Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

1から学ぶクラウドのセキュリティ勉強会@北九州「AWSに組み込まれてるセキュリティ機能」

4,823 views

Published on

1から学ぶクラウドのセキュリティ勉強会@北九州 2014.08.23
「AWSに組み込まれてるセキュリティ機能」

Published in: Technology
  • Be the first to comment

1から学ぶクラウドのセキュリティ勉強会@北九州「AWSに組み込まれてるセキュリティ機能」

  1. 1. 1から学ぶクラウドのセキュリティ勉強会@北九州 HAW International, Inc   2014. 8. 23 安土 茂亨 AWSに組み込まれている セキュリティ機能
  2. 2. 自己紹介 (安土 茂亨) 株式会社ハウインターナショナル ● Cloud Integratoin Service (クラウドに特化したシステム設計、環境構築、運用監視、 etc..) ● クラウドに特化した受託開発
  3. 3. AWSでのセキュリティの考え方 共有責任モデル (Shared Responsibility Model) ● 物理的なセキュリティ ○ 場所の秘匿 ○ 全アクセスをロギング ○ 物理アクセス可能なスタッフは論 理アクセス不可能 ● VMのセキュリティ ○ インスタンスの隔離 ○ 別のEC2のインスタンスデータの 読み取りは不可能 ○ APIのエンドポイントSSL ● ネットワークセキュリティ ○ SGの設定に従ったアクセス制御 ○ ポートスキャンの検知・ブロック ● OSより上の階層の設定 ● OSのファイアウォール ● ネットワーク設定 ● SGの管理 ● アカウント管理 ● アプリケーションのセキュリティ よくあるいつも気をつけていない といけないこと。
  4. 4. AWS独自のセキュリティ関連機能 ● セキュリティグループ ● VPC(Virtual Private Cloud) ● IAM(Identity and Accesss Management) ● MFA(Multi Factor Authentication)デバイス ● ストレージの暗号化 ● Trusted Advisor AWSセキュリティセンター http://aws.amazon.com/jp/security/
  5. 5. セキュリティグループ EC2のインスタンスのトラフィックを制御する仮想ファイアウォール Amazon EC2 Inbound、Outboundの トラフィックをプロトコル、 ポート、Sourcsを指定して制御 Inbound Outbound security group
  6. 6. VPC(Virtual Private Cloud) virtual private cloud AWS cloud コーポレートDC Public subnet Private subnet Amazon EC2 Amazon EC2 オンプレサーバ VPN 論理的に分離した 仮想ネットワーク環境を構築 IP レンジ Subnet ルート テーブル Gateway インターネットからのアクセスを 許可するPublic Subnet インターネットからのアクセスは許可せず、 既存データセンターからのアクセスを 許可するPrivate Subnet セキュリティグループ、ACLで セキュリティ制御
  7. 7. Private Subnetへの接続方法 ① 専用線接続 DC or オフィスとAWS間をインターネットを介さずに 専用線経由でアクセス。 AWS Direct Connect customer gateway virtual private gateway VPN connection ②ハードウェアVPN接続 DC or オフィスのルーターとAWSの仮想ゲートウェイを IPSec VPNで接続。 ③ソフトウェアVPN接続 Public Subnet内のインスタンスに構築したOpenVPN Serverを 経由しPrivate Subnetに接続。 instance
  8. 8. VPCのネットワークACL VPC subnet security group Amazon EC2 Network ACL Subnet内のトラフィックを制御するファイアウォール セキュリティグループ ネットワークACL インスタンス単位で設定 Subnet単位で設定 許可するルールのみ 設定可能 許可ルールと拒否ルールを 設定可能
  9. 9. IAM (Identity and Access Management) ● AWSサービスにアクセス可能な個々のユーザを作成 ● ユーザ個別にセキュリティ認証情報 (パスワード、アクセスキー、MFA)を設定 ● 各AWSサービスへのPermission設定 ● ユーザの集合に対して権限設定できるグループ ● AWSサービスにアクセスできる権限を定義し、AWSサービスに適用でき るRole ● IAM Role for EC2 Instance EC2起動時にインスタンスに適用するRoleを指定すれば、Roleの権限 によって、そのインスタンスから他のAWSサービスへアクセス可能に。 user group role instancerole 適用 Roleに定義された権限を有する アクセスキーが自動的に配信され 定期的に更新される APIやSDKを利用し AWSリソースにアクセスする際 のアクセスキー等
  10. 10. MFAデバイス ユーザ名とパスワードに加えて MFAデバイスからの認証コードを使って 認証を行う仕組み。 購入するには US amazon.comの アカウントが必要 スマホ向け仮想MFAアプリ
  11. 11. ストレージの暗号化 Amazon S3 Server Side Encryption アップロード 暗号化 AWS側で生成した キーで暗号化 Client Side Encryption アップロード アップロード 暗号化 自前のキーを使用 暗号化後はメモリ 上から削除 Ruby Java 暗号化 クライアントサイド 暗号化
  12. 12. ストレージの暗号化 Amazon RDS SSLによる通信の暗号化 instances SSL 透過的なデータ暗号化(TDE)をサポート 暗号化/復号化の オーバヘッドは発生 ● ストレージに書き込まれる前にデータを暗号化 ● ストレージから読み込まれた後にデータを復号化 Amazon EBS EBS Volumeの暗号化をサポート volumeinstance M3、C3、R3、CR1、G2、I2 ファミリーのみサポート スナップショット作成アタッチ snapshot スナップショットも 自動的に暗号化※Root Volumeの暗号化は不可
  13. 13. Trusted Advisor 最近、無料化 (4プラクティス) ● 特定のポートに対して無制限アクセスを許可してないか? ● ルートアカウントでMFAが無効でないか? ● EC2のインスタンスやEBSボリュームが80%超えてないか? ● 最近EBSのSnapshotが取られてない? ● ロードバランサの最適化の提案

×