Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Amazon  Web  Servicesにおけるマイク
ロソフトプラットフォームのセキュリティ
アマゾンデータサービスジャパン株式会社
Amazon  Web  Servicesとマイクロソフト
プラットフォーム
!   Amazon  Web  Services  (AWS)は、マイクロソフトコ
ミュニティのITプロフェッショナルに対して、コン
ピュート、ストレージおよびネッ...
システムセキュリティの重要性
!   セキュリティの脅威は⾼高まっておりサイバー攻撃はより
巧妙になっている
!   この資料料では、アーキテクチャ設計にかかわるITプロ
フェッショナル向けにセキュリティの脅威への対応につ
いて解説
!   A...
リスクアセスメント(1/2)
!   リスクアセスメントとは、リスクを定義・認識識するため
の技術であり、具体的には特定の脅威による結果につい
て学習・分析し記述するためのプロセスを指す
!   アプリケーションインフラのリスクをアセスするため...
リスクアセスメント(2/2)
!   管理理について考慮する際には、「最⼩小権限の原則」を遵
守することが重要
•  ユーザーには必要最⼩小限の権限のみを付与し、同様にシステム
のプロセスには必要最⼩小限の特権のみを付与
•  攻撃対象領領域を...
AWSで利利⽤用可能なセキュリティ機能
!
!
!
!

 
 
 
 

Amazon  Virtual  Private  Cloud(VPC)
Network  Access  Control  Lists  (NACL)
Securit...
Amazon  Virtual  Private  Cloud(VPC)
(1/2)
!   Amazon  VPCはマイクロソフトプラットフォームのコン
ポーネントを動かすのに最適な仮想ネットワークのテク
ノロジー
•  独⽴立立したネットワ...
Amazon  Virtual  Private  Cloud(VPC)
(2/2)
!   複数の接続オプションを提供

•  サブネット上のインスタンスにインターネットからのトラ
フィックを送信のみ、送信および受信、受信のみの制御が可能
•...
Amazon  VPCによるフルインターネットア
クセスの分離離環境
!   Public  Subnetはインターネットからのトラフィックを
受信可能なサブネット
!   最⼩小権限の原則によりサブネット間の通信を制御

Public  Su...
Network  Access  Control  List(NACL)
!   Network  Access  Control  ListはVPCの任意のサブネットに対して
トラフックのステートレスなフィルタリング機能を提供

•  インバ...
Security  Group
!   Security  GroupはAmazon  EC2上でインフラ環境を分
離離するためのもっとも重要なツールのひとつ
!   Amazon  VPCでは、すべてのインスタンスはホスト上の
ステートフルな...
AWS  Identity  and  Access  
Management(IAM)/IAMロール
!   AWSのリソースを管理理するための権限を管理理するための
機能
•  インフラ管理理者とアプリケーション管理理者がわかれているよう
...
可⽤用性の向上
!   Single  Point  of  Failure  (SPOF)を排除することが⾼高可
⽤用性を実現するための⼀一般的なアプローチ
!   AWSではアベイラビリティゾーン(AZ)によりリー
ジョン内の物理理的に隔離...
セキュリティインフラのデプロイと保護
!   アプリケーションに対する脅威に対応するためには、マ
イクロソフトプラットフォームで利利⽤用可能なコントロー
ルをAWS⾃自⾝身のコントロールとあわせて実施することが
必要
!   マイクロソフトアプ...
リモートサーバー管理理
!   個々のマシンに直接ログオンする以外に、Remote  
Desktop  Gateway(RD  Gateway)によるプロキシ経
由での管理理者接続を構成可能
•  管理理者アクセスの監査ログを⼀一元化
•  ...
AWSでのRemote  Desktop  Gatewayの
最⼩小構成
!   Private  SubnetにWindows  Server  2008  R2を配置してVirtual  
Private  Gatewayからルーティングで...
Remote  Desktop  Gatewayインフラの攻
撃対象領領域を減らす
!   RD  Gatewayを利利⽤用する場合、インスタンスに直接接続
することを禁⽌止するためにSecurity  Groupがキーとなる
•  RD  G...
Security  Groupのルール設定  (最⼩小権限)
!   セキュリティのベストプラクティスとして、攻撃対象となる
⾯面をへらすことが重要となる
!   Security  Groupのルール設定により、必要最⼩小限のポートの
みを許...
Remote  Desktop  Gatewayの可⽤用性向上
!   1つのVPCは異異なるアベイラビリティゾーンに複数のサ
ブネットをもつことが可能
!   ベストプラクティスとして、複数のアベイラビリティ
ゾーンを利利⽤用してアプリケーシ...
特権ユーザーアクセスのためのRemote  
Desktop  Gatewayの⾼高可⽤用性

20
パッチ管理理とアップデート
!   パッチ管理理のためにWindows  Server  Update  
Services(WSUS)を利利⽤用
!   VPC内でのWSUSサーバーの展開⽅方法

•  インターネット経由でMicrosoft...
NATインスタンスとInternet  Gatewayを
利利⽤用したWSUS  Serverの展開
!   インターネット経由で直接アップデートを取得する場合
は、VPCのPublic  Subnet内のNATインスタンスにEIPを
アサイン...
Remote  Desktop  Gatewayのための
Security  Group
!   WSUSサーバーとクライアントとの通信をSecurity  
Groupで保護することを推奨
•  サーバーとWSUSサーバーとの通信はSSLを有...
Active  Directoryによる認証、アクセス制
御とポリシー管理理
!   Active  Directoryは認証および権限、名前解決などの基
盤
!   VPNを通してオンプレミスのADとレプリケーションが
可能

•  オンプレ...
AWS上でのActive  Directoryの展開とレ
プリケーション

25
アプリケーションインフラの保護
!   アプリケーションのアーキテクチャを設計するときにレ
イヤー間のインターフェースを定義してどのように保護
するのか明記しておくことがセキュリティのプラクティ
スとして有効
!   必要なポートのみをあけるこ...
例例:主要なサブシステムとインタラクショ
ン

※Appendix  1参照

27
モジュールの関連性
!   サブシステムをより⼩小さい関連性のある「モジュール」
にブレイクダウンしていく

•  SQL  ServerはActiveとPassiveノード間の同期レプリケーショ
ンのためにミラーリングを実⾏行行
•  Act...
脅威からの保護の集中化
!   アプリケーションインフラを完全に分離離して内部および外部
に対しての厳密なアクセス制御を⾏行行うことが有効
!   集中化されたロケーションからアプリケーションインフラの
境界へポリシーの強制を⾏行行なう
!  ...
Forefront  TMGによる脅威保護とポリシー
強制
!   TMGサーバーをアプリケーションの⼊入り⼝口に配置して脅
威保護のポリシーを適⽤用

30
ファイアウォールの利利⽤用
!   VPC内のAmazon  EC2インスタンスはステートフルな
ファイアウォールを持ち、すべてのポートがデフォルト
で閉じているため管理理者により制御可能
!   WindowsファイアウォールをEC2インスタ...
アプリケーションインフラ保護のオーバー
ビュー

32
Identity  and  Access  Management(IAM)に
よる制御のロックダウン  
!   Identity  and  Access  Management(IAM)により
AWSリソースへのアクセスコントロールが可能...
アプリケーションインフラの可⽤用性向上
!   マイクロソフトプラットフォームで⾼高可⽤用性を実現するため
冗⻑⾧長構成が⼀一般的によくつかわれる
•  AWSではアベイラビリティゾーンにより複数の拠点にまたがった
従来よりも⾼高いレベルの可⽤...
アンチウィルス
!   マイクロソフトはすべてのドメインコントローラーと
サーバーでアンチウィルスソフトを使⽤用することを推奨
しておりそのためのガイダンスを提供している
•  http://support.microsoft.com/kb/8...
脆弱性のスキャンと侵⼊入テスト
!   AWSのユーザーポリシーはポートスキャンなどの⾏行行為を
禁⽌止しているが、EC2インスタンスの脆弱性のスキャン
や侵⼊入テストを⾏行行うことは可能
!   脆弱性スキャンや侵⼊入テストを⾏行行う場合は以...
まとめ
!   より詳細はオリジナルのホワイトペーパー(英語版)に
記載
•  http://media.amazonwebservices.com/
AWS_̲Microsoft_̲Platform_̲Security.pdf

!   AW...
38
参考情報
! 

Windows  on  Amazon  EC2  Security  Guide
• 
• 

http://media.amazonwebservices.com/pdf/AWS_̲Security_̲Whitepaper...
Appendix  1:サブシステムインターフェー
スのポートマッピング

*Active  Directoryはほかにもさまざまなサービスやプロトコルと連携しているため
詳細はリンク先を参照
http://support.microsoft....
Appendix  2:モジュールインターフェース
のポートマッピング

41
Appendix  3:サブシステムごとの外部ポー
トマッピング

42
Upcoming SlideShare
Loading in …5
×

AWSにおけるマイクロソフトプラットフォームセキュリティ

5,345 views

Published on

AWSにおけるマイクロソフトプラットフォームセキュリティ

  1. 1. Amazon  Web  Servicesにおけるマイク ロソフトプラットフォームのセキュリティ アマゾンデータサービスジャパン株式会社
  2. 2. Amazon  Web  Servicesとマイクロソフト プラットフォーム !   Amazon  Web  Services  (AWS)は、マイクロソフトコ ミュニティのITプロフェッショナルに対して、コン ピュート、ストレージおよびネットワークの調達に関す るあたらしい選択肢を提供 !   従量量課⾦金金によるインフラの提供によりマイクロソフトプ ラットフォームを補完 •  Windows  ServerとSQL  Serverが時間課⾦金金で利利⽤用可能 !   ソフトウェアアシュアランス(SA)によるライセンス モビリティ •  http://aws.amazon.com/jp/windows/mslicensemobility/ 2
  3. 3. システムセキュリティの重要性 !   セキュリティの脅威は⾼高まっておりサイバー攻撃はより 巧妙になっている !   この資料料では、アーキテクチャ設計にかかわるITプロ フェッショナル向けにセキュリティの脅威への対応につ いて解説 !   AWSセキュリティホワイトペーパーをあわせて参照 •  http://d36cz9buwru1tt.cloudfront.net/jp/wp/AWS %20Security%20Whitepaper%20-‐‑‒%20May%202011.pdf 3
  4. 4. リスクアセスメント(1/2) !   リスクアセスメントとは、リスクを定義・認識識するため の技術であり、具体的には特定の脅威による結果につい て学習・分析し記述するためのプロセスを指す !   アプリケーションインフラのリスクをアセスするための はじめのステップは、システムの論論理理および物理理アーキ テクチャについてよく知ること !   システムに対する潜在的な脅威を理理解し、リスクを軽減 するために、脅威モデリングが重要なステップとなる •  http://msdn.microsoft.com/en-‐‑‒us/magazine/ dd148644.aspx 4
  5. 5. リスクアセスメント(2/2) !   管理理について考慮する際には、「最⼩小権限の原則」を遵 守することが重要 •  ユーザーには必要最⼩小限の権限のみを付与し、同様にシステム のプロセスには必要最⼩小限の特権のみを付与 •  攻撃対象領領域を最⼩小化することで敵の攻撃を困難にする !   事故または故意による機密情報の誤⽤用から保護するため の制御があわせて重要 •  Confidentially(機密性) •  Integrity(完全性) •  Availability(可⽤用性) 5
  6. 6. AWSで利利⽤用可能なセキュリティ機能 ! ! ! !         Amazon  Virtual  Private  Cloud(VPC) Network  Access  Control  Lists  (NACL) Security  Groups AWS  Identity  and  Access  Management  (IAM)/ IAMロール 6
  7. 7. Amazon  Virtual  Private  Cloud(VPC) (1/2) !   Amazon  VPCはマイクロソフトプラットフォームのコン ポーネントを動かすのに最適な仮想ネットワークのテク ノロジー •  独⽴立立したネットワークに独⾃自のサブネットを作成しアプリケー ションレイヤーを分割 •  静的IPアドレスまたはDHCPによりActive  Directoryやそれに依 存するアプリケーションと親和性の⾼高いアドレスを付与するこ とが可能 7
  8. 8. Amazon  Virtual  Private  Cloud(VPC) (2/2) !   複数の接続オプションを提供 •  サブネット上のインスタンスにインターネットからのトラ フィックを送信のみ、送信および受信、受信のみの制御が可能 •  業界標準のVPNアプライアンスやソフトウェアVPNをつかって 社内のデータセンターへセキュアに接続 •  サイト間VPNトンネルで複数のオフィス拠点を接続しクラウド をルーターとして利利⽤用 •  AWS  Direct  Connectにより1Gbまたは10Gbの専⽤用線による企 業ネットワークとのクロスコネクト 8
  9. 9. Amazon  VPCによるフルインターネットア クセスの分離離環境 !   Public  Subnetはインターネットからのトラフィックを 受信可能なサブネット !   最⼩小権限の原則によりサブネット間の通信を制御 Public  Subnet 9
  10. 10. Network  Access  Control  List(NACL) !   Network  Access  Control  ListはVPCの任意のサブネットに対して トラフックのステートレスなフィルタリング機能を提供 •  インバウンドとアウトバンドのトラフィックを特定のCIDRブロックまたはIPア ドレスに対してブロック可能 •  IPプロトコル、サービスポート、またはSource/DestinationのIPアドレスベー スでAllow/Denyを記述 (SQL) 10
  11. 11. Security  Group !   Security  GroupはAmazon  EC2上でインフラ環境を分 離離するためのもっとも重要なツールのひとつ !   Amazon  VPCでは、すべてのインスタンスはホスト上の ステートフルなファイアウォール上で動作し、すべての ポートはデフォルトで閉じている !   Security  Groupはファイアウォールポリシーとしてだけ ではなくアプリケーションレベルでのシステムの分離離の ための制御⼿手段としても利利⽤用可能 •  例例:SQL  ServerのSecurity  GroupではSharePointサーバーか らの1433ポートへのアクセスを許可 11
  12. 12. AWS  Identity  and  Access   Management(IAM)/IAMロール !   AWSのリソースを管理理するための権限を管理理するための 機能 •  インフラ管理理者とアプリケーション管理理者がわかれているよう なIT組織の場合、アプリケーション管理理者のためのIAMグルー プを作成し、最低限のアクセス権をあたえることで誤操作によ るリスクに対処可能 !   IAMロールによってEC2インスタンスに対してIAMクレ デンシャルを付与することによって、インスタンスが利利 ⽤用可能な権限をあらかじめ定義することが可能 •  例例:“S3へのRead  Onlyアクセス” 12
  13. 13. 可⽤用性の向上 !   Single  Point  of  Failure  (SPOF)を排除することが⾼高可 ⽤用性を実現するための⼀一般的なアプローチ !   AWSではアベイラビリティゾーン(AZ)によりリー ジョン内の物理理的に隔離離された拠点にアプリケーション を配置可能 •  アベイラビリティゾーンは独⾃自の電⼒力力供給と、任意のネット ワークプロバイダー障害に対応可能なネットワークの多様性を もつ !   従来のデータセンターでは限られたネットワーク帯域し かないことが多いが、AWSでは豊富なネットワーク帯域 により利利⽤用可能な帯域を攻撃するような外部ネットワー クの脅威から保護することが可能 13
  14. 14. セキュリティインフラのデプロイと保護 !   アプリケーションに対する脅威に対応するためには、マ イクロソフトプラットフォームで利利⽤用可能なコントロー ルをAWS⾃自⾝身のコントロールとあわせて実施することが 必要 !   マイクロソフトアプリケーションをAWSに展開する場合、 以下のような要件が必要となる •  リモートサーバー管理理 •  パッチ管理理とアップデート •  Active  Directoryによる認証、アクセス管理理とポリシー管理理 14
  15. 15. リモートサーバー管理理 !   個々のマシンに直接ログオンする以外に、Remote   Desktop  Gateway(RD  Gateway)によるプロキシ経 由での管理理者接続を構成可能 •  管理理者アクセスの監査ログを⼀一元化 •  SSLによる強⼒力力な認証の仕組み !   RD  GatewayをPublic  Subnetに配置することでイン ターネット、VPN接続およびDirect  Connect経由でのリ モート管理理が可能 •  RD  Gatewayとの通信はHTTPS(443)を使⽤用し、ネットワー クエッジに配置しRDP(3389)で⾏行行われるバックエンドのサー バーとの通信を中継 15
  16. 16. AWSでのRemote  Desktop  Gatewayの 最⼩小構成 !   Private  SubnetにWindows  Server  2008  R2を配置してVirtual   Private  Gatewayからルーティングできるように設定 •  Windows  Serverのサーバーマネージャーから「リモートデスクトップ接 続」「リモートデスクトップゲートウェイ」の役割を追加 •  有効な証明書を追加して適切切な認証ポリシーを設定 16
  17. 17. Remote  Desktop  Gatewayインフラの攻 撃対象領領域を減らす !   RD  Gatewayを利利⽤用する場合、インスタンスに直接接続 することを禁⽌止するためにSecurity  Groupがキーとなる •  RD  Gatewayを専⽤用のSecurity  Groupに配置することにより、 RD  Gatewayからのみ3389(RDP)を受け付けるような Security  Groupの設定が可能 17
  18. 18. Security  Groupのルール設定  (最⼩小権限) !   セキュリティのベストプラクティスとして、攻撃対象となる ⾯面をへらすことが重要となる !   Security  Groupのルール設定により、必要最⼩小限のポートの みを許可するきめ細かい構成が可能 •  例例:SQL  Serverはrdg-‐‑‒sg  Security  Groupからのポート3389のみ を許可 !   テスト⽬目的であってもRDPをインターネット全体に対して許 可しないことが重要 18
  19. 19. Remote  Desktop  Gatewayの可⽤用性向上 !   1つのVPCは異異なるアベイラビリティゾーンに複数のサ ブネットをもつことが可能 !   ベストプラクティスとして、複数のアベイラビリティ ゾーンを利利⽤用してアプリケーションを冗⻑⾧長構成にするこ とを推奨 !   Remote  Desktop  Gatewayを異異なるアベイラビリティ ゾーンにある2つのサブネットに配置することで可⽤用性 を向上させることが可能 19
  20. 20. 特権ユーザーアクセスのためのRemote   Desktop  Gatewayの⾼高可⽤用性 20
  21. 21. パッチ管理理とアップデート !   パッチ管理理のためにWindows  Server  Update   Services(WSUS)を利利⽤用 !   VPC内でのWSUSサーバーの展開⽅方法 •  インターネット経由でMicrosoft  Updateから直接アップデート を取得 •  企業内データセンターのインターネット接続経由でMicrosoft   Updateからアップデートを取得 •  企業ネットワークのWSUSサーバーからアップデートを取得 21
  22. 22. NATインスタンスとInternet  Gatewayを 利利⽤用したWSUS  Serverの展開 !   インターネット経由で直接アップデートを取得する場合 は、VPCのPublic  Subnet内のNATインスタンスにEIPを アサインしてサブネット間でルーティング 22
  23. 23. Remote  Desktop  Gatewayのための Security  Group !   WSUSサーバーとクライアントとの通信をSecurity   Groupで保護することを推奨 •  サーバーとWSUSサーバーとの通信はSSLを有効にする •  WSUSサーバーのSSLはTCP8531で構成することが可能 23
  24. 24. Active  Directoryによる認証、アクセス制 御とポリシー管理理 !   Active  Directoryは認証および権限、名前解決などの基 盤 !   VPNを通してオンプレミスのADとレプリケーションが 可能 •  オンプレミスのドメインコントローラーによる直接認証も可能 だが、パフォーマンス上の理理由でレプリケーションを推奨 •  ⾼高可⽤用性のためAZをまたいだドメインコントローラーのレプリ ケーションを推奨 !   ADのかわりに任意のLDAPディレクトリを利利⽤用している 場合はActive  Directory  Federation  Service(ADFS) によるフェデレーションも可能 •  http://media.amazonwebservices.com/ EC2_̲ADFS_̲howto_̲2.0.pdf 24
  25. 25. AWS上でのActive  Directoryの展開とレ プリケーション 25
  26. 26. アプリケーションインフラの保護 !   アプリケーションのアーキテクチャを設計するときにレ イヤー間のインターフェースを定義してどのように保護 するのか明記しておくことがセキュリティのプラクティ スとして有効 !   必要なポートのみをあけることで攻撃対象領領域を最⼩小化 し、Security  Groupによってレイヤーをロックすること で事故によるもしくは意図的なセキュリティ制御のバイ パスから保護 !   インターフェースの分析のための⼿手法としてアプリケー ションサブシステムのブロックダイアグラムを作成する 26
  27. 27. 例例:主要なサブシステムとインタラクショ ン ※Appendix  1参照 27
  28. 28. モジュールの関連性 !   サブシステムをより⼩小さい関連性のある「モジュール」 にブレイクダウンしていく •  SQL  ServerはActiveとPassiveノード間の同期レプリケーショ ンのためにミラーリングを実⾏行行 •  Active  Directoryはノード間のレプリケーションに⾮非同期通信を ⾏行行う ※Appendix  2参照 28
  29. 29. 脅威からの保護の集中化 !   アプリケーションインフラを完全に分離離して内部および外部 に対しての厳密なアクセス制御を⾏行行うことが有効 !   集中化されたロケーションからアプリケーションインフラの 境界へポリシーの強制を⾏行行なう !   Microsoft  Thread  Management  Gateway  (TMG)  Serverは 以下のような機能を提供 •  •  •  •  •  •  •  •  URLフィルタリング IPアドレスのブラックリスト化   ネットワークの検疫 きめ細かいHTTPの制御 DOS保護 エンタープライズポリシーの強制   External  logging  capabilities   トラフィックの検疫 29
  30. 30. Forefront  TMGによる脅威保護とポリシー 強制 !   TMGサーバーをアプリケーションの⼊入り⼝口に配置して脅 威保護のポリシーを適⽤用 30
  31. 31. ファイアウォールの利利⽤用 !   VPC内のAmazon  EC2インスタンスはステートフルな ファイアウォールを持ち、すべてのポートがデフォルト で閉じているため管理理者により制御可能 !   WindowsファイアウォールをEC2インスタンス上であ わせて使⽤用することが可能 •  パケットドロップについての詳細な監査などセキュリティポリ シーやコンプライアンス要件にあわせることが重要 31
  32. 32. アプリケーションインフラ保護のオーバー ビュー 32
  33. 33. Identity  and  Access  Management(IAM)に よる制御のロックダウン   !   Identity  and  Access  Management(IAM)により AWSリソースへのアクセスコントロールが可能 •  インフラチームにのみVPCサブネット、ルーティングおよび ACLへの変更更を許可し、アプリチームには許可しないなどの設 定が可能 !   この仕組みは以下のような⽬目的にも有効 •  ⼤大規模なエンタープライズでの管理理機能のフェデレーション •  アプリケーション管理理者がインフラにセキュリティホールをつ くることがないようなセキュリティコントロールの提供 33
  34. 34. アプリケーションインフラの可⽤用性向上 !   マイクロソフトプラットフォームで⾼高可⽤用性を実現するため 冗⻑⾧長構成が⼀一般的によくつかわれる •  AWSではアベイラビリティゾーンにより複数の拠点にまたがった 従来よりも⾼高いレベルの可⽤用性を実現 !   コンポーネントを複数のアベイラビリティゾーンに分散する ことで単⼀一のデータセンターでは実現できない耐障害性を実 現 •  Elastic  Load  Balancingはアベイラビリティゾーンをまたいだ負荷 分散を提供し、トラフィックにもとづいて⾃自動的にスケールする !   Auto  Scalingを利利⽤用するとネットワークトラフィックなどの パターンにもとづいて⾃自動的にスケールさせることが可能 •  PowerShellスクリプトを配置することでインスタンスを⾃自動的に 構成可能 34
  35. 35. アンチウィルス !   マイクロソフトはすべてのドメインコントローラーと サーバーでアンチウィルスソフトを使⽤用することを推奨 しておりそのためのガイダンスを提供している •  http://support.microsoft.com/kb/822158 !   AWS環境においても同様に、できるだけすみやかにマル ウェアを防ぐことが⾮非常に重要 !   データベースのような頻繁に更更新されるファイルに対し てはパフォーマンスへの影響があるため、ウィルスス キャンから除外しておく 35
  36. 36. 脆弱性のスキャンと侵⼊入テスト !   AWSのユーザーポリシーはポートスキャンなどの⾏行行為を 禁⽌止しているが、EC2インスタンスの脆弱性のスキャン や侵⼊入テストを⾏行行うことは可能 !   脆弱性スキャンや侵⼊入テストを⾏行行う場合は以下のリンク 先にあるフォームより事前申請を⾏行行う •  http://aws.amazon.com/jp/security/penetration-‐‑‒testing/ 36
  37. 37. まとめ !   より詳細はオリジナルのホワイトペーパー(英語版)に 記載 •  http://media.amazonwebservices.com/ AWS_̲Microsoft_̲Platform_̲Security.pdf !   AWSにおけるセキュリティプロセスの全体像を理理解する ためにはAWSセキュリティホワイトペーパーをあわせて 参照 •  http://d36cz9buwru1tt.cloudfront.net/jp/wp/AWS %20Security%20Whitepaper%20-‐‑‒%20May%202011.pdf !   次ページのチェックリストにこの資料料で解説したさまざ まな⼿手法をサマリーしている 37
  38. 38. 38
  39. 39. 参考情報 !  Windows  on  Amazon  EC2  Security  Guide •  •  http://media.amazonwebservices.com/pdf/AWS_̲Security_̲Whitepaper.pdf •  http://media.amazonwebservices.com/AWSRiskandComplianceWhitepaperJanuary2012.pdf •  http://media.amazonwebservices.com/Whitepaper_̲Security_̲Best_̲Practices_̲2010.pdf •  http://media.amazonwebservices.com/EC2_̲ADFS_̲howto_̲2.0.pdf •  http://aws.amazon.com/security/penetration-‐‑‒testing/ •  !  http://aws.amazon.com/security/ •  !  http://aws.amazon.com/articles/1767 http://support.microsoft.com/kb/822158 •  http://www.microsoft.com/en-‐‑‒us/server-‐‑‒cloud/windows-‐‑‒server/active-‐‑‒directory-‐‑‒overview.aspx •  http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/index.html AWS  Security  and  Compliance  Center Overview  of  AWS  Security  processes  Whitepaper !  AWS  Risk  and  Compliance  Whitepaper !  AWS  Application  Security  Best  Practices !  !  !  Using  Windows  ADFS  for  Single  Sign-‐‑‒On  to  Amazon  EC2 Vulnerability  Scan  and  Penetration  testing Microsoftʼ’s  guidance  on  Recommendation  on  Virus  Scanning !  Active  Directory  Federation  Services !  Amazon  VPC  User  Guide 39
  40. 40. Appendix  1:サブシステムインターフェー スのポートマッピング *Active  Directoryはほかにもさまざまなサービスやプロトコルと連携しているため 詳細はリンク先を参照 http://support.microsoft.com/kb/832017 40
  41. 41. Appendix  2:モジュールインターフェース のポートマッピング 41
  42. 42. Appendix  3:サブシステムごとの外部ポー トマッピング 42

×