポイントhttp://www.slideshare.net/ar_maniacs/ss-8133635
  • 66. 参考文献コイニー(cloudpack 事例)http://www.cloudpack.jp/casestudy/058.htmlセキュリティ+(cloudpack サービス)http://www.cloudpack.jp/service/securityoption.html
  • 67. 参考文献クラウドコンピューティングのセキュリティに関連する国際動向http://www.ipa.go.jp/files/000027459.pdf