セキュリティを捉えてクラウドを使うためのポイント

55,626 views
60,570 views

Published on

AWSを題材に

0 Comments
17 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
55,626
On SlideShare
0
From Embeds
0
Number of Embeds
46,321
Actions
Shares
0
Downloads
161
Comments
0
Likes
17
Embeds 0
No embeds

No notes for slide

セキュリティを捉えてクラウドを使うためのポイント

  1. 1. セキュリティを捉えてクラウドを使うためのポイント 荒木靖宏 アマゾンデータサービスジャパン ソリューションアーキテクト Twitter: @ar1
  2. 2. おことわり本発表はAmazon Web Services(AWS)の宣伝を意図したものではありません。ただし、本発表のテーマをお話しする上で出典を明らかにすることで、理解が深まると考え、AWSにおけるサービスを明示して解説します。
  3. 3. クラウドのポジション 技術の親和性アプリ アプリ アプリケーショケーショ ケーショ アプリケーション ン ン ン SaaSミドルウェア ミドルウェア ミドルウェア PaaS 仮想 OS 仮想OS OS ・・・・・・ ・・・・・・ 既存社内環境 / IaaS PaaS / SaaS データセンター 従量制課金と拡張性
  4. 4. 責任共有モデル http://star.ap.teacup.com/kazponpo/33.html
  5. 5. 本日のAgenda 責任共有モデル セキュリティ設計と認証 物理的セキュリティ データのバックアップ アカウント管理 バーチャルマシンのセキュリティ ネットワークセキュリティ
  6. 6. 責任共有モデル(Shared Responsibility Model) 責任共有モデルで、高い柔軟性と高いセキュリティ を効率よく達成する  クラウド事業者は、セキュアなリソース(ミドルウェア、ホス トOS、仮想レイヤー、物理環境)を責任をもって提供する  お客様は、ゲストOS、ミドルウェア、アプリケーションを責 任もって管理する
  7. 7. IaaS(AWS)の責任共有モデル Customer 1 Customer 2 … Customer n顧客が管理 Hypervisor Virtual Interfaces Customer 1 Security Groups Customer 2 Security Groups … Customer n Security Groups FirewallAWSが管理 Physical Interfaces
  8. 8. PaaSでの責任共有モデル Customer 1 Customer 2 … Customer n Business Logic顧客が管理 Hypervisor Virtual Interfaces Customer 1 Security Groups Customer 2 Security Groups … Customer n Security Groups Firewall事業者が管理 Physical Interfaces
  9. 9. 顧客は「何に使うのか」を SaaSでの責任共有モデル 管理する Service 1 Service 2 … Service n Business Logic Hypervisor Virtual Interfaces Customer 1 Security Groups Customer 2 Security Groups … Customer n Security Groups Firewall事業者が管理 Physical Interfaces
  10. 10. クラウド事業者の責任/努力
  11. 11. AWSのセキュリティデザイン&認証セキュリティのベストプラクティス適用  設計レビュー、脅威モデリング、リスク査定、静的コード分析、侵 入テスト認証  SAS70 Type II  ISO 27001  PCI DSS Provider Level 1  FISMA-Low levelAWSを使ったお客様による取得実績  医療用認証HIPAA  ASP・SaaS安全・信頼性に係る情報開示認定制度
  12. 12. 物理的セキュリティAmazonは世界最大級のEコマースをセキュアに運営してきており、そのノウハウをAmazonクラウドに利用厳格に管理された拠点  侵入検出システム、監視カメラ  物理的アクセスを厳格に管理  多重認証を最低2回以上実施従業員のアクセスレベルの管理  必要に応じたときだけ最低限の権利を与える (least privilege)全てのアクセスのログがとられ、レビューされる
  13. 13. データのバックアップAmazon S3、Amazon SimpleDBのデータは複数の物理拠点に冗長的に保存される  DHT技術  Amazon S3、Amazon SimpleDBは、自動的に、複数の物理拠点 (複数のAZ)で、冗長的にバックアップをとる  99.999999999%(11桁)の耐久性を提供EBSは個別アベイラビリティーゾーンに限って冗長的に保存される  適宜、EBSのスナップショットをとる(S3上)既存のバックアップと同じ考えだが、より高い利便性、可用性、スループット
  14. 14. ストレージの破棄データ消去基準  DoD 5220.22-M (“National Industrial Security Program Operating Manual”)  NIST 800-88 (“Guidelines for Media Sanitization”)物理的に故障した場合は、消磁および破壊
  15. 15. 障害分離のための、物理的な分散 US East Region (N. VA) EU Region (IRE)AZの中も複数の Availability Availability物理拠点が Zone A Zone B Availability Availability使用されている Zone A Zone B Availability Zone C US West Region APAC Region APAC Region (N. CA) (Singapore) (Tokyo) Availability Availability Availability Availability Availability Availability Zone A Zone B Zone A Zone B Zone A Zone B必要に応じて、顧客側で冗長構成可能
  16. 16. アカウントのセキュリティ 多要素認証デバイス オプションアカウントのキーローテーション複数のキーペア、認証をサポート
  17. 17. IAM – AWS Identity and AccessManagement アカウント内に、複数ユーザー、グ ループを作成し、適切なアクセス管 理が可能 個別ユーザーが下記のセキュリティ 要素をもてる  アクセスキー  ログイン/パスワード  MFAデバイスオプション 個別ユーザー、グループ毎にポリ シーステートメントを作成  リソース、APIへのアクセスを適切に 制限
  18. 18. Amazon EC2のセキュリティ ゲストOS  顧客がルートレベルで管理する  AWSのアドミニストレーターでもログインできない  ユーザーが独自にキーペアを作成可能 ホストOS  全てのアクセスのログを取得し、監査する  必要なときにだけ最低限のレベルでAWS管理者にアクセス権を与え る  ホストOSへのアクセスは必ずSSHが使われる Statefull Firewall  デフォルトで全てのインバウンドをはじく  顧客が必要なポートだけを空ける 暗号化されたAPIコール  X.509 証明書もしくは、AWSアカウントのキーペアが必要
  19. 19. 仮想メモリとローカルディスク• Amazonのディスク管理システムは、他のインスタンスの仮想メ モリ&ディスクを読めないようにしている(特許技術)• もちろん、顧客は独自に、データを暗号化することも可能 Amazon EC2 Instances Encrypted File System Amazon EC2 Instance Encrypted Swap File
  20. 20. Amazon EC2 インスタンスの分離 Customer 1 Customer 2 … Customer n Hypervisor Virtual Interfaces Customer 1 Security Groups Customer 2 Security Groups … Customer n Security Groups Firewall Physical Interfaces
  21. 21. ネットワークの分離• インバウンドは、セキュリティグループで、使用するプロトコル/ ポートレベルを明確に指定• Iptablesを使ってさらに、インバウンド/アウトバウンドのユーザー独 自の管理が可能 Inbound Traffic Amazon EC2 セキュリティグループ Instances iptables Encrypted File System Amazon EC2 Instance Encrypted Swap File
  22. 22. DDOSとその対策 AWSではDDOSの検出と対応をする専任のスタッフを持つ 各拠点に複数のアクセスポイントを持つ 発信元にならないようにする  EC2ではホストのファイヤウォールで送信元IPアドレスの偽装が不可 能 カスタマは、IDS/IPSを動作させることができる  セキュリティグループによる分離  Snort:オープンソースで人気のある実装  商用(SourceFire, Trend Micro, Symantecなど)もあり
  23. 23. ネットワーク上の脅威に対する対策MITM AWS APIは全てSSL保護 EC2へはSSH接続ポートスキャニング セキュリティグループによりデフォルトで全てのポートは閉じられて いる 検出された場合、EC2を停止させる 許可のないポートスキャンは利用ポリシーに反するパケットスニッフィング ハイパーバイザのレベルで禁止 プロミスキャスモード(無差別受信)でも、異なるインスタンスの通信 傍受はできない 物理的に同一ホストの同一顧客にインスタンスが存在しても、互い のトラフィックは傍受できない もちろん、一般的に、重要なトラフィックは暗号化すべき
  24. 24. セキュリティは、AWSにおいて最重要項目エグゼクティブのコミット  半年に一度の戦略改定従業員へのガバナンス  ハイアリングプロセス、セキュリティガイド、教育セキュリティデザインに長年の経験  Amazon.comで培った物理データセンター、ハードウェア、ネットワー クの知識を適用  顧客の要望に応え、さらに改善を継続SAS-70 Type II、 ISO 27001、PCI DSS Provider Level1取得高いセキュリティという市場の評判  AWSを調査したお客様はセキュリティの高さに驚かれる  お客様がAWSを適用することで、セキュリティを向上するケースも多 い
  25. 25. クラウドをつかってセキュアにサービス構築するために共有責任を理解する  プロバイダは自分にできる範囲を定義している  自分ができる範囲に注力するセキュリティ面での構築技術はこなれてきている  考えは多々あるがオープンソースによるコモディティ化が進展運用  「どのように」「継続して」日々運用するか
  26. 26. Question?
  27. 27. backup
  28. 28. AWS Cloud Security Model Overview Shared Responsibility Model Certifications & Accreditations Customer/SI Partner/ISV controls Sarbanes-Oxley (SOX) compliance guest OS-level security, including ISO 27001 Certification patching and maintenance PCI DSS Level I Certification Application level security, including HIPAA compliant architecture password and role based access SAS 70 Type II Audit Host-based firewalls, including FISMA Low ATO Intrusion Detection/Prevention  Pursuing FISMA Moderate ATO Systems  Pursuing DIACAP MAC II I -Sensitive Encryption/Decryption of data.  FedRAMP Hardware Security Modules Service Health Dashboard Separation of AccessPhysical Security VM Security Network Security Multi-level, multi-factor controlled Multi-factor access to Amazon Instance firewalls can be configured access environment Account in security groups; Controlled, need-based access for Instance Isolation The traffic may be restricted by AWS employees (least privilege) • Customer-controlled firewall at protocol, by service port, as well asManagement Plane Administrative Access the hypervisor level by source IP address (individual IP • Neighboring instances or Classless Inter-Domain Routing Multi-factor, controlled, need-based prevented access (CIDR) block). access to administrative host • Virtualized disk management Virtual Private Cloud (VPC) All access logged, monitored, layer ensure only account provides IPSec VPN access from reviewed owners can access storage existing enterprise data center to a AWS Administrators DO NOT have set of logically isolated AWS access inside a customer’s VMs, disks (EBS) resources including applications and data Support for SSL end point encryption for API calls
  29. 29. AWS Certifications Sarbanes-Oxley (SOX) compliant SAS70 Type II audit  Goal: validate efficacy and efficiency of internal controls  SAS 70 continues as a compliment to ISO 27001 ISO 27001 certification in all regions  Finalized in November 2010  Standard is licensed content –purchase a copy from ISO  Copy of report is available to you National Institute of Standards & Technology (NIST) Certification in progress Customers have deployed HIPAA-compliant healthcare applications now (whitepaper at aws.amazon.com)
  30. 30. SAS70 Type II Amazon Web Services publishes a Statement on AuditingStandards No. 70 (SAS 70) Type II Audit report every sixmonths and maintains a favorable unbiased andunqualified opinion from its independent auditors. AWSidentifies those controls relating to the operationalperformance and security to safeguard customer data.Through the SAS 70 report, the auditors evaluate the designof the stated control objectives and control activities andattest to the effectiveness of their design. They also audit theoperation of those controls, attesting that the controls areoperating as designed. This report is available to customersunder NDA who require a SAS70 Type II to meet their ownaudit and compliance needs.
  31. 31. ISO 27001 AWS has achieved ISO 27001 certification of our Information Security Management System (ISMS) covering AWS infrastructure, data centers in all regions worldwide, and services including Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) and Amazon Virtual Private Cloud (Amazon VPC). We have established a formal program to maintain the certification.
  32. 32. PCI DSS Level 1 AWS has been successfully validated as a Level 1 service provider under the most recently published Payment Card Industry (PCI) Data Security Standard (DSS). Merchants and other service providers can run their applications on our PCI-compliant technology infrastructure for storing, processing, and transmitting credit card information in the cloud. Amazon Elastic Compute Cloud (EC2), Amazon Simple Storage Service (S3), Amazon Elastic Block Storage (EBS) and Amazon Virtual Private Cloud (VPC) are included in the PCI compliance validation.
  33. 33. AWS Security Resources http://aws.amazon.com/security/ Security Whitepaper Risk and Compliance Whitepaper Latest Versions May 2011 Regularly Updated Feedback is welcome

×