AWSのセキュリティについて

28,272 views
27,668 views

Published on


http://jaws-ug-okinawa.doorkeeper.jp/events/9974

Published in: Technology
0 Comments
99 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
28,272
On SlideShare
0
From Embeds
0
Number of Embeds
719
Actions
Shares
0
Downloads
391
Comments
0
Likes
99
Embeds 0
No embeds

No notes for slide

AWSのセキュリティについて

  1. 1. AWSのセキュリティについて 2014年4月26日 アマゾンデータサービスジャパン株式会社 テクニカルエバンジェリスト 堀内康弘
  2. 2. Who am I ? • 堀内 康弘 (ほりうち やすひろ) • 1978年生まれ 山梨県出身 • AWS テクニカルエバンジェリスト • 140回以上の講演 • 60回以上のハンズオン • 250本以上のブログ記事
 Amazon Web Services ブログ
 http://aws.typepad.com/aws_japan/ • 10+ years web engineer in startups • Director of V-cube (perl), 2001 - 2006 • CTO of FlipClip (perl), 2006 - 2009 • CTO of gumi (python), 2009 - 2012 @horiuchi horiyasu フォロー歓迎!
  3. 3. Amazonのビジネスモデル 創業者ジェフ・ベゾスが起業時にレストランのナプキンに書いたオリジナルのコンセプト図 品 えと低価格を徹底的に追求
  4. 4. Amazonのビジネスモデル • High Volume / Low Margin • 「規模の経済」と「効率化」
   による更なるコスト削減 • このビジネスサイクルを回し続ける
  5. 5. Amazon.comが年商70億ドルの 際に必要だったサーバー量を AWS は、毎日追加
  6. 6. 規模の恩恵は、
 セキュリティーやコンプライアンスにも生きます 全ての皆様のシステムとアプリケーション                                               Security Infrastructure セキュリティー
 基盤 ご要求 ご要求 私たちにとって、厳しいお客様は
 何物にも勝る財産です ご要求
  7. 7. SUNCORP • オーストラリアの金融グループ - SUNCORP BANK: オーストラリア第五位の銀行 - SUNCORP Insurance: オーストラリア最大の保険契約数 - その他14の金融ブランド • 900万人の顧客、1万5千人の従業員 • ミッションクリティカルなものも合わせて、2000 のアプリケーションを保有
  8. 8. ビジョンと実行計画 • 1ヶ月目 - 新技術調査 - ビジネス継続性の検討 - 広範囲の認可 • 2ヶ月目 - リスク、セキュリティ、リーガル面の確認 - ガバナンスの作成 - 規制各局とのブリーフィング • 3ヶ月目 - オンラインアプリケーション、BIなどからマイグレーション開始 • 18ヶ月目 - ミッションクリティカルなものも含め、2000ある全てのアプリケーションをAWSに移行
  9. 9. ダウジョーンズ • 保有している40のデータセンターを、向こう
 3年間で6つにまで縮小 • 3000のアプリケーションをAWSに移行 • AWSを利用する事で、ガバナンスの強化を実施 - API利用で、全てのインフラの情報/コスト を可視化 • 100億円のインフラ費用のコストを削減
  10. 10. NASDAQ OMX “FinQloud” © 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of
  11. 11. NASDAQ OMX • 金融機関向けに「FinQloud」をAWS上で提供 • SECの基準に準拠した形で情報を安全に管理する環境を提供 • 財務データの管理、分析や検索、レポーティングなどを実行可能 • レギュレーションに関する情報の記録と、セルフレポーティング機能を提供。 今後多くの機能を提供 • 利用者は高価な設備投資をせずに、コンプライアンス要求やセキュリティを 満たした環境の利用が可能に “クラウド技術のリーダーであるAWSとの協業により、金融サービス業界に大規模で革新的なソリューションを提供で きました。FinQloudは、規制に関するデータを保護し、投資家に信頼性のある情報を提供します。我々はAWSと連携 して、市場の質と透明性を向上させていきます” Eric Noll, Executive Vice President of Transaction Services U.S. and U.K. at NASDAQ OMX
  12. 12. 引き換えに、より高い性能と透明性を手に入れる 手に入れましょう - 柔軟で強力な、完全な仮想環境 - 巨額の投資が可能にした高いセキュリティー - 数々の認証、レポート、認定 - コンプライアンスに関する負担の軽減 - 世界レベルのセキュリティーチームが皆さんを 見守ります 下取りに出して - 物理インフラストラクチャーの
 細々したオペレーション - 低いセキュリティーに対する
 コントロール - 物理的にネットワークやサーバーを
 管理・検証する機会
  13. 13. 共有責任モデル - AWSのセキュリティに対する考え方
  14. 14. AWSはインフラ部分のセキュリティに責任を持つ ファシリティ   物理理セキュリティ   コンピュートインフラ   ストレージインフラ   ネットワークインフラ   仮想化レイヤー OS   アプリケーション   セキュリティグループ   ファイアーウォール   ネットワーク設定   アカウント管理理 + Customer 共有責任モデル
  15. 15. 基盤サービス 計算 ストレージ データベース ネットワーキング AWS   グローバル   インフラストラクチャー リージョン アベイラビリティーゾーン エッジ ロケーション クライアントサイドの暗号化、 データ保全性の認証 サーバーサイドの暗号化
 (ファイルシステム and/or データ) ネットワークトラフィック保護 (暗号化、保全性、同一性) プラットフォーム、アプリケーション、IAM OS、ネットワークとファイヤウォールの構成 お客様のデータAmazonお客様
  16. 16. AWSの責任部分への取り組み ファシリティ   物理理セキュリティ   コンピュートインフラ   ストレージインフラ   ネットワークインフラ   仮想化レイヤー OS   アプリケーション   セキュリティグループ   ファイアーウォール   ネットワーク設定   アカウント管理理 + Customer
  17. 17. クラウドのセキュリティ • クラウドのセキュリティのアドバンテージ - セキュリティへの大規模な投資 - セキュリティへの継続的な投資 - セキュリティ専門部隊の設置 - 24時間/365日の対応 ! • クラウドならではのセキュリティ - 物理的な持ち出しが不可能
 情報漏洩の8割を占める内部犯行においても、データセンターの場所を隠匿し たクラウドでは不可
  18. 18. AWSのセキュリティ方針 • セキュリティはAWSにおける最優先事項 • セキュリティに対する継続的な投資 - セキュリティ専門部隊の設置 • 複数の第三者認証を取得 • セキュリティ関連ホワイトペーパーの公開 • http://aws.amazon.com/jp/security/
  19. 19. 徹底したAWSの物理セキュリティ管理 • 各DCは物理的に隔離、洪水面を考慮。地盤が安定している場所の選定 • 無停止電源(UPS)、バックアップ電源、異なる電源供給元の確保 • 冗長化されたTier-1ネットワークの接続 • 厳格に管理された物理的なアクセス - 多要素認証 - 必要に応じて定められたアクセス を都度付与 • 全てのアクセスはログされる
  20. 20. セキュリティ関連の第3者認証 • AWSは以下のような第三者認証を取得済み - SSAE 16/ISAE 3402基準、SOC1レポート(旧SAS70) - SOC2レポート、SOC3レポート - ISO 27001 Certification - PCI DSS Level 1 - FISMA moderate - Sarbanes-Oxley (SOX) - FedRAMP - DoD (国防総省暫定認定) • AWSにシステムをデプロイし、第三者認証を取得することも可能 - HIPAA (医療関係) - Pマーク - ASP・SaaS安全・信頼性に係る情報開示認定制度 - http://aws.amazon.com/jp/security/ - http://aws.amazon.com/jp/compliance/
  21. 21. 世界レベルのセキュリティーチームによるネットワークセキュリティ対策 • 分散サービス妨害(DDoS)攻撃: - 長年の経験によるDDos緩和技術 • 介入者(MITM)攻撃: - SSLで保護されたエンドポイント - EC2のホストキーは起動時に生成 • IP スプーフィング: - ホストOSレベルで遮断 エンドユーザに代わってインフラ部分での対策を実施 • ポートスキャニング: – AWS使用ポリシー違反 – 許可のないスキャニングは検 出、停止、ブロック – 入力ポートはデフォルトで全 て閉じられている ! • 第三者によるパケットスニフィング: • 無差別モードでの「傍受」は不可能 • ハイパーバイザーレベルで保護
  22. 22. 重要なポイント • 堅牢な物理ファシリティの構築・運用 • 多くの第三者認証の取得費用・維持 • セキュリティに関する情報の収集作業 • インフラ部分の脆弱性や脅威に対する対応 • インシデント発生時の対応体制の構築 すべて費⽤用に含まれています
  23. 23. AWS責任部分への取り組み ファシリティ   物理理セキュリティ   コンピュートインフラ   ストレージインフラ   ネットワークインフラ   仮想化レイヤー OS   アプリケーション   セキュリティグループ   ファイアーウォール   ネットワーク設定   アカウント管理理 + Customer
  24. 24. AWS利利⽤用者のセキュリティ対策 ファシリティ   物理理セキュリティ   コンピュートインフラ   ストレージインフラ   ネットワークインフラ   仮想化レイヤー OS   アプリケーション   セキュリティグループ   ファイアーウォール   ネットワーク設定   アカウント管理理 + Customer
  25. 25. AWSはセキュリティを容易に高められる機能を提供 • グローバルインフラストラクチャー • Amazon VPC = プライベートクラウド • AWS Direct Connect = 専用線 • AWS IAM = AWSリソースへのアクセス権限の管理 • AWS CloudTrail = AWSリソースの利用状況の監査 • AWS Trusted Advisor = AWSのセキュリティアドバイザ • Multi-Factor Authentication (MFA)
  26. 26. 拡大を続けるAWS グローバルインフラストラクチャー GovCloud 米国西部 米国東部 南米 EU アジアパシフィック 中国 US ITAR Region 北カリフォルニア オレゴン 北バージニア サンパウロ アイルランド シドニー 東京 シンガポール 中国 10 Regions (地域) | 26 Availability Zones(データセンター群) | 51 Edge Locations アカウント一つで世界中のデータセンターを利用可能 セキュリティーレベルは全て同じ 使い勝手も全て同じ
  27. 27. Amazon Virtual Private Cloud (プライベートクラウド) AWS Direct Connect (専用線接続) 東京リージョン 192.168.11.8  といった   プライベートIPを
 持ったサーバーを起動 社内NW
 (オンプレ) お客様専⽤用の   NW領領域を作成可能 Direct   Connect Internet VPN  Virtual   GW VPN接続(BGP/Static)
 専⽤用線接続
  28. 28. AWS Identity and Access Management = AWSリソースへのアクセス権限の管理 • AWS操作をよりセキュアに行うための認証・認可の仕組み ! • AWS利用者の認証と、アクセスポリシーを管理 - AWS操作のためのグループ・ユーザーの作成が可能 - グループ、ユーザーごとに、実行出来る操作を規定できる - ユーザーごとに認証情報の設定が可能 開発チーム 運用チーム
  29. 29. IAMでどのリソースを誰が操作可能か細かく設定可能 APIやマネジメントコンソールからの   アクセスに対して、権限をチェック 全操作可能 S3はすべて   操作可能 S3参照だけ
  30. 30. NASAも認める高いセキュリティ http://www.atmarkit.co.jp/ait/articles/1301/24/news087.html
  31. 31. AWS CloudTrail • AWS管理操作のログを取得し、暗号化してS3に保存する新機能 - MFA Delete(多要素認証デバイスを用いた消去手法)に対応 - ログファイルは、AWSアカウントID、リージョン、サービス 名、日付、時間の情報毎に分類、圧縮 • 主な活用用途 - コンプライアンス準拠 - リソースのライフサイクル管理 - トラブルシューティング - セキュリティ面の分析 • 現在、米国東部(バージニア北部)、米国西部(オレゴン)で利用可能 AWSのサービスの利用履歴を取得しセキュリティの分析や監査を行うことができる 新 サ ー ビ ス 詳細はブログにて:http://bit.ly/1gK8khf
  32. 32. AWS Trusted Advisor • お客様のAWS環境を精査し、
 推奨事項をお知らせ • コスト削減、可用性、セキュリティ、 パフォーマンスに関して、100個 を超える項目をチェック • 多くのお客様にAWSのサービスを
 適用してきたベストプラクティスが 適用されている お客様のAWS環境を最適化するアドバイスを行うコンシェルジュ
  33. 33. Multi-Factor Authentication (MFA) • ユーザー名とパスワードに加えて、MFAデバイスから取得できる認証コードを必須に出来る • AWSアカウント、IAMユーザー毎に設定可能 • 無料の仮想MFAアプリケーション (Google Authenticatorなど)を利用することも可能
  34. 34. セキュリティ&コンプライアンスにおける共有責任モデル ファシリティ 物理セキュリティ コンピュートインフラ ストレージインフラ ネットワークインフラ 仮想化レイヤー OS アプリケーション セキュリティグループ ファイアーウォール ネットワーク設定 アカウント管理 + = Customer 責任範囲のセキュリティレベルをそれぞれが高めることで オンプレミス以上のセキュリティを実現する事が可能
  35. 35. 日本でのAWS導入事例
  36. 36. 責任分担することでPCI-DSS完全準拠の環境を実現 • スマートフォン決済サービスを提供するスタートアップ • インフラにAWSを採用することで、リソースの少ないスタートアップ企業が 短期間で業界標準の高いセキュリティ環境を実現 導入事例: コイニー株式会社様 Case  Study “PCI DSSへの準拠をはじめ、導入や運用のコスト面及びサービスの
 スケーラビリティも考慮すると、AWSを使わない手はありません。” ! コイニ―株式会社 代表取締役 佐俣奈緒子様
  37. 37. 金融機関向け“Amazon Web Services” セキュリティリファレンス • FISC安全対策基準(第8版)へのAWSの準拠状況を調査した資料を一般公開 • 複数のパートナー様が共同で調査。AWSも調査に協力 • AWSと利用者で責任分担することで、FISC安対基準を満たせるとの見解 • http://aws.amazon.com/jp/aws-jp-fisclist/
  38. 38. 東京海上日動様 • AWS Summit 2013にご登壇 • 理事IT企画部長 稲葉様 • 次世代のIT基盤としてのビジネスメリットに着目 ! • 第三者認証の確認や、AWSセキュリティグループへの確認を通じ、AWSは 金融でも利用できかを時間をかけて確認 • 第三者認証のレポートと自社内基準のマッピング • AWSのセキュリティチームとAWSサービスの運用ポリシーを確認 • 有事の際の迅速な連絡体制、対応体制をすりあわせ
  39. 39. 東京海上日動様 • 検証の結果、
 AWSは金融でも利用できると確信 ! • 今後は、TMNFグループ全体のCertifiedベンダーとしてAWSを活用予定。 • 複数のプロジェクトでAWSの採用を決定 • 新規システム、システム移行など、活用範囲を順次拡大予定 • SaaS on AWSの積極的活用を検討 • AWS認定エンジニアの教育・強化を図る
  40. 40. マネックス証券様 • 投資信託の検索・情報提供サイトをAWSで実現 ! • セキュリティを重視し、Amazon VPCを利用 ! • 複数データセンターに配置したアプリケーションサーバとDB サーバで、高い可用性を実現 ! • 開発環境構築を1週間、本番環境構築を2週間で実現
  41. 41. まとめ • 共有責任モデルでオンプレよりもセキュアな環境を実現可能 • セキュアな環境を追加費用なしで利用可能 • 企業の戦略的プラットフォームとしての利用がますます促進 • コスト削減だけでなく、開発・調達スピードアップ、セ キュリティ、ガバナンスの向上などの観点でAWSを採用 • クラウドがビジネスを実現するための
 キーファクターに
  42. 42. AWSの最新アップデート
  43. 43. 新世代のメモリ最適化インスタンスタイプ(R3)が利用可能に • 価格(東京リージョン) - GiBあたり$0.0138 (largeのみ$0.0140) - m2(GiBあたり$0.0168)の約8割の料金で利用可能 2014/04/10 http://bit.ly/1kvdG2V
  44. 44. 多種多様なインスタンスタイプ GPU一般用途 バランス型 メモリ 最適化 ストレージとIO 最適化 コンピュート 最適化 CR1M2CC2C1 HI1 HS1 CG1M1
  45. 45. 多種多様なインスタンスタイプ GPU一般用途 バランス型 メモリ 最適化 ストレージとIO 最適化 コンピュート 最適化 CR1M2CC2C1 HI1 CG1M1 G2M3 R3C3 I2 HS1
  46. 46. M3インスタンス - 汎用タイプ • Intel Xeon E5-2670 (Sandy Bridge) • SSDのインスタン スストレージ CPU性能、メモリー、ネットワークのバランスがとれたタイプ 特徴 モデル vCPU メモリ (GiB) SSD ストレージ (GB) オンデマン ド料金 (東京) m3.medium 1 3.75 1 x 4 $0.101 m3.large 2 7.5 1 x 32 $0.203 m3.xlarge 4 15 2 x 40 $0.405 m3.2xlarge 8 30 2 x 80 $0.810
  47. 47. C3インスタンス - CPU最適化 • Intel Xeon E5-2670 v2 
 (Ivy Bridge) • SSDインスタンスストレージ • 低レイテンシー、低ジッタ、高 い秒間あたりのパケット性能を 持つ拡張されたネットワーク
 (SR-IOV, VPCのみ) • クラスタリングサポート CPU性能に特化したタイプ。CPUあたりの料金が最も安い 特徴 モデル vCPU メモリ (GiB) SSD ストレージ (GB) オンデマン ド料金 (東京) c3.large 2 7 2 x 16 $0.128 c3.xlarge 4 14 2 x 40 $0.255 c3.2xlarge 8 28 2 x 80 $0.511 c3.4xlarge 16 55 2 x 160 $1.021 c3.8xlarge 32 108 2 x 320 $2.043
  48. 48. R3インスタンス - メモリ最適化 • Intel Xeon E5-2670 v2 
 (Ivy Bridge) • SSDインスタンスストレー ジ • 低レイテンシー、低ジッタ、 高い秒間あたりのパケット性 能を持つ拡張されたネットワー ク (SR-IOV, VPCのみ) メモリに特化したタイプ。メモリGiBあたりの料金が最も安い 特徴 モデル vCPU メモリ (GiB) SSD ストレージ (GB) オンデマン ド料金 (東京) r3.large 2 15 1 x 32 $0.210 r3.xlarge 4 30.05 1 x 80 $0.420 r3.2xlarge 8 61 1 x 160 $0.840 r3.4xlarge 16 122 1 x 320 $1.680 r3.8xlarge 32 244 2 x 320 $3.360
  49. 49. I2インスタンス - ストレージ最適化 • Intel Xeon E5-2670 v2 
 (Ivy Bridge) • SSDインスタンスストレージ • TRIMサポート • 低レイテンシー、低ジッタ、高 い秒間あたりのパケット性能を 持つ拡張されたネットワーク
 (SR-IOV, VPCのみ) ストレージに最適化されており、高いランダムI/O性能、IOPSを提供
 i2.8xlargeで秒間365,000超のランダムリードと秒間315,000超のランダムライト 特徴 モデル vCPU メモリ (GiB) SSD ストレージ (GB) オンデマン ド料金 (東京) i2.xlarge 4 30.05 1 x 800 $1.051 i2.2xlarge 8 61 2 x 800 $2.101 i2.4xlarge 16 122 4 x 800 $4.202 i2.8xlarge 32 244 8 x 800 $8.404
  50. 50. AWS Elastic Beanstalk for Docker 2014/04/24 http://bit.ly/1f8Bd7z Meets Amazon Linux AMI 2014.03 からDockerをサポート
  51. 51. AWSゴールデンウィーク 無料体験キャンペーン • 新規にアカウント作成した お客様のうち、5月9日ま でにキャンペーンにご応募 いただいた方へ無料利用枠 に加え、25ドルのAWS利 用クーポンをプレゼント!!
  52. 52. もっと試してみたい方へ • 無料オンライビデオおよびラボ(演習) • http://aws.amazon.com/jp/training/intro_series/ • AWS入門コース ∼無料コース∼ • オンラインビデオ(英語)とラボ(演習)のセット • Amazon Simple Storage Service(S3)入門 • Amazon Elastic Compute Cloud(EC2)入門 • AWS Identity and Access Management(IAM)入門 • Amazon Elastic Block Store(EBS)入門 • Amazon Elastic Load Balancing 入門 ! • AWSトレーニングもご用意があります。 • 詳細はこちらへ:http://aws.amazon.com/jp/training/
  53. 53. AWS Summit Tokyo 2014 • 2014年7月17日(木) ∼ 18日(金) • グランドプリンス新高輪 (国際館パミール) • 来場無料 (要事前登録) • http://www.awssummittokyo.com/ - 申し込み受付開始通知メール受付開始!

×