AWSでセキュリティをここまで高められる〜JAWS-UG千葉スタートアップあるある〜 #jawsug #chibadan

3,107 views

Published on

2014.4.5 JAWS-UG千葉での発表資料

Published in: Technology
0 Comments
8 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
3,107
On SlideShare
0
From Embeds
0
Number of Embeds
1,463
Actions
Shares
0
Downloads
0
Comments
0
Likes
8
Embeds 0
No embeds

No notes for slide

AWSでセキュリティをここまで高められる〜JAWS-UG千葉スタートアップあるある〜 #jawsug #chibadan

  1. 1. ∼JAWS-UG千葉 スタートアップあるある∼ AWSでセキュリティを ここまで高められる 2014.4.5 吉田 真吾
  2. 2. 自己紹介 吉田 真吾(よしだ しんご) エバンジェリスト、ソリューションアーキテクト AWSサムライ2014(Japan AWS UserGroup) AWS Certified Solutions Architect ‒ Associate AWS Certified SysOps Administrator - Associate バックグラウンド 通信キャリア:基地局制御、GISサービス 開発 SIer:証券システム基盤 開発 • DBA、スペシャリストとしてDBチューニングや新規システム構築を推進
  3. 3. スタートアップCTO パネルディスカッション http://yoshidashingo.hatenablog.com/entry/2014/03/19/101330
  4. 4. ! ! 採用 技術 マネジメント 採用は大変だけどじっくり相性も大事、妥協しない 情報共有 技術的負債を残さないよう こまめに取る HipChat,GoogleApps, Github,confluence キャリアよりもチームとしての協調 マネージャレス 全員が開発に関わる プロダクト愛 自分より優秀な人を取る 評価をちゃんと行うことが モチベーションに
  5. 5. ♥️
  6. 6. 今年もやります!!2014/7/5(土) http://jawsugosaka.doorkeeper.jp/events/10037
  7. 7. 2003年創業
  8. 8. 2003年創業 Intel Inside
  9. 9. 2010年4月 cloudpack事業
  10. 10. cloudpack の価値 AWS専門部隊 コンサルティング、アセスメント、導入設計 ホスピタリティ 24時間365日有人監視、保守対応 実績 350社を超えるアカウントを運用する運用品質 セキュリティ PCI DSS Level 1 Service Provider 認定 スピード 最短30分でのデリバリー実績 Virtual Private Cloud(10.0.0.0/20) Availability Zone A IGW Availability Zone B VPC Subnet NATELBELBELB VPC Subnet EC2 EC2 EC2 EC2 EC2 VPC Subnet VPC Subnet NAT DB VPC Subnet EC2 EC2 EC2 EC2 EC2 VPC Subnet VPC Subnet NAT VPC Subnet ELBELBELBNAT
  11. 11. AWS運用をアウトソースしたい企業向けの
 月額費用固定型フルマネージドホスティング PCI DSS、ISMS、Pマーク 取得済みの運用体制 24/365監視運用保守 定額課金・請求書払い
  12. 12. 0 to 350<
  13. 13. Our Customers
  14. 14. !   •        2013年6月
  15. 15. 50>
  16. 16. ♥️ セキュリティ スタートアップでもAWSで セキュリティをここまで高められる
  17. 17. http://www.atmarkit.co.jp/ait/articles/1301/24/news087.html Sunday, March 3, 13
  18. 18. http://www.slideshare.net/c95029/awsshared-responsibility-model-16612378
  19. 19. http://www.slideshare.net/c95029/awsshared-responsibility-model-16612378
  20. 20. AWSはPCI DSSレベル1準拠 レベル1サービスプロバイダとして認定 EC2/S3/EBS/VPC/RDS/ELB/IAM がPCI検証済み
  21. 21. http://coiney.com/
  22. 22. PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストール して構成を維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の デフォルト値を使用しない 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、 暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新 する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス を追跡および監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する
  23. 23. FirewallIDS/IPS Firewall アカウント管理 ログ集約管理 脆弱性対策脆弱性対策脆弱性対策
  24. 24. PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストール して構成を維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の デフォルト値を使用しない 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、 暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新 する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス を追跡および監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する 要件1: カード会員データを 保護するために、ファイア ウォールをインストールし て構成を維持する
  25. 25. Security Groups サーバー毎の通信許可 必要な箇所を許可 個別のセキュリティグループ
 (サブネットは通信要件毎に分けている)
  26. 26. セキュリティソフトウェア導入 Trend Micro Deep Security IPS/IDS/改ざん検知/Firewall/WAF/ログ監視 ServerProtect ウィルス対策(リアルタイムスキャン)
  27. 27. PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストール して構成を維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の デフォルト値を使用しない 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、 暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新 する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス を追跡および監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する 要件5: アンチウィルスソフト ウェアまたはプログラムを使 用し、定期的に更新する
  28. 28. セキュリティ+ !   •  • 
  29. 29. PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストール して構成を維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の デフォルト値を使用しない 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、 暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新 する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス を追跡および監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する
  30. 30. アカウント管理 サーバー毎ではなく個人毎のアカウント OpenLDAP導入・権限管理 パスワード有効期限 90日 ロックアウト対応 6回以上パスワードトライされたらロック
  31. 31. PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストール して構成を維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の デフォルト値を使用しない 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、 暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新 する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス を追跡および監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する 要件10: ネットワークリソース およびカード会員データへの すべてのアクセスを追跡および 監視する
  32. 32. アクセス記録・ログ集約管理 ログ管理 EC2インスタンス内に1週間分残す fluentd経由でログサーバーへまとめ、S3へアーカイブ [参考] FluentdでWeb Storage Archiveパターン http://blog.cloudpack.jp/2013/01/aws-news-cdp-web- storage-archive-fluentd.html
  33. 33. アクセス記録・ログ集約管理 ログ管理 サーバーだけでなく、ロードバランサやDBのログも取 得する必要がある
  34. 34. アクセス記録・ログ集約管理 Management Consoleアクセス制限とログ記録 多要素認証に加えて誰が何をしたか記録が必須 プロキシ経由のみアクセス可 プロキシサーバー上でアクセスログ記録 [参考] Squid経由でAWSマネジメントコンソールにアクセスしてソースIP制限や認証やログ取得 http://blog.cloudpack.jp/2013/02/aws-news-squid-aws-console-ip-log.html
  35. 35. PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストール して構成を維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の デフォルト値を使用しない 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、 暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新 する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス を追跡および監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する 要件6: 安全性の高いシステム とアプリケーションを開発し、 保守する
  36. 36. 脆弱性対策 ミドルウェア最新化 Apacheはパッケージでは不可だったため、最新版ソースをコ ンパイル • IPA(独立行政法人 情報処理推進機構)の定めるCVSS 4.0以上(レベルIII危険+レベルII警告) はすべて対策必須のため Deep Security仮想パッチ ソフトウェアのセキュリティパッチ提供前に脆弱性を保護 パッチ適用後は自動的に外れる
  37. 37. ワンストップでサービス提供 PCI DSS準拠支援 QSA インフラ構築 PCI DSS準拠対策 エンドユーザー PCI DSSレベル1
 サービスプロバイダ PCI DSS準拠 インフラ構築サービス
  38. 38. PCI DSS対応インフラ初期費用 ! 1000万∼2000万 ↓ 100万弱∼数百万
  39. 39. 値下げされたRIの話
  40. 40. スタートアップこそ活用したい リザーブドインスタンス インフラは絶対安定稼働 コストは最小限に インフラコストの大部分が「EC2」 → RIがあるよ
  41. 41. オンデマンド利用と比べ どのくらいおトクか?
  42. 42. RI 1年 ここで元が取れる
  43. 43. RI 1年 ここで元が取れる
  44. 44. !?
  45. 45. 中度や重度は 4∼5ヶ月で元が取れる ことが分かる
  46. 46. RI 3年 ここで元が取れる
  47. 47. 今後の値下げ(想定)を 想定するとどうか? 半年ごとに10%OFF,30%OFF,10%OFF,30%OFF…と仮定
  48. 48. オンデマンドがどんどん安くなるが… 3年間のトータルコスト 結局RI(中度,重度)のほうがおトク
  49. 49. オンデマンドがRI3年の 時間単価より安くなるこ とはあるか?
  50. 50. 東京/Linux/m3.medium RI 3年 軽度: $0.072 ( $190 ) 中度: $0.034 ( $304 ) 重度: $0.025 ( $375 ) オンデマンド: $0.101 1 ∼ 6ヶ月:$0.101/h 7 ∼12ヶ月(10%OFF):0.101 * 0.9 = $0.09/h 13∼18ヶ月(30%OFF):0.101 * 0.9 * 0.7 = $0.063/h 19∼24ヶ月(10%OFF):0.101 * 0.9 * 0.7 * 0.9 = $0.057/h 25∼30ヶ月(30%OFF):0.101 * 0.9 * 0.7 * 0.9 * 0.7 = $0.04/h 31∼36ヶ月(10%OFF):0.101 * 0.9 * 0.7 * 0.9 * 0.7 * 0.9 = $0.036/h まあまあ大丈夫そう
  51. 51. 会場からの質問 1年もの3回と3年もの1回はどちら がよいか? 実績では1年もの3回(有識者回答) どれがオススメ? 今後のインスタンスファミリーのライフサイクルや価格、 停止時の課金有無のバランスから、中度1年をオススメ したい(吉田)
  52. 52. http://www.cloudpack.jp/ suuport@cloudpack.jp @cloudpack_jp

×