AWSでセキュリティを高める!
Upcoming SlideShare
Loading in...5
×
 

AWSでセキュリティを高める!

on

  • 10,962 views

・AWSを使うとなぜセキュリティレベルが向上するのか? ...

・AWSを使うとなぜセキュリティレベルが向上するのか?
・そのロジックをどのようにお客様に伝えるのか?
・AWSが提供する「共有責任モデル」において、ユーザーが守るべき領域はどこで、それは具体的にどのように守るのか?

100を超えるAWS導入プロジェクトを進めてきたAWS専業のインテグレーターであるサーバーワークスが、過去の実績を踏まえ、AWSのセキュリティに関する疑問にお答えします。
(2013年2月16日 JAWS-UG横浜 第3回勉強会での発表資料です)

Statistics

Views

Total Views
10,962
Views on SlideShare
9,365
Embed Views
1,597

Actions

Likes
29
Downloads
185
Comments
0

10 Embeds 1,597

http://blog.serverworks.co.jp 1203
http://ryo-kai.hatenablog.jp 192
https://twitter.com 87
http://md-blog.serverworks.co.jp 68
http://www.serverworks.co.jp 24
http://harajuku-tech.org 12
http://md-blog-admin.serverworks.co.jp 6
http://s.deeeki.com 3
http://hashtagsjp.appspot.com 1
http://slideshare-download.seesaa.net 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

AWSでセキュリティを高める! AWSでセキュリティを高める! Presentation Transcript

  • AAWWSSで セキュリティを高める! •  株式会社サーバーワークス •  大石 @@ooooiisshhii
  • おおいし りょう 大石 良 株式会社サーバーワークス 代表取締役 –  昭和4488年77月2200日 新潟市生まれ –  コンピューターとの出会いは1100歳の頃 –  当時はPPCC--88000011にベーマガのプログラムを入�力する日々 –  コンピューターの購入�は1111歳 / SSHHAARRPP XX11 –  中22の時に初めてプログラムが書籍に掲載 –  高校入�学記念にXX6688000000を購入� –  大学生の時にパソコン通信開始。本格的にシェアウェアを販売 –  総合商社でインターネットサービスプロバイダー事業に携わる –  22000000年にEECCのAASSPPを立ち上げるべく起業
  • クラウド の すけ おおいし 大石 蔵人之助 株式会社サーバーワークス 代表取締役 –  昭和4488年77月2200日 新潟市生まれ –  コンピューターとの出会いは1100歳の頃 –  当時はPPCC--88000011にベーマガのプログラムを入�力する日々 –  コンピューターの購入�は1111歳 / SSHHAARRPP XX11 –  中22の時に初めてプログラムが書籍に掲載 –  高校入�学記念にXX6688000000を購入� –  大学生の時にパソコン通信開始。本格的にシェアウェアを販売 –  総合商社でインターネットサービスプロバイダー事業に携わる –  22000000年にEECCのAASSPPを立ち上げるべく起業
  • クラウド の すけ 蔵人之助 というくらいですから、
  • 持ちネタ 切腹
  • もし今日のセッションで 皆様に得るものがなかったら・・・ 切腹します
  • 大学向�け 合否照会サービス
  • 昔の合格発表
  • 今の合格発表
  • シェア 6600%%
  • ところが・・・
  • 必要なサーバー数 課題 無駄 必要なコスト 22月 88月
  • そこで、
  • 22000077年からAAWWSSのテスト利用を開始
  • 22000088年 社内サーバー購入�禁止令
  • 22001111年 AWS Solution Provider 22001122年 Amazon Partner Network最上位の AdvancedConsulting Partner
  • 日経コンピュータ クラウドランキング
  • 事例
  • AAWWSSの当社事例
  • サイトダウンの理由 被災者: 非被災者: 救急医療など、支援 義援金やボランティが受けられる場所を ア活動など、支援で 探す目的で きる方法を探す目的
  • EC2
  • 義援金受付システム
  • 負荷分散装置 20台の、物理的に離れた 2つのデータセンターに設置 されたウェブサーバー 1日に500万通送信できる メールサーバー 物理的に離れたデータセンター間で リアルタイムに同期し、かつ1時間おきに 環境構築22時間 バックアップを取るデータベース アプリ開発4488時間
  • タイムチャート: 33月1144日 日本赤十字社様との打ち合わせ 33月1155日 サイト復旧 33月1177日 義援金管理システム稼働開始
  • 事実 震災後の迅速な義援金の募集に 一役買ったのは、 
  • AAWWSS導入�の最大ハードル 上司・顧客の この一言
  • セキュリティは?
  • クラウドって セキュリティが不安…�
  • 一般的なシステムの脅威 外部 データ漏えい 攻撃者によるアタック 内部 物理的アクセスによる データ盗難
  • クラウド特有の脅威 仮想マシン 場所が分からなくて、 なんとなく不安・・・ 仮想マシン 物理マシンを共有したら、意 図せず漏洩したりしないか AAWWSSのオペレーターが情報を仮想マシン もっていったりしないか?
  • AAWWSSは何をしているのか?
  • AAWWSSの回答 11..  第三者認証 22..  テクノロジー 33..  場所の隠匿
  • 第三者認証 •  ISMS(ISO27001)•  PCI DSS Level 1•  FISMA-Modarate•  ISAE3402 SOC1 (formerly known as SAS70 type II)
  • テクノロジー •  特許技術で、XXeennを拡張 •  AAWWSS社員も顧客のデータに アクセスできない
  • 場所の隠匿 • 場所は明かさない • 見学もさせない ?
  • 中国  –  2500年前
  • 戦っても勝ち目はない趙の決断 「降伏と見せかけて  始皇帝を暗殺しよう」
  • 秦の始皇帝暗殺を企んだ刺客が持って行ったもの地図
  • 地図を渡す=完全な服従の意 地図を渡す=攻撃が成功する 可能性が極めて高くなる
  • 場所の情報はそれほど 重要な情報なので、AAWWSSは場所を明かさない
  • 安心 < 安全
  • 思考実験: 場所が分かると何ができるか?
  • 反対する方に質問 11.. 会社存続に、必須の経営資源は 何ですか? 22.. それはどこにありますか?
  • なぜ大切なお金を銀行に預けるのか? • セキュリティ –  社内より銀行の方が安全 • 可用性 –  預けた支店が事故を起こしても口座情報は保持 • 利便性 –  AATTMM+カードでどこでもアクセス
  • クラウドも、銀行と同じです • セキュリティ –  社内よりAAWWSSの方が堅牢な物理セキュリティを確保 • 可用性 –  クラウド側で高い耐久性を維持 (SS33のファイル耐久性は9999..999999999999999999%%) • 利便性 –  ネット越しにどこからでも簡単にアクセス
  • NASAと、御社とでは、 どちらがIITTインフラの セキュリティレベルを保つ 仕組みが整っていると思いますか?
  • AAWWSSで、われわれの組織内の インフラよりもはるかに高い セキュリティを保てるようになる NASA  ジェット推進研究所(JPL)のシニア・ソリューション・アーキテクト  カワジャ・シャムズ(Khawaja  Shams)氏  h3p://www.atmarkit.co.jp/ait/ar>cles/1301/24/news087.html
  • セキュリティを高めるために、 銀行にお金を預けることと同様 システムもクラウドに預けた方が、セキュリティレベルが上がる
  • セキュリティ
  • 考慮すべき事項 物理 ネットワーク • データセンター • 経路の安全確保 入�館 • 攻撃からの防御 • 物理アクセス • ログイン • 交換・廃棄�
  • AAWWSS特有の セキュリティ
  • ①経路
  • Amazon VPC– パブリッククラウドで プライベートクラウドが作れる! – 仮想プライベートクラウド
  • Amazon  VPC 仮想サーバー VPN  (IPsec) オフィス
  • Amazon  VPC 仮想サーバー POI オフィス 専用線
  • 組み合わせ例
  • Amazon  VPC DMZ DB用サブネット VPN オフィス
  • ②防御
  • 防御 • アンチウイルス• WAF• IDS/IPS
  • 防御(アンチウイルス) •  ホストベース – TrendMicro ServerProtect
  • 防御(L3/L4)•  IPS/IDS –  Snort –  CheckPoint Virtual Applicance•  DDoS, SYN Flood辺りは AAWWSSが防いでくれる!
  • 防御(L7)•  WAF – FortiWeb – Citrix NetScaler – NEC InfoCage SiteShell
  • WAF運用の課題・・ •  24h365dの対応が必要 •  攻撃が来たときに素早く分析 –  ゼロデイ攻撃へ対応できる体制
  • 当社の選択(WAF)•  サービスとしてのWAFを利用 •  キャッシュポイズニングなど、DNSの安 全性を高めるためにRoute 53を利用
  • Route53 メインコンテンツ ProxyWAF Service
  • 家に帰ってすぐやること • BINDは マジ犯罪!! •  すぐにTerminateしてRoute53を使おう
  • ③ログイン
  • ログインセキュリティ •  ホスト•  AWS Management Console
  • ログインセキュリティ (ホスト) •  公開鍵認証•  SSH, RDPセッションの記録 – NRIセキュアテクノロジーズ SecureCube
  • ログインセキュリティ (マネジメントコンソール) 1.  IAM2.  MFA33..  アカウントをSalesforceに – 安全な共有 – 最小限のアクセス
  • ログインセキュリティ (マネジメントコンソール) •  (評価中)シングルサインオン – OneLogin – okta
  • 最近「足りない」と言われます
  • Management Consoleに 足りないモノ •  バージョンコントロール •  IIPPアドレスによるアクセス制限 •  操作履歴・証跡
  • Dedicated Edition
  • Cloudworks Dedicated Edition•  企業が、自社のVPC内に専用の Cloudworks(コンソール)を 立ち上げ可能•  RDS, ELB, S3の操作•  操作ログの詳細な記録
  • Cloudworks Dedicated Edition•  自社の都合でマネジメントコンソールの バージョンアップタイミングを管理可能•  AWSの操作ログを記録できるので、 間違ってインスタンスを消し た犯人を見つけやすい企業のコン プライアンス要求に適合可能•  今春登場!
  • AAWWSSのセキュリティモデル 特権 アクセス 外部 VVPPNN 一般ユーザー IIAAMM,, MMFFAA アタック 仮想マシン 内部同士の共有も、 明示しない限り禁止 仮想マシン 物理的 AAWWSSが 内部 防御 アクセス
  • なぜプロダクトの話をしたのか?
  • 調達モデルの変化!
  • 今までのSI のどが 渇いた! ○×○×○×○×○ ○×○×○×○×○ ×○×○×○×○× ×○×○×○×○× ○×○×○×○× ○×○×○×○× 調達チーム 品質チーム ○×○×○×○×○ ○×○×○×○×○ ○×○×○×○×○ ○×○×○×○×○ ×○×○×○×○× ×○×○×○×○× ×○×○×○×○× ×○×○×○×○× ○×○×○×○× ○×○×○×○× ○×○×○×○× ○×○×○×○× バケツを 川から 水の量を 水の品質を 調達する係 水をくむ係 計る係 調べる係
  • これからのSI のどが 渇いた!    どうぞ! H2O H H O   アマゾン工場 (クラウド事業者)
  • 今までのSSII •  「人が多い」ことが前提だった •  「コミュニケーション」が重要なスキル だった •  下請け企業の役割は、技術では無く 「人材バッファ」だった
  • クラウド型SSIIでは •  非常に小さいチーム •  スピーディーなデリバリー •  つくらない技術≒使う技術 が重要に! –  「組み合わせる」分子式の知識 •  AWSのCDP •  EC2+TrendMicro •  AWS+NetScaler WAF+GSLB
  • 商用プロダクトを上手に組み合わせて、最小の労力で最大の効果を!
  • 本日のまとめ
  • まとめ ①AWSによって物理層のセキュリティを対策する必要がなくなり、セキュリティレベル向上②AWSのサービス(VPC, IAM, SG)とサードパーティーのサービスを組み合わせることで、オンプレミスと同等の防御が可能③クラウド時代の構築は、組み合わせ知識が重要に!CDPや製品の情報を積極的に覚えて、クラウド時代に合ったセキュリティを実現
  • 切腹しろ という方は お申し出下さい
  • そうでない方は・・・
  •       セキュアなシステムで ハッピーなエンジニアライフを!
  • ありがとうございました @@ooooiisshhii