0
AAWWSSで  セキュリティを高める!  •  株式会社サーバーワークス  •  大石  @@ooooiisshhii
おおいし    りょう                  大石  良               株式会社サーバーワークス               代表取締役  –    昭和4488年77月2200日  新潟市生まれ  –    コンピュ...
クラウド  の  すけ               おおいし                 大石                      蔵人之助               株式会社サーバーワークス               代表取締役...
クラウド  の  すけ   蔵人之助  というくらいですから、
持ちネタ  切腹
もし今日のセッションで  皆様に得るものがなかったら・・・  切腹します
大学向�け  合否照会サービス
昔の合格発表
今の合格発表
シェア  6600%%
ところが・・・
必要なサーバー数                 課題            無駄         必要なコスト         22月       88月
そこで、
22000077年からAAWWSSのテスト利用を開始
22000088年  社内サーバー購入�禁止令
22001111年  AWS Solution Provider    22001122年  Amazon Partner Network最上位の  AdvancedConsulting Partner
日経コンピュータ  クラウドランキング
事例
AAWWSSの当社事例
サイトダウンの理由  被災者:        非被災者:  救急医療など、支援   義援金やボランティが受けられる場所を   ア活動など、支援で  探す目的で     きる方法を探す目的
EC2
義援金受付システム
負荷分散装置   20台の、物理的に離れた  2つのデータセンターに設置    されたウェブサーバー             1日に500万通送信できる                            メールサーバー           ...
タイムチャート:    33月1144日  日本赤十字社様との打ち合わせ  33月1155日  サイト復旧  33月1177日  義援金管理システム稼働開始
事実  震災後の迅速な義援金の募集に  一役買ったのは、 
AAWWSS導入�の最大ハードル  上司・顧客の   この一言
セキュリティは?
クラウドって  セキュリティが不安…�
一般的なシステムの脅威   外部  データ漏えい     攻撃者によるアタック   内部        物理的アクセスによる             データ盗難
クラウド特有の脅威  仮想マシン            場所が分からなくて、            なんとなく不安・・・  仮想マシン     物理マシンを共有したら、意          図せず漏洩したりしないか            AAW...
AAWWSSは何をしているのか?
AAWWSSの回答  11..  第三者認証  22..  テクノロジー  33..  場所の隠匿
第三者認証  •  ISMS(ISO27001)•  PCI DSS Level 1•  FISMA-Modarate•  ISAE3402 SOC1 (formerly known as SAS70 type II)
テクノロジー  •  特許技術で、XXeennを拡張  •  AAWWSS社員も顧客のデータに     アクセスできない
場所の隠匿  • 場所は明かさない  • 見学もさせない                 ?
中国	  –	  2500年前
戦っても勝ち目はない趙の決断  「降伏と見せかけて   始皇帝を暗殺しよう」
秦の始皇帝暗殺を企んだ刺客が持って行ったもの地図
地図を渡す=完全な服従の意  地図を渡す=攻撃が成功する   可能性が極めて高くなる
場所の情報はそれほど      重要な情報なので、AAWWSSは場所を明かさない
安心         <  安全
思考実験:  場所が分かると何ができるか?
反対する方に質問  11.. 会社存続に、必須の経営資源は    何ですか?  22.. それはどこにありますか?
なぜ大切なお金を銀行に預けるのか?  • セキュリティ   –  社内より銀行の方が安全  • 可用性   –  預けた支店が事故を起こしても口座情報は保持  • 利便性   –  AATTMM+カードでどこでもアクセス
クラウドも、銀行と同じです  • セキュリティ   –  社内よりAAWWSSの方が堅牢な物理セキュリティを確保  • 可用性   –  クラウド側で高い耐久性を維持      (SS33のファイル耐久性は9999..9999999999999...
NASAと、御社とでは、     どちらがIITTインフラの    セキュリティレベルを保つ  仕組みが整っていると思いますか?
AAWWSSで、われわれの組織内の    インフラよりもはるかに高い  セキュリティを保てるようになる  NASA	  ジェット推進研究所(JPL)のシニア・ソリューション・アーキテクト	  カワジャ・シャムズ(Khawaja	  Shams)...
セキュリティを高めるために、  銀行にお金を預けることと同様  システムもクラウドに預けた方が、セキュリティレベルが上がる
セキュリティ
考慮すべき事項     物理         ネットワーク  • データセンター    • 経路の安全確保    入�館        • 攻撃からの防御  • 物理アクセス     • ログイン  • 交換・廃棄�
AAWWSS特有の  セキュリティ
①経路
Amazon VPC– パブリッククラウドで    プライベートクラウドが作れる!  – 仮想プライベートクラウド
Amazon	  VPC	                仮想サーバー           VPN	  (IPsec)	オフィス
Amazon	  VPC	         仮想サーバー                             POI	オフィス           専用線
組み合わせ例
Amazon	  VPC	                         DMZ                         DB用サブネット                   VPN          オフィス
②防御
防御  • アンチウイルス• WAF• IDS/IPS
防御(アンチウイルス)  •  ホストベース – TrendMicro ServerProtect
防御(L3/L4)•  IPS/IDS  –  Snort  –  CheckPoint Virtual Applicance•  DDoS, SYN Flood辺りは     AAWWSSが防いでくれる!
防御(L7)•  WAF – FortiWeb – Citrix NetScaler – NEC InfoCage SiteShell
WAF運用の課題・・  •  24h365dの対応が必要  •  攻撃が来たときに素早く分析   –  ゼロデイ攻撃へ対応できる体制
当社の選択(WAF)•  サービスとしてのWAFを利用  •  キャッシュポイズニングなど、DNSの安   全性を高めるためにRoute 53を利用
Route53              メインコンテンツ      ProxyWAF Service
家に帰ってすぐやること  • BINDは   マジ犯罪!!  •  すぐにTerminateしてRoute53を使おう
③ログイン
ログインセキュリティ  •  ホスト•  AWS Management Console
ログインセキュリティ        (ホスト)  •  公開鍵認証•  SSH, RDPセッションの記録 – NRIセキュアテクノロジーズ  SecureCube
ログインセキュリティ    (マネジメントコンソール)  1.  IAM2.  MFA33..  アカウントをSalesforceに   – 安全な共有   – 最小限のアクセス
ログインセキュリティ   (マネジメントコンソール)  •  (評価中)シングルサインオン   – OneLogin – okta
最近「足りない」と言われます
Management Consoleに     足りないモノ  •  バージョンコントロール  •  IIPPアドレスによるアクセス制限  •  操作履歴・証跡
Dedicated Edition
Cloudworks Dedicated Edition•  企業が、自社のVPC内に専用の   Cloudworks(コンソール)を   立ち上げ可能•  RDS, ELB, S3の操作•  操作ログの詳細な記録
Cloudworks Dedicated Edition•  自社の都合でマネジメントコンソールの   バージョンアップタイミングを管理可能•  AWSの操作ログを記録できるので、 間違ってインスタンスを消し た犯人を見つけやすい企業のコン  ...
AAWWSSのセキュリティモデル                           特権                           アクセス  外部                     VVPPNN               ...
なぜプロダクトの話をしたのか?
調達モデルの変化!
今までのSI   のどが    渇いた!                    ○×○×○×○×○       ○×○×○×○×○                  ×○×○×○×○×       ×○×○×○×○×              ...
これからのSI のどが  渇いた!                         どうぞ!                           H2O	               H	         H	         O	      ...
今までのSSII  •  「人が多い」ことが前提だった  •  「コミュニケーション」が重要なスキル   だった  •  下請け企業の役割は、技術では無く     「人材バッファ」だった
クラウド型SSIIでは  •  非常に小さいチーム  •  スピーディーなデリバリー  •  つくらない技術≒使う技術   が重要に!   –  「組み合わせる」分子式の知識    •  AWSのCDP  •  EC2+TrendMicro  ...
商用プロダクトを上手に組み合わせて、最小の労力で最大の効果を!
本日のまとめ
まとめ  ①AWSによって物理層のセキュリティを対策する必要がなくなり、セキュリティレベル向上②AWSのサービス(VPC, IAM, SG)とサードパーティーのサービスを組み合わせることで、オンプレミスと同等の防御が可能③クラウド時代の構築は、...
切腹しろ  という方は    お申し出下さい
そうでない方は・・・
                    セキュアなシステムで  ハッピーなエンジニアライフを!
ありがとうございました                @@ooooiisshhii
AWSでセキュリティを高める!
AWSでセキュリティを高める!
AWSでセキュリティを高める!
AWSでセキュリティを高める!
AWSでセキュリティを高める!
AWSでセキュリティを高める!
AWSでセキュリティを高める!
Upcoming SlideShare
Loading in...5
×

AWSでセキュリティを高める!

13,827

Published on

・AWSを使うとなぜセキュリティレベルが向上するのか?
・そのロジックをどのようにお客様に伝えるのか?
・AWSが提供する「共有責任モデル」において、ユーザーが守るべき領域はどこで、それは具体的にどのように守るのか?

100を超えるAWS導入プロジェクトを進めてきたAWS専業のインテグレーターであるサーバーワークスが、過去の実績を踏まえ、AWSのセキュリティに関する疑問にお答えします。
(2013年2月16日 JAWS-UG横浜 第3回勉強会での発表資料です)

Published in: Technology
0 Comments
45 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
13,827
On Slideshare
0
From Embeds
0
Number of Embeds
16
Actions
Shares
0
Downloads
244
Comments
0
Likes
45
Embeds 0
No embeds

No notes for slide

Transcript of "AWSでセキュリティを高める!"

  1. 1. AAWWSSで セキュリティを高める! •  株式会社サーバーワークス •  大石 @@ooooiisshhii
  2. 2. おおいし りょう 大石 良 株式会社サーバーワークス 代表取締役 –  昭和4488年77月2200日 新潟市生まれ –  コンピューターとの出会いは1100歳の頃 –  当時はPPCC--88000011にベーマガのプログラムを入�力する日々 –  コンピューターの購入�は1111歳 / SSHHAARRPP XX11 –  中22の時に初めてプログラムが書籍に掲載 –  高校入�学記念にXX6688000000を購入� –  大学生の時にパソコン通信開始。本格的にシェアウェアを販売 –  総合商社でインターネットサービスプロバイダー事業に携わる –  22000000年にEECCのAASSPPを立ち上げるべく起業
  3. 3. クラウド の すけ おおいし 大石 蔵人之助 株式会社サーバーワークス 代表取締役 –  昭和4488年77月2200日 新潟市生まれ –  コンピューターとの出会いは1100歳の頃 –  当時はPPCC--88000011にベーマガのプログラムを入�力する日々 –  コンピューターの購入�は1111歳 / SSHHAARRPP XX11 –  中22の時に初めてプログラムが書籍に掲載 –  高校入�学記念にXX6688000000を購入� –  大学生の時にパソコン通信開始。本格的にシェアウェアを販売 –  総合商社でインターネットサービスプロバイダー事業に携わる –  22000000年にEECCのAASSPPを立ち上げるべく起業
  4. 4. クラウド の すけ 蔵人之助 というくらいですから、
  5. 5. 持ちネタ 切腹
  6. 6. もし今日のセッションで 皆様に得るものがなかったら・・・ 切腹します
  7. 7. 大学向�け 合否照会サービス
  8. 8. 昔の合格発表
  9. 9. 今の合格発表
  10. 10. シェア 6600%%
  11. 11. ところが・・・
  12. 12. 必要なサーバー数 課題 無駄 必要なコスト 22月 88月
  13. 13. そこで、
  14. 14. 22000077年からAAWWSSのテスト利用を開始
  15. 15. 22000088年 社内サーバー購入�禁止令
  16. 16. 22001111年 AWS Solution Provider 22001122年 Amazon Partner Network最上位の AdvancedConsulting Partner
  17. 17. 日経コンピュータ クラウドランキング
  18. 18. 事例
  19. 19. AAWWSSの当社事例
  20. 20. サイトダウンの理由 被災者: 非被災者: 救急医療など、支援 義援金やボランティが受けられる場所を ア活動など、支援で 探す目的で きる方法を探す目的
  21. 21. EC2
  22. 22. 義援金受付システム
  23. 23. 負荷分散装置 20台の、物理的に離れた 2つのデータセンターに設置 されたウェブサーバー 1日に500万通送信できる メールサーバー 物理的に離れたデータセンター間で リアルタイムに同期し、かつ1時間おきに 環境構築22時間 バックアップを取るデータベース アプリ開発4488時間
  24. 24. タイムチャート: 33月1144日 日本赤十字社様との打ち合わせ 33月1155日 サイト復旧 33月1177日 義援金管理システム稼働開始
  25. 25. 事実 震災後の迅速な義援金の募集に 一役買ったのは、 
  26. 26. AAWWSS導入�の最大ハードル 上司・顧客の この一言
  27. 27. セキュリティは?
  28. 28. クラウドって セキュリティが不安…�
  29. 29. 一般的なシステムの脅威 外部 データ漏えい 攻撃者によるアタック 内部 物理的アクセスによる データ盗難
  30. 30. クラウド特有の脅威 仮想マシン 場所が分からなくて、 なんとなく不安・・・ 仮想マシン 物理マシンを共有したら、意 図せず漏洩したりしないか AAWWSSのオペレーターが情報を仮想マシン もっていったりしないか?
  31. 31. AAWWSSは何をしているのか?
  32. 32. AAWWSSの回答 11..  第三者認証 22..  テクノロジー 33..  場所の隠匿
  33. 33. 第三者認証 •  ISMS(ISO27001)•  PCI DSS Level 1•  FISMA-Modarate•  ISAE3402 SOC1 (formerly known as SAS70 type II)
  34. 34. テクノロジー •  特許技術で、XXeennを拡張 •  AAWWSS社員も顧客のデータに アクセスできない
  35. 35. 場所の隠匿 • 場所は明かさない • 見学もさせない ?
  36. 36. 中国  –  2500年前
  37. 37. 戦っても勝ち目はない趙の決断 「降伏と見せかけて  始皇帝を暗殺しよう」
  38. 38. 秦の始皇帝暗殺を企んだ刺客が持って行ったもの地図
  39. 39. 地図を渡す=完全な服従の意 地図を渡す=攻撃が成功する 可能性が極めて高くなる
  40. 40. 場所の情報はそれほど 重要な情報なので、AAWWSSは場所を明かさない
  41. 41. 安心 < 安全
  42. 42. 思考実験: 場所が分かると何ができるか?
  43. 43. 反対する方に質問 11.. 会社存続に、必須の経営資源は 何ですか? 22.. それはどこにありますか?
  44. 44. なぜ大切なお金を銀行に預けるのか? • セキュリティ –  社内より銀行の方が安全 • 可用性 –  預けた支店が事故を起こしても口座情報は保持 • 利便性 –  AATTMM+カードでどこでもアクセス
  45. 45. クラウドも、銀行と同じです • セキュリティ –  社内よりAAWWSSの方が堅牢な物理セキュリティを確保 • 可用性 –  クラウド側で高い耐久性を維持 (SS33のファイル耐久性は9999..999999999999999999%%) • 利便性 –  ネット越しにどこからでも簡単にアクセス
  46. 46. NASAと、御社とでは、 どちらがIITTインフラの セキュリティレベルを保つ 仕組みが整っていると思いますか?
  47. 47. AAWWSSで、われわれの組織内の インフラよりもはるかに高い セキュリティを保てるようになる NASA  ジェット推進研究所(JPL)のシニア・ソリューション・アーキテクト  カワジャ・シャムズ(Khawaja  Shams)氏  h3p://www.atmarkit.co.jp/ait/ar>cles/1301/24/news087.html
  48. 48. セキュリティを高めるために、 銀行にお金を預けることと同様 システムもクラウドに預けた方が、セキュリティレベルが上がる
  49. 49. セキュリティ
  50. 50. 考慮すべき事項 物理 ネットワーク • データセンター • 経路の安全確保 入�館 • 攻撃からの防御 • 物理アクセス • ログイン • 交換・廃棄�
  51. 51. AAWWSS特有の セキュリティ
  52. 52. ①経路
  53. 53. Amazon VPC– パブリッククラウドで プライベートクラウドが作れる! – 仮想プライベートクラウド
  54. 54. Amazon  VPC 仮想サーバー VPN  (IPsec) オフィス
  55. 55. Amazon  VPC 仮想サーバー POI オフィス 専用線
  56. 56. 組み合わせ例
  57. 57. Amazon  VPC DMZ DB用サブネット VPN オフィス
  58. 58. ②防御
  59. 59. 防御 • アンチウイルス• WAF• IDS/IPS
  60. 60. 防御(アンチウイルス) •  ホストベース – TrendMicro ServerProtect
  61. 61. 防御(L3/L4)•  IPS/IDS –  Snort –  CheckPoint Virtual Applicance•  DDoS, SYN Flood辺りは AAWWSSが防いでくれる!
  62. 62. 防御(L7)•  WAF – FortiWeb – Citrix NetScaler – NEC InfoCage SiteShell
  63. 63. WAF運用の課題・・ •  24h365dの対応が必要 •  攻撃が来たときに素早く分析 –  ゼロデイ攻撃へ対応できる体制
  64. 64. 当社の選択(WAF)•  サービスとしてのWAFを利用 •  キャッシュポイズニングなど、DNSの安 全性を高めるためにRoute 53を利用
  65. 65. Route53 メインコンテンツ ProxyWAF Service
  66. 66. 家に帰ってすぐやること • BINDは マジ犯罪!! •  すぐにTerminateしてRoute53を使おう
  67. 67. ③ログイン
  68. 68. ログインセキュリティ •  ホスト•  AWS Management Console
  69. 69. ログインセキュリティ (ホスト) •  公開鍵認証•  SSH, RDPセッションの記録 – NRIセキュアテクノロジーズ SecureCube
  70. 70. ログインセキュリティ (マネジメントコンソール) 1.  IAM2.  MFA33..  アカウントをSalesforceに – 安全な共有 – 最小限のアクセス
  71. 71. ログインセキュリティ (マネジメントコンソール) •  (評価中)シングルサインオン – OneLogin – okta
  72. 72. 最近「足りない」と言われます
  73. 73. Management Consoleに 足りないモノ •  バージョンコントロール •  IIPPアドレスによるアクセス制限 •  操作履歴・証跡
  74. 74. Dedicated Edition
  75. 75. Cloudworks Dedicated Edition•  企業が、自社のVPC内に専用の Cloudworks(コンソール)を 立ち上げ可能•  RDS, ELB, S3の操作•  操作ログの詳細な記録
  76. 76. Cloudworks Dedicated Edition•  自社の都合でマネジメントコンソールの バージョンアップタイミングを管理可能•  AWSの操作ログを記録できるので、 間違ってインスタンスを消し た犯人を見つけやすい企業のコン プライアンス要求に適合可能•  今春登場!
  77. 77. AAWWSSのセキュリティモデル 特権 アクセス 外部 VVPPNN 一般ユーザー IIAAMM,, MMFFAA アタック 仮想マシン 内部同士の共有も、 明示しない限り禁止 仮想マシン 物理的 AAWWSSが 内部 防御 アクセス
  78. 78. なぜプロダクトの話をしたのか?
  79. 79. 調達モデルの変化!
  80. 80. 今までのSI のどが 渇いた! ○×○×○×○×○ ○×○×○×○×○ ×○×○×○×○× ×○×○×○×○× ○×○×○×○× ○×○×○×○× 調達チーム 品質チーム ○×○×○×○×○ ○×○×○×○×○ ○×○×○×○×○ ○×○×○×○×○ ×○×○×○×○× ×○×○×○×○× ×○×○×○×○× ×○×○×○×○× ○×○×○×○× ○×○×○×○× ○×○×○×○× ○×○×○×○× バケツを 川から 水の量を 水の品質を 調達する係 水をくむ係 計る係 調べる係
  81. 81. これからのSI のどが 渇いた!    どうぞ! H2O H H O   アマゾン工場 (クラウド事業者)
  82. 82. 今までのSSII •  「人が多い」ことが前提だった •  「コミュニケーション」が重要なスキル だった •  下請け企業の役割は、技術では無く 「人材バッファ」だった
  83. 83. クラウド型SSIIでは •  非常に小さいチーム •  スピーディーなデリバリー •  つくらない技術≒使う技術 が重要に! –  「組み合わせる」分子式の知識 •  AWSのCDP •  EC2+TrendMicro •  AWS+NetScaler WAF+GSLB
  84. 84. 商用プロダクトを上手に組み合わせて、最小の労力で最大の効果を!
  85. 85. 本日のまとめ
  86. 86. まとめ ①AWSによって物理層のセキュリティを対策する必要がなくなり、セキュリティレベル向上②AWSのサービス(VPC, IAM, SG)とサードパーティーのサービスを組み合わせることで、オンプレミスと同等の防御が可能③クラウド時代の構築は、組み合わせ知識が重要に!CDPや製品の情報を積極的に覚えて、クラウド時代に合ったセキュリティを実現
  87. 87. 切腹しろ という方は お申し出下さい
  88. 88. そうでない方は・・・
  89. 89.       セキュアなシステムで ハッピーなエンジニアライフを!
  90. 90. ありがとうございました @@ooooiisshhii
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×