JAWS-UG東京 第15回勉強会 「よりセキュアなAWS環境構築 〜PCI DSS対応〜」

1,739 views

Published on

2013.2.9に行われたJAWS-UG東京勉強会で発表した資料です。

コイニーさんのAWS環境をPCI DSS対応にするための内容をまとめてます。

Published in: Technology

JAWS-UG東京 第15回勉強会 「よりセキュアなAWS環境構築 〜PCI DSS対応〜」

  1. 1. 2013.2.8 JAWS-UG東京 第15回勉強会よりセキュアなAWS環境構築 ∼PCI DSS対応∼ コイニー株式会社 CTO David Asikin cloudpack エバンジェリスト 後藤 和貴 Confidential
  2. 2. 自己紹介プロフィールアイレット株式会社 cloudpack エバンジェリスト @kaz_goto facebook.com/kaz.gotoJAWS-UG 副代表 slideshare.net/kaz.goto出没するJAWS-UG: 東京、大阪、福岡、宮崎、    浜松、静岡、鹿児島、沖縄、名古屋、札幌、    北陸、熊本、長崎、神戸、岩手受賞歴: AWS SAMURAI 2012/2013!! (個人)    2011年度パートナー特別賞(会社)好きなAWSサービス: プレミアムサポート好きなCDP: Confidential
  3. 3. AWS/OS/ミドルウェア での対応について Confidential
  4. 4. PCI DSS要件要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない要件3: 保存されるカード会員データを保護する要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する要件6: 安全性の高いシステムとアプリケーションを開発し、保守する要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる要件9: カード会員データへの物理アクセスを制限する要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する要件11: セキュリティシステムおよびプロセスを定期的にテストする要件12: すべての担当者の情報セキュリティポリシーを整備する Confidential
  5. 5. PCI DSS要件要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない要件3: 保存されるカード会員データを保護する要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する要件6: 安全性の高いシステムとアプリケーションを開発し、保守する要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる要件9: カード会員データへの物理アクセスを制限する要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する要件11: セキュリティシステムおよびプロセスを定期的にテストする要件12: すべての担当者の情報セキュリティポリシーを整備する Confidential
  6. 6. プロジェクト体制 •PCI  DSS準拠⽀支援 •QSA•PCI  DSSレベル1 •インフラ構築サービスプロバイダ •PCI  DSS準拠対策 Confidential
  7. 7. システム概念図 Confidential
  8. 8. 対応サマリFirewall設定セキュリティソフトウェア導入アカウント管理アクセス記録・ログ集約管理脆弱性対策 Confidential
  9. 9. Firewall一旦すべてアクセス不可必要な箇所を許可サーバー毎の通信許可個別のセキュリティグループ(サブネットは通信要件毎に分けている) Confidential
  10. 10. セキュリティソフトウェア導入Trend Micro Deep Security IPS/IDS/改ざん検知/Firewall/WAF/ログ監視ServerProtect ウィルス対策(リアルタイムスキャン) Confidential
  11. 11. http://jp.trendmicro.com/jp/products/enterprise/tmds/pcidss/ Confidential
  12. 12. アカウント管理サーバー毎ではなく個人毎のアカウントOpenLDAP導入・権限管理パスワード有効期限ロックアウト対応 Confidential
  13. 13. アクセス記録・ログ集約管理ログ管理 EC2インスタンス内に1週間分残す fluentd経由でログサーバーへまとめ、S3へアーカイブ [参考]  FluentdでWeb  Storage  Archiveパターン http://blog.cloudpack.jp/2013/01/aws-‐‑‒news-‐‑‒cdp-‐‑‒web-‐‑‒storage-‐‑‒archive-‐‑‒fluentd.html Confidential
  14. 14. アクセス記録・ログ集約管理Management Consoleアクセス制限とログ記録 多要素認証に加えて誰が何をしたか記録が必須 プロキシ経由のみアクセス可 プロキシサーバー上でアクセスログ記録 [参考]  Squid経由でAWSマネジメントコンソールにアクセスしてソースIP制限や認証やログ取得 http://blog.cloudpack.jp/2013/02/aws-‐‑‒news-‐‑‒squid-‐‑‒aws-‐‑‒console-‐‑‒ip-‐‑‒log.html Confidential
  15. 15. 脆弱性対策ミドルウェア最新化Apacheはパッケージでは不可だったため、最新版ソースをコンパイル• CVSS 4.0以上(レベルIII危険+レベルII警告)はすべて対策必須のためDeep Security仮想パッチソフトウェアのセキュリティパッチ提供前に脆弱性を保護パッチ適用後は自動的に外れる Confidential
  16. 16. cloudpack 担当範囲Confidential
  17. 17. 最後にお知らせ Confidential
  18. 18. プレスリリース(PCFさんと提携リリース画面キャプチャ) Confidential
  19. 19. ワンストップでサービス提供 エンドユーザー PCI DSS準拠 インフラ構築サービス•PCI  DSSレベル1 •インフラ構築 •PCI  DSS準拠⽀支援サービスプロバイダ •PCI  DSS準拠対策 •QSA Confidential
  20. 20. Confidential
  21. 21. Thanks!http://www.cloudpack.jp/ suuport@cloudpack.jp @cloudpack_jp Confidential

×