Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
2016/05/11 Security Night #1
AWSのセキュリティアプローチとTLS
アマゾン ウェブ サービス ジャパン株式会社
スタートアップソリューションアーキテクト
塚田 朗弘
セキュリティソリューションアーキテクト
桐山 ...
自己紹介(桐山隼人)
• 略歴
– 組み込み/セキュリティ系開発エンジニア
@ソフトウェア開発研究所
– 技術営業@セキュリティ会社
– ソリューションアーキテクト@AWS
• 好きなAWSサービス
– Amazon Inspector
@hk...
今日お話ししたい内容
• AWSセキュリティの基本的な話
• セキュリティへのアプローチ
• TLSに関連するAWSサービス
3
190カ国に及ぶ100万以上のお客様
4
グローバルでの金融機関におけるAWS活用
5
6
AWS 基本サービス
コンピュート ストレージ データベース ネットワーク
AWS
グローバル
インフラストラクチャ リージョン
アベイラビリティ
ゾーン エッジ
ロケーション
ネットワーク
サーバー
セキュリティ
インベントリ
・構成管理...
7
AWS 基本サービス
コンピュート ストレージ データベース ネットワーク
AWS
グローバル
インフラストラクチャ リージョン
アベイラビリティ
ゾーン エッジ
ロケーション
ネットワーク
サーバー
セキュリティ
インベントリ
・構成管理...
8
セキュリティは大丈夫?(グローバルインフラ)
※2016/05時点
詳細:http://aws.amazon.com/jp/about-aws/global-infrastructure/
8
9
セキュリティは大丈夫? (物理セキュリティ)
• Amazonは数年間にわたり、大規模なデータセンターを
構築
• 重要な特性:
– 場所の秘匿性
– 周囲の厳重なセキュリティ
– 物理アクセスの厳密なコントロール
– 2要素認証を2回以上...
10
セキュリティは大丈夫? (ネットワーク)
• Distributed Denial of Service (DDoS)対策:
• 効果的かつ標準的な緩和対策を実施
• 中間者攻撃対策:
• 全エンドポイントは暗号化通信によって保護
• 起...
11
セキュリティは大丈夫?(論理的セキュリティ)
• ハイパーバイザー(ホストOS)
• AWS管理者の拠点ホストからの個別のログイン
• 全てのアクセスはロギングされ、監査されます
• ゲストOS(EC2インスタンス)
• お客様による完全...
12
セキュリティは大丈夫?(データセキュリティ)
• データを配置する物理的なリージョンはお客様が指定
• AWSは、法令遵守等やむをえない場合を除き、お客様のデー
タを指定されたリージョンからお客様への通告なしに移動し
ない
• お客様のデ...
13
セキュリティは大丈夫?(第三者認証)
多数の第三者認証の
取得や、保証プログ
ラムへの準拠をして
います。
AWSコンプライアンス http://aws.amazon.com/jp/compliance/
AWSのセキュリティとコンプライ...
14
AWS 基本サービス
コンピュート ストレージ データベース ネットワーク
AWS
グローバル
インフラストラクチャ リージョン
アベイラビリティ
ゾーン エッジ
ロケーション
ネットワーク
サーバー
セキュリティ
インベントリ
・構成管...
15
お客様のセキュリティ統制において重要なAWSサービス
Areas Key Services
データ保護
権限管理
インフラ保護
検知
Elastic Load
Balancing Amazon EBS Amazon S3 Amazon R...
16
セキュリティへのアプローチ
16
17
あらためてリスクとは・・・
蓋然性
その事象が起こる可能性
影響度
その事象による
正または負の変化度合い
17
18
脆弱性リスクを低減させるには・・・
蓋然性
その事象が起こる可能性
影響度
その事象による
正または負の変化度合い
脆弱性を孕みづらくする
設計・実装・プロセス
事前準備・多層防御
初動対応の迅速さ
18
19
脆弱性が公開されると・・・
Amazon Linuxの場合
5/3に公開されたOpenSSLの脆弱性に即日対応
既存利用者に向けて必要な対応を明示
蓋然性 影響度
19
20
2014年ハイパーバイザーXen脆弱性のケース
一部では「秋の再起動祭り」とも・・・
ハイパーバイザー「Xen」の脆弱性に
関する情報が10月1日付で一般に公開
AWSはその情報に基づき、EC2のメンテナ
ンスを目的とした再起動を行うと9...
21
小さい、シンプル、
高速
コード監査、セキュ
リティレビュー、性
能、効率の向上
GitHubで公開
AWSサービスへ統合
Signal to Noise (s2n)
AWSが提供するオープンソースのTLS実装
[AWS Solution...
22
TLSに関連するAWSサービス
Web
L
o
g
NA
CloudFront
API Gateway
ACM
Web
RDSELB
23
AWSサービスを使用する際にAWSが提供する証明書
 Amazon Elastic Load Balancing
• 2016年5月現在、以下のリージョンで利用可能*
• Asia Pacific (Tokyo), Asia Pacif...
24
Web
L
o
g
NA
CloudFront
API Gateway
ACM
Web
RDSELB
ACMの証明書
利用者がTLSの設定を意識する
AWSサービスの例
25
以下のサービスではユーザー自身で証明書を配備するこ
とも可能(Bring Your Own Certificate)
 Amazon Elastic Load Balancing
 Amazon CloudFront
 Amazon...
26
Web
L
o
g
NA
CloudFront
API Gateway
ACM
Web
RDSELB
独自証明書
利用者がTLSの設定を意識する
AWSサービスの例
27
その他、
APIアクセス・各種サービスの
エンドポイントは
当然ながらTLS対応
28
Amazon Elastic Load Balancing (ELB)
• 特徴 (http://aws.amazon.com/jp/elasticloadbalancing/)
– クラウド内の複数のAmazon EC2インスタン
スに...
29
Amazon CloudFront
• 特徴 (http://aws.amazon.com/jp/cloudfront/)
– 簡単にサイトの高速化が実現できると共に、
サーバの負荷も軽減
– 様々な規模のアクセスを処理することが可能
–...
30
Amazon API Gateway
• 特徴 (http://aws.amazon.com/jp/lambda/)
– OS、キャパシティ等インフラの管理不要
– バックエンドとしてLambda、既存Webシス
テムを利用可能(SSL/...
31
•AWS Securityページ
•http://aws.amazon.com/jp/security
•AWS Complianceページ
•http://aws.amazon.com/jp/compliance
セキュリティ・コンプラ...
32
法令遵守し続けること(PCI DSSなど)
危殆化し続けるITシステムに対応すること
顧客親密度に関わるレピュテーションリスクを管理すること
Security “BY” the Cloud
さいごに・・・
33 33
Upcoming SlideShare
Loading in …5
×

Security Night #1 AWSのセキュリティアプローチとTLS

3,197 views

Published on

以下セミナーの最終セッションの資料です。
Security Night #1 今だからこそ学びなおすSSL/TLS脆弱性の中身と対策!(増員)
http://secnight.connpass.com/event/30672/

Amazon Web Services(AWS)のクラウド環境は、セキュリティの観点でも自信と安心を持ってお使いいただけます。
PCI DSSの認証取得や、SSL/TLS通信に必要な証明書に関連するサービスをご紹介いたします。
FinTechな企業、カード情報を取り扱う事業をお考えの方、AWSセキュリティに興味のある方は是非ご覧ください。

Published in: Technology
  • Be the first to comment

Security Night #1 AWSのセキュリティアプローチとTLS

  1. 1. 2016/05/11 Security Night #1 AWSのセキュリティアプローチとTLS アマゾン ウェブ サービス ジャパン株式会社 スタートアップソリューションアーキテクト 塚田 朗弘 セキュリティソリューションアーキテクト 桐山 隼人
  2. 2. 自己紹介(桐山隼人) • 略歴 – 組み込み/セキュリティ系開発エンジニア @ソフトウェア開発研究所 – 技術営業@セキュリティ会社 – ソリューションアーキテクト@AWS • 好きなAWSサービス – Amazon Inspector @hkiriyam1 2
  3. 3. 今日お話ししたい内容 • AWSセキュリティの基本的な話 • セキュリティへのアプローチ • TLSに関連するAWSサービス 3
  4. 4. 190カ国に及ぶ100万以上のお客様 4
  5. 5. グローバルでの金融機関におけるAWS活用 5
  6. 6. 6 AWS 基本サービス コンピュート ストレージ データベース ネットワーク AWS グローバル インフラストラクチャ リージョン アベイラビリティ ゾーン エッジ ロケーション ネットワーク サーバー セキュリティ インベントリ ・構成管理 お客様のアプリケーション・コンテンツお客様自身で クラウドを コントロール可能 AWSが クラウドの セキュリティを 担当 データ セキュリティ アクセス コントロール AWS責任共有モデル Security “IN” the Cloud Security “OF” the Cloud 6
  7. 7. 7 AWS 基本サービス コンピュート ストレージ データベース ネットワーク AWS グローバル インフラストラクチャ リージョン アベイラビリティ ゾーン エッジ ロケーション ネットワーク サーバー セキュリティ インベントリ ・構成管理 お客様のアプリケーション・コンテンツお客様自身で クラウドを コントロール可能 AWSが クラウドの セキュリティを 担当 データ セキュリティ アクセス コントロール AWS責任共有モデル Security “IN” the Cloud Security “OF” the Cloud 7
  8. 8. 8 セキュリティは大丈夫?(グローバルインフラ) ※2016/05時点 詳細:http://aws.amazon.com/jp/about-aws/global-infrastructure/ 8
  9. 9. 9 セキュリティは大丈夫? (物理セキュリティ) • Amazonは数年間にわたり、大規模なデータセンターを 構築 • 重要な特性: – 場所の秘匿性 – 周囲の厳重なセキュリティ – 物理アクセスの厳密なコントロール – 2要素認証を2回以上で管理者がアクセス • 完全管理された、必要性に基づくアクセス • 全てのアクセスは記録され、監査対象となる • 職務の分離 AWSコンプライアンス http://aws.amazon.com/jp/compliance/ AWSのセキュリティとコンプライアンス http://www.slideshare.net/AmazonWebServicesJapan/aws-23722701 9
  10. 10. 10 セキュリティは大丈夫? (ネットワーク) • Distributed Denial of Service (DDoS)対策: • 効果的かつ標準的な緩和対策を実施 • 中間者攻撃対策: • 全エンドポイントは暗号化通信によって保護 • 起動時に新しいEC2ホストキーを生成 • IPなりすまし対策: • ホストOSレベルで全て遮断 • 許可されていないポートスキャニング対策: • AWSサービス利用規約違反に該当 • 検出され、停止され、ブロックされる • インバウンドのポートはデフォルトでブロックされているため、 事実上無効 • パケットの盗聴対策: • プロミスキャスモードは不許可 • ハイパーバイザ―レベルで防御 AWSコンプライアンス http://aws.amazon.com/jp/compliance/ AWSのセキュリティとコンプライアンス http://www.slideshare.net/AmazonWebServicesJapan/aws-23722701 10
  11. 11. 11 セキュリティは大丈夫?(論理的セキュリティ) • ハイパーバイザー(ホストOS) • AWS管理者の拠点ホストからの個別のログイン • 全てのアクセスはロギングされ、監査されます • ゲストOS(EC2インスタンス) • お客様による完全なコントロール • お客様が生成したいキーペアを使用 • Firewall機能の標準提供 • AWS標準機能としてInbound/Outboundに対する Firewall • AWSのお客様の権限、責任で設定 AWSコンプライアンス http://aws.amazon.com/jp/compliance/ AWSのセキュリティとコンプライアンス http://www.slideshare.net/AmazonWebServicesJapan/aws-23722701 11
  12. 12. 12 セキュリティは大丈夫?(データセキュリティ) • データを配置する物理的なリージョンはお客様が指定 • AWSは、法令遵守等やむをえない場合を除き、お客様のデー タを指定されたリージョンからお客様への通告なしに移動し ない • お客様のデータが 権限のない人々に流出しないようにするス トレージ 廃棄プロセスを保持 • DoD 5220.22-M(米国国防総省方式) – 3回の書き込みでの消去を実施 – 固定値→補数→乱数 • NIST 800-88(メディアサニタイズのための ガイドライン) – 情報処分に対する体制、運営やライフサイクルに関するガイドライン – 情報処分に対しする組織的に取り組み • 上記の手順を用い ハードウェアデバイスが廃棄できない場合、 デバイスは業界標準の慣行に従って、消磁するか、物理的に 破壊する AWSコンプライアンス http://aws.amazon.com/jp/compliance/ AWSのセキュリティとコンプライアンス http://www.slideshare.net/AmazonWebServicesJapan/aws-23722701 12
  13. 13. 13 セキュリティは大丈夫?(第三者認証) 多数の第三者認証の 取得や、保証プログ ラムへの準拠をして います。 AWSコンプライアンス http://aws.amazon.com/jp/compliance/ AWSのセキュリティとコンプライアンス http://www.slideshare.net/AmazonWebServicesJapan/aws-23722701 13
  14. 14. 14 AWS 基本サービス コンピュート ストレージ データベース ネットワーク AWS グローバル インフラストラクチャ リージョン アベイラビリティ ゾーン エッジ ロケーション ネットワーク サーバー セキュリティ インベントリ ・構成管理 お客様のアプリケーション・コンテンツお客様自身で クラウドを コントロール可能 AWSが クラウドの セキュリティを 担当 データ セキュリティ アクセス コントロール AWS責任共有モデル Security “IN” the Cloud Security “OF” the Cloud 14
  15. 15. 15 お客様のセキュリティ統制において重要なAWSサービス Areas Key Services データ保護 権限管理 インフラ保護 検知 Elastic Load Balancing Amazon EBS Amazon S3 Amazon RDS AWS Key Management Service MFA tokenIAM Amazon VPC CloudTrail AWS Config CloudWatch AWS WAF Inspector 15
  16. 16. 16 セキュリティへのアプローチ 16
  17. 17. 17 あらためてリスクとは・・・ 蓋然性 その事象が起こる可能性 影響度 その事象による 正または負の変化度合い 17
  18. 18. 18 脆弱性リスクを低減させるには・・・ 蓋然性 その事象が起こる可能性 影響度 その事象による 正または負の変化度合い 脆弱性を孕みづらくする 設計・実装・プロセス 事前準備・多層防御 初動対応の迅速さ 18
  19. 19. 19 脆弱性が公開されると・・・ Amazon Linuxの場合 5/3に公開されたOpenSSLの脆弱性に即日対応 既存利用者に向けて必要な対応を明示 蓋然性 影響度 19
  20. 20. 20 2014年ハイパーバイザーXen脆弱性のケース 一部では「秋の再起動祭り」とも・・・ ハイパーバイザー「Xen」の脆弱性に 関する情報が10月1日付で一般に公開 AWSはその情報に基づき、EC2のメンテナ ンスを目的とした再起動を行うと9月25日 のブログ発表、該当ユーザーへメール通知 Xen Projectが定める手順に従って脆弱性情 報が一部の組織を対象に限定公開される 同日、AWS Japanにおいて日本語翻訳ブロ グ公開 同日、AWSは予定通りに対応を済ませた と公に報告 http://www.rightscale.com/blog/cloud-industry-insights/xen- bug-drives-cloud-reboot-survey-shows-users-undeterred 本メンテナンスに対してAWSに不満を持った ユーザーは他クラウドサービスと比べて最も 低い10% AWS対応の時系列 AWS対応の結果 蓋然性 影響度 20
  21. 21. 21 小さい、シンプル、 高速 コード監査、セキュ リティレビュー、性 能、効率の向上 GitHubで公開 AWSサービスへ統合 Signal to Noise (s2n) AWSが提供するオープンソースのTLS実装 [AWS Solutions Architect ブログ] s2n: 新しいオープンソースTLS実装のご紹介 http://aws.typepad.com/sajp/2015/06/s2n.html 蓋然性 影響度
  22. 22. 22 TLSに関連するAWSサービス Web L o g NA CloudFront API Gateway ACM Web RDSELB
  23. 23. 23 AWSサービスを使用する際にAWSが提供する証明書  Amazon Elastic Load Balancing • 2016年5月現在、以下のリージョンで利用可能* • Asia Pacific (Tokyo), Asia Pacific (Seoul), Asia Pacific (Singapore), Asia Pacific (Sydney), US East (N.Virginia), US West (N. California), US West (Oregon), EU (Ireland), EU (Frankfurt), South America (Sao Paulo)  Amazon CloudFront • 全てのリージョンで利用可能 証明書のマネージドサービス  SSL/TLS 証明書の購入、アップロード、更新の自動化 ドメイン認証のみ(2016年5月時点) AWS Certificate Manager (ACM) * AWS Certificate Manager now available in more regions (May 16,2016) https://aws.amazon.com/jp/about-aws/whats-new/2016/05/aws-certificate-manager-now-available-in-more-regions/
  24. 24. 24 Web L o g NA CloudFront API Gateway ACM Web RDSELB ACMの証明書 利用者がTLSの設定を意識する AWSサービスの例
  25. 25. 25 以下のサービスではユーザー自身で証明書を配備するこ とも可能(Bring Your Own Certificate)  Amazon Elastic Load Balancing  Amazon CloudFront  Amazon API Gateway TLSはデータ転送や設定変更を行う全てのAWS APIで使 用可能 AWSサービスにおけるTLSについて
  26. 26. 26 Web L o g NA CloudFront API Gateway ACM Web RDSELB 独自証明書 利用者がTLSの設定を意識する AWSサービスの例
  27. 27. 27 その他、 APIアクセス・各種サービスの エンドポイントは 当然ながらTLS対応
  28. 28. 28 Amazon Elastic Load Balancing (ELB) • 特徴 (http://aws.amazon.com/jp/elasticloadbalancing/) – クラウド内の複数のAmazon EC2インスタン スに負荷分散 – 複数のアベイラビリティゾーンに跨って、高 レベルの耐障害性を実現 – ELB自体が自動的にキャパシティを増減 – L4(TCP,SSL/TLS),L7(HTTP,HTTPS)サポート • 価格体系 (http://aws.amazon.com/jp/elasticloadbalancing/pricing/) – ELBの起動時間 – ELBのデータ転送量 クラウドネットワークのロードバランサー アベイラビリティ ゾーン a ユーザー アベイラビリティ ゾーン b ELB EC2 EC2 myLB-xxx.elb.amazonaws.com
  29. 29. 29 Amazon CloudFront • 特徴 (http://aws.amazon.com/jp/cloudfront/) – 簡単にサイトの高速化が実現できると共に、 サーバの負荷も軽減 – 様々な規模のアクセスを処理することが可能 – 世界53箇所のエッジロケーション • 価格体系 (http://aws.amazon.com/jp/cloudfront/pricing/) – データ転送量(OUT) – HTTP/HTTPSリクエスト数 – (利用する場合)SSL/TLS独自証明書 or ACM マネージドCDN(Contents Delivery Network)サービス クライアント レスポンス向上 負荷軽減 Amazon CloudFront キャッシュ 配信 オフロード Webサーバ
  30. 30. 30 Amazon API Gateway • 特徴 (http://aws.amazon.com/jp/lambda/) – OS、キャパシティ等インフラの管理不要 – バックエンドとしてLambda、既存Webシス テムを利用可能(SSL/TLSで通信暗号化) – スロットリング/キャッシュ • 価格体系 (http://aws.amazon.com/jp/lambda/pricing/) – 呼び出し回数とキャッシュ容量 – 100万回の呼び出しにつき$3.5 – キャッシュ容量に応じて$0.02/時〜$3.8/時 Web APIの作成・保護・運用と公開を簡単に Mobile Apps Websites Services API Gateway AWS Lambda functions AWS API Gateway Cache Endpoints on Amazon EC2 / Amazon Elastic Beanstalk Any other publicly accessible endpoint Amazon CloudWatch Monitoring
  31. 31. 31 •AWS Securityページ •http://aws.amazon.com/jp/security •AWS Complianceページ •http://aws.amazon.com/jp/compliance セキュリティ・コンプライアンス情報 31
  32. 32. 32 法令遵守し続けること(PCI DSSなど) 危殆化し続けるITシステムに対応すること 顧客親密度に関わるレピュテーションリスクを管理すること Security “BY” the Cloud さいごに・・・
  33. 33. 33 33

×