JAWS-UG大分 第2回勉強会「大規模AWSインフラから セキュアな業務システムまで まるごと支えるAWS」

1,207 views

Published on

2013.06.28 JAWS-UG大分 第2回勉強会でお話した資料です。

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,207
On SlideShare
0
From Embeds
0
Number of Embeds
434
Actions
Shares
0
Downloads
0
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

JAWS-UG大分 第2回勉強会「大規模AWSインフラから セキュアな業務システムまで まるごと支えるAWS」

  1. 1. JAWS-UG 大分 大規模AWSインフラから セキュアな業務システムまで まるごと支えるAWS 吉田 真吾 shingo@cloudpack.jp 2013.6.28
  2. 2. 自己紹介 プロフィール 名前:吉田真吾 アイレット株式会社 cloudpack エバンジェリスト JAWS-UG 横浜 代表 好きなAWSサービス:Amazon S3 好きなAWSクラウドデザインパターン:Direct Hostingパターン
  3. 3. 大規模かつセキュアなシステムに AWSが「普通に」採用されている まず結論
  4. 4. AWS運用をアウトソースしたい企業向けの 月額費用固定型フルマネージドホスティング 24時間365日サーバー運用・保守 •電話/メールによるサポート 初期費用なし(基本移行作業含む) 月額5万円からのスタート 日本円で請求書発行
  5. 5. 日本初のAPNプレミア コンサルティングパートナーの 一社として認定されました。
  6. 6. フルマネージド サービス/リソース監視 ディスク使用量、メモリ使用量、プロセス 数、Webサーバー・DBサーバー死活... バックアップ/リストア EBSスナップショットを利用した二世代 (過去二日分)バックアップ アクセス制御(ファイアーウォール) 適切なセキュリティグループを設定、OS・ ミドルウェアレベルでさらに細かな設定も 対応可能
  7. 7. 従量課金では予算計画が立てられない クレジットカードでUSドル決済では利用料の予測が難しい Amazon Web Servicesでは... 月額固定+日本円請求書発行 定額課金・請求書払い
  8. 8. キャンペーンなど急激なアクセス増加へ合わせてインフラ 準備するのは不可能 いつあるかわからないピークのために予め準備できない 追加料金無しでスケールアウト (7インスタンス日まで) バースト保障
  9. 9. → 東日本大震災を機に自社運用からAWSへ ECシステム全体の移行(EC2約50台+ RDS5台) 移行前サーバー構成調査 ミドルウェア構築 関連開発会社への情報共有 AWSシステムの構築・運用・監視
  10. 10. AWS導入事例紹介ページより引用 http://aws.amazon.com/jp/solutions/ case-studies/kenkocom/ 初   インフラ構築 SAP環境構築 NTTデータグロ ーバルソリュー ションズ AWS環境構築 cloudpack 移行時のみイン スタンスタイプ 変更
  11. 11. 初   インフラ構築 SAP環境構築 NTTデータグロ ーバルソリュー ションズ AWS環境構築 cloudpack 移行時のみイン スタンスタイプ 変更 AWS導入事例紹介ページより引用 http://aws.amazon.com/jp/solutions/ case-studies/kenkocom/   TCOが65%削減できた
  12. 12. SAP on AWS環境へのデータアップロードに最 C M 中
  13. 13. Confidential AWSでセキュアな システムを構築する
  14. 14. Confidential http://www.atmarkit.co.jp/ait/articles/1301/24/news087.html Sunday, March 3, 13 AWSエバンジェリスト堀内さん資料より抜粋 http://www.slideshare.net/horiyasu/ja
  15. 15. 共有責任モデル ・ファシリティ ・物理インフラ ・ネットワークインフラ ・物理セキュリティ ・仮想インフラ ・OS ・アプリケーション ・セキュリティグループ ・OSファイアウォール ・ネットワーク設定 ・アカウント管理
  16. 16. AWS片山さん資料より抜粋 http://www.slideshare.net/c95029/awsshared-responsibility-model-16612378
  17. 17. http://coiney.com/
  18. 18. PCI DSSとは クレジットカードブランド5社により策定された、 クレジット業界のセキュリティ基準 クレジットカード会社は加盟店に対し要求を満たさない場合にペナルティを科したり 保険料率に差をつけたりしている 米国では「PCI DSSの重要部分に適合しない場合、刑事罰を受ける」と法制化してい る州も データの漏洩などが発生した場合にPCI DSS運用を正しく行っていたことを30日以内 に証明できると、金融機関からの基礎を回避することができると規定している州も 12の要件から細かくドリルダウンした実装レベルでの明確な規定が されている クレジット業界以外でのグローバルなセキュリティ基準として対応するケースが多い 業務委託先も含めて対応が必要
  19. 19. PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しな い 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する
  20. 20. PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しな い 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する
  21. 21. システム概念図
  22. 22. 対応サマリ Firewall設定 セキュリティソフトウェア導入 アカウント管理 アクセス記録・ログ集約管理 脆弱性対策
  23. 23. Firewall 一旦すべてアクセス不可 必要な箇所を許可 サーバー毎の通信許可 個別のセキュリティグループ (サブネットは通信要件毎に分けている)
  24. 24. セキュリティソフトウェア導入 Trend Micro Deep Security IPS/IDS/改ざん検知/Firewall/WAF/ログ監視 ServerProtect ウィルス対策(リアルタイムスキャン)
  25. 25. http://jp.trendmicro.com/jp/products/enterprise/tmds/pcidss/
  26. 26. アカウント管理 サーバー毎ではなく個人毎のアカウント OpenLDAP導入・権限管理 パスワード有効期限 90日 ロックアウト対応 6回以上パスワードトライされたらロック
  27. 27. アクセス記録・ログ集約管理 ログ管理 EC2インスタンス内に1週間分残す fluentd経由でログサーバーへまとめ、S3へアーカイブ [参考]  FluentdでWeb  Storage  Archiveパターン http://blog.cloudpack.jp/2013/01/aws-‐‑‒news-‐‑‒cdp-‐‑‒web-‐‑‒storage-‐‑‒archive-‐‑‒fluentd.html
  28. 28. アクセス記録・ログ集約管理 Management Consoleアクセス制限とログ記録 多要素認証に加えて誰が何をしたか記録が必須 プロキシ経由のみアクセス可 プロキシサーバー上でアクセスログ記録 [参考]  Squid経由でAWSマネジメントコンソールにアクセスしてソースIP制限や認証やログ取得 http://blog.cloudpack.jp/2013/02/aws-‐‑‒news-‐‑‒squid-‐‑‒aws-‐‑‒console-‐‑‒ip-‐‑‒log.html
  29. 29. 脆弱性対策 ミドルウェア最新化 Apacheはパッケージでは不可だったため、最新版ソース をコンパイル • IPA(独立行政法人 情報処理推進機構)の定めるCVSS 4.0以上(レベル III危険+レベルII警告)はすべて対策必須のため Deep Security仮想パッチ ソフトウェアのセキュリティパッチ提供前に脆弱性を保 護 パッチ適用後は自動的に外れる
  30. 30. AWSはPCI DSSレベル1準拠 レベル1サービスプロバイダとして認定 EC2/S3/EBS/VPC/RDS/ELB/IAMがPCI検証 済み
  31. 31. cloudpack 担当範囲
  32. 32. プレスリリース (PCFさんと提携リリース画面キャプチャ)
  33. 33. ワンストップでサービス提供 •PCI  DSS準拠⽀支援 •QSA •インフラ構築 •PCI  DSS準拠対策 エンドユーザー •PCI  DSSレベル1 サービスプロバイダ PCI DSS準拠 インフラ構築サービス
  34. 34. 大規模かつセキュアなシステムに AWSが「普通に」採用されている 結論
  35. 35. Thanks! http://www.cloudpack.jp/ suuport@cloudpack.jp @cloudpack_jp

×