JAWS-UG三都物語 2013 春 よりセキュアなAWS環境 構築事例 ~PCI DSS対応~

3,935 views

Published on

2013.3.9に行われたJAWS-UG三都物語で発表した資料です。

PCI DSS対応事例紹介のロングバージョン。CDP実践編VPC/CloudFormationからの事例紹介になってます。

Published in: Technology

JAWS-UG三都物語 2013 春 よりセキュアなAWS環境 構築事例 ~PCI DSS対応~

  1. 1. JAWS-UG三都物語 2013 春よりセキュアなAWS環境 構築事例 ∼PCI DSS対応∼ 後藤 和貴 @kaz_goto facebook.com/kaz.goto
  2. 2. 自己紹介プロフィールアイレット株式会社 cloudpack エバンジェリスト @kaz_goto facebook.com/kaz.gotoJAWS-UG 副代表 slideshare.net/kaz.goto出没するJAWS-UG: 東京、大阪、福岡、宮崎、    浜松、静岡、鹿児島、沖縄、名古屋、札幌、    北陸、熊本、長崎、神戸、岩手受賞歴: AWS SAMURAI 2012/2013!! (個人)    2011年度パートナー特別賞(会社)好きなAWSサービス: プレミアムサポート好きなCDP:
  3. 3. 勉強会&懇親会
  4. 4. 1/20(金)∼1/21(土) JAWS-UG北陸 6/2(土)∼6/3(日) JAWS-UG大阪2/8(水)∼2/11(土) JAWS-UG福岡、 6/6(水)∼6/7(木) JAWS-UG神戸JAWS-UG熊本 9/7(金)∼9/10(月) 明星和楽参加2/14(火)∼2/15(水) JAWS-UG札幌 10/6(土)∼10/7(日) JAWS-UG名古屋2/18(土)∼2/19(日) JAWS-UG大阪 10/16(火)∼10/21(日) Cloud Days2/21(火)∼2/22(水) JAWS-UG仙台 Fukuoka 2012、JAWS-UG鹿児島3/7(水)∼3/9(金) Cloud Days 11/11(日)∼11/13(火) JAWS-UG札幌Osaka 2012 11/17(土)∼11/19(月) JAWS-UG沖縄3/30(金)∼3/31(土) JAWS-UG長崎 11/26(月)∼12/2(日) AWS4/17(火)∼4/22(日) AWS Summit re:Invent 2012+Amazon本社訪問2012 NYC 12/11(火)∼12/14(金) UP 20124/25(水)∼4/29(日) JAWS-UG沖縄 12/15(土)∼12/17日(月) JAWS-UG5/16(水)∼5/17(木) JAWS-UG札幌 大阪+営業 JAWS-UG計16回 / 出張合計32回83日間
  5. 5. アジェンダcloudpack紹介CDP実践 VPC/CloudFormationPCI DSS準拠事例プレゼント( )
  6. 6. AWSの足りない部分を補完した月額費用固定型フルマネージドホスティング24時間365日サーバー運用・保守電話/メールによるサポート初期費用なし(移行作業含む)月額5万円からのスタート日本円で請求書発行
  7. 7. フルマネージドサービス/リソース監視ディスク使用量、メモリ使用量、プロセス数、Webサーバー・DBサーバー死活...バックアップ/リストアEBSスナップショットを利用した二世代(過去二日分)バックアップアクセス制御(ファイアーウォール)適切なセキュリティグループを設定、OS・ミドルウェアレベルでさらに細かな設定も対応可能
  8. 8. 定額課金・請求書払いAmazon Web Servicesでは... 従量課金では予算計画が立てられない クレジットカードでUSドル決済では利用料の予測が難しい 月額固定+日本円請求書発行
  9. 9. バースト保障キャンペーンなど急激なアクセス増加へ合わせてインフラ準備するのは不可能いつあるかわからないピークのために予め準備できない 追加料金無しでスケールアウト (7インスタンス日まで)
  10. 10. 続きはウェブでcloudpack  クラウドパック
  11. 11. まずVPCの話
  12. 12. ほぼ反応なし...
  13. 13. VPC関連アップデート1/11 【AWS発表】 クラウドに専用線接続できるAWS Direct Connectが東京リージョンでも利用可能に1/24 【AWS発表】 Virtual Private Cloudの中でRelational Database Serviceが利用可能に2/6 【AWS発表】 Elastic MapReduceの新機能:メトリクス、Hadoopのアップデート、VPC、そしてクラスタコンピュートのサポート4/26 【AWS発表】 Virtual Private Cloudの中でクラスターコンピュートインスタンスが利用可能に5/18 【AWS発表】Amazon RDSのリードレプリカがVPC内でも作成可能に6/12 【AWS発表】プライベートIPを負荷分散できるELBが登場!7/7 【AWS発表】VPC内の単一EC2インスタンスに複数のIPアドレス関連づけることが可能に!8/17 Additional RDS for Oracle Features - VPC Support, Oracle Application Express (APEX) and OracleXML DB8/15 【AWS発表】AWS Direct Connect - 新しいロケーションとコンソールサポート9/14 【AWS発表】Amazon RDS for SQL Server が VPC内で利用可能に9/17 【AWS発表】Amazon VPCに2つの新機能が追加 - BGPをサポートしないデバイスでもVPCに接続可能に10/19 【AWS発表】Virtual Private Cloud (VPC) 内でEC2のマイクロインスタンスが起動可能に!11/1 【AWS発表】 AWS Elastic Beanstalk - Rubyのサポート開始、さらにVPC統合も可能に
  14. 14. 新規のお客さんはかなりの確率でVPC利用
  15. 15. 設計が細かく毎回手作業は危険
  16. 16. かつ毎回同じ設計を している
  17. 17. たとえば...
  18. 18. VPCネットワーク構成 サブネット作成指針 ルーティング • Public - インターネットとInbound/ Outbound可 • Protected - インターネットへNAT経 由でOutboundのみ可 • Private - インターネットへのアクセ ス不可(社内へは可) IPアドレス固定・任意 • 自動でIPが付与されるELB/RDS/ Auto Scaling利用とわけるため
  19. 19. セキュリティグループ 接続用途別に作成 Functional Firewallパターン • EC2標準 • データベース(MySQL/Oracle) Operational Firewallパターン • cloudpackからアクセス(監視・メンテ) • 踏み台へのアクセス • NATへのアクセス • 管理画面へのアクセス
  20. 20. Functional Firewallパターン Operational Firewallパターンルールをグループ化し、グループ単位での設 ルールをグループ化し、グループ単位で設定定や各サーバーへの適用を行うことができる したりサーバーに適用したりできる。このグものもある。このグループの単位を機能ごと ループという単位をシステムにアクセスでき(WebやDBなど)にすることで、機能に関 る組織などにすることで、非機能要件的なアする設定をグループ内で一元管理できるよう クセス制限に関する設定を使いやすく分割/になる。 一元管理することができる。
  21. 21. メンテナンス用NATサーバー メンテナンスのときだ けNATを利用して外部 へアクセス 例: yumアップデート OnDemand NATパターン
  22. 22. OnDemand NATパターンNATを仮想サーバーで実現し、OSパッケージのアップデートなどのメンテンス時だけ起動するようにしておけば、コスト効率がよくなる。APIを利用してNAT(仮想サーバー)の起動と停止を自動化することも可能である。
  23. 23. 踏み台サーバー サーバーメンテナン ス時のアクセス経路
  24. 24. 定型化できる 部分が多い
  25. 25. これらすべて自動化 =   CloudFormation  
  26. 26. https://github.com/suz-lab/suz-lab-centos- ami/tree/master/share/cloudfromation
  27. 27. カスタマイズしたい場合もOK
  28. 28. くわしくはこちらhttp://blog.suz-lab.com/2012/12/cdp-templates.html
  29. 29. メリットテンプレートを利用して、必要なときに起動する(構成を作る)ことが簡単にできるCloudFormationなら面倒な構成を一瞬で構築可能=作業時間短縮すでにテスト済みの環境を構築するのでフルテストは不要=信頼性が高い設計そのものがテンプレートされることで、再利用が可能で、かつ設計上のミスも発生しにくくなる
  30. 30. PCI DSS対応の話
  31. 31. PCI DSSとはクレジットカードブランド5社により策定された、クレジット業界のセキュリティ基準クレジットカード会社は加盟店に対し要求を満たさない場合にペナルティを科したり保険料率に差をつけたりしている米国では「PCI DSSの重要部分に適合しない場合、刑事罰を受ける」と法制化している州もデータの漏洩などが発生した場合にPCI DSS運用を正しく行っていたことを30日以内に証明できると、金融機関からの基礎を回避することができると規定している州も12の要件から細かくドリルダウンした実装レベルでの明確な規定がされているクレジット業界以外でのグローバルなセキュリティ基準として対応するケースが多い業務委託先も含めて対応が必要
  32. 32. http://coiney.com/
  33. 33. Coiney社の資料より抜粋 System Challenge PCI-DSS compliant on the cloud? Mostly, PCI-DSS on own server. Differences between cloud vs. own server. AWS Management Console logging?クラウド上でPCI DSSを取ることができるのか? DMZ, WAF implementation? 必要な対策を講じることができるのか? NTP server? Antivirus software? System auto-lockout? Log, Log, and LOG! i.e. Firewall log? File consistency? File monitoring?
  34. 34. Coiney社の資料より抜粋cloudpack(に期待したこと) Leverage cloudpack knowledge Discussion with PCI consultants Establish the PCI-compliant environment AWS上でのシステム構築ノウハウ提供 on AWS PCI DSS準拠支援会社とコラボ
  35. 35. どう対応したのか
  36. 36. PCI DSS要件要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない要件3: 保存されるカード会員データを保護する要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する要件6: 安全性の高いシステムとアプリケーションを開発し、保守する要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる要件9: カード会員データへの物理アクセスを制限する要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する要件11: セキュリティシステムおよびプロセスを定期的にテストする要件12: すべての担当者の情報セキュリティポリシーを整備する
  37. 37. PCI DSS要件要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない要件3: 保存されるカード会員データを保護する要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する要件6: 安全性の高いシステムとアプリケーションを開発し、保守する要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる要件9: カード会員データへの物理アクセスを制限する要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する要件11: セキュリティシステムおよびプロセスを定期的にテストする要件12: すべての担当者の情報セキュリティポリシーを整備する
  38. 38. プロジェクト体制 •PCI  DSS準拠⽀支援 •QSA•PCI  DSSレベル1 •インフラ構築サービスプロバイダ •PCI  DSS準拠対策
  39. 39. システム概念図
  40. 40. 対応サマリFirewall設定セキュリティソフトウェア導入アカウント管理アクセス記録・ログ集約管理脆弱性対策
  41. 41. Firewall一旦すべてアクセス不可必要な箇所を許可サーバー毎の通信許可個別のセキュリティグループ(サブネットは通信要件毎に分けている)
  42. 42. セキュリティソフトウェア導入Trend Micro Deep Security IPS/IDS/改ざん検知/Firewall/WAF/ログ監視ServerProtect ウィルス対策(リアルタイムスキャン)
  43. 43. http://jp.trendmicro.com/jp/products/enterprise/tmds/pcidss/
  44. 44. アカウント管理サーバー毎ではなく個人毎のアカウントOpenLDAP導入・権限管理パスワード有効期限90日ロックアウト対応6回以上パスワードトライされたらロック
  45. 45. アクセス記録・ログ集約管理ログ管理 EC2インスタンス内に1週間分残す fluentd経由でログサーバーへまとめ、S3へアーカイブ [参考]  FluentdでWeb  Storage  Archiveパターン http://blog.cloudpack.jp/2013/01/aws-‐‑‒news-‐‑‒cdp-‐‑‒web-‐‑‒storage-‐‑‒archive-‐‑‒fluentd.html
  46. 46. アクセス記録・ログ集約管理Management Consoleアクセス制限とログ記録 多要素認証に加えて誰が何をしたか記録が必須 プロキシ経由のみアクセス可 プロキシサーバー上でアクセスログ記録 [参考]  Squid経由でAWSマネジメントコンソールにアクセスしてソースIP制限や認証やログ取得 http://blog.cloudpack.jp/2013/02/aws-‐‑‒news-‐‑‒squid-‐‑‒aws-‐‑‒console-‐‑‒ip-‐‑‒log.html
  47. 47. 脆弱性対策ミドルウェア最新化Apacheはパッケージでは不可だったため、最新版ソースをコンパイル• IPA(独立行政法人 情報処理推進機構)の定めるCVSS 4.0以上(レベ ルIII危険+レベルII警告)はすべて対策必須のためDeep Security仮想パッチソフトウェアのセキュリティパッチ提供前に脆弱性を保護パッチ適用後は自動的に外れる
  48. 48. AWSはPCI DSSレベル1準拠 レベル1サービスプロバイダとして認定 EC2/S3/EBS/VPC/RDS/ELB/IAMがPCI検証 済み
  49. 49. cloudpack 担当範囲
  50. 50. AWS導入事例ページ 日経コンピュータ
  51. 51. プレスリリース(PCFさんと提携リリース画面キャプチャ)
  52. 52. ワンストップでサービス提供 エンドユーザー PCI DSS準拠 インフラ構築サービス•PCI  DSSレベル1 •インフラ構築 •PCI  DSS準拠⽀支援サービスプロバイダ •PCI  DSS準拠対策 •QSA
  53. 53. AWS上でPCI DSS対応するなら
  54. 54. 最後に
  55. 55. 今日会場に来た皆さん にプレゼント
  56. 56. PCI DSS Basic CloudFormationhttps://github.com/suz-lab/suz-lab-cloudformation/blob/master/pattern/suz-lab_0302_admin_firewall.json
  57. 57. Thanks!http://www.cloudpack.jp/ suuport@cloudpack.jp @cloudpack_jp

×