JAWS-UG福岡 VPC実践編 + よりセキュアな環境実例

1,032 views

Published on

Published in: Technology

JAWS-UG福岡 VPC実践編 + よりセキュアな環境実例

  1. 1. 2013.3.19 JAWS-UG福岡 VPC実践編 +よりセキュアな環境実例 後藤 和貴 @kaz_goto facebook.com/kaz.goto
  2. 2. 自己紹介プロフィールアイレット株式会社 cloudpack エバンジェリスト @kaz_goto facebook.com/kaz.gotoJAWS-UG 副代表 slideshare.net/kaz.goto出没するJAWS-UG: 東京、大阪、福岡、宮崎、    浜松、静岡、鹿児島、沖縄、名古屋、札幌、    北陸、熊本、長崎、神戸、岩手受賞歴: AWS SAMURAI 2012/2013!! (個人)    2011年度パートナー特別賞(会社)好きなAWSサービス: プレミアムサポート好きなCDP:
  3. 3. 1年前の勉強会...
  4. 4. ほぼ反応なし...
  5. 5. VPC関連アップデート1/11 【AWS発表】 クラウドに専用線接続できるAWS Direct Connectが東京リージョンでも利用可能に1/24 【AWS発表】 Virtual Private Cloudの中でRelational Database Serviceが利用可能に2/6 【AWS発表】 Elastic MapReduceの新機能:メトリクス、Hadoopのアップデート、VPC、そしてクラスタコンピュートのサポート4/26 【AWS発表】 Virtual Private Cloudの中でクラスターコンピュートインスタンスが利用可能に5/18 【AWS発表】Amazon RDSのリードレプリカがVPC内でも作成可能に6/12 【AWS発表】プライベートIPを負荷分散できるELBが登場!7/7 【AWS発表】VPC内の単一EC2インスタンスに複数のIPアドレス関連づけることが可能に!8/17 Additional RDS for Oracle Features - VPC Support, Oracle Application Express (APEX) and OracleXML DB8/15 【AWS発表】AWS Direct Connect - 新しいロケーションとコンソールサポート9/14 【AWS発表】Amazon RDS for SQL Server が VPC内で利用可能に9/17 【AWS発表】Amazon VPCに2つの新機能が追加 - BGPをサポートしないデバイスでもVPCに接続可能に10/19 【AWS発表】Virtual Private Cloud (VPC) 内でEC2のマイクロインスタンスが起動可能に!11/1 【AWS発表】 AWS Elastic Beanstalk - Rubyのサポート開始、さらにVPC統合も可能に
  6. 6. 新規のお客さんはほとんどがVPC利用
  7. 7. 設計が細かく毎回手作業は危険
  8. 8. かつ毎回同じ設計を している
  9. 9. たとえば...
  10. 10. VPCネットワーク構成 サブネット作成指針 ルーティング • Public - インターネットとInbound/ Outbound可 • Protected - インターネットへNAT経 由でOutboundのみ可 • Private - インターネットへのアクセ ス不可(社内へは可) IPアドレス固定・任意 • 自動でIPが付与されるELB/RDS/ Auto Scaling利用とわけるため
  11. 11. セキュリティグループ 接続用途別に作成 Functional Firewallパターン • EC2標準 • データベース(MySQL/Oracle) Operational Firewallパターン • cloudpackからアクセス(監視・メンテ) • 踏み台へのアクセス • NATへのアクセス • 管理画面へのアクセス
  12. 12. Functional Firewallパターン Operational Firewallパターンルールをグループ化し、グループ単位での設 ルールをグループ化し、グループ単位で設定定や各サーバーへの適用を行うことができる したりサーバーに適用したりできる。このグものもある。このグループの単位を機能ごと ループという単位をシステムにアクセスでき(WebやDBなど)にすることで、機能に関 る組織などにすることで、非機能要件的なアする設定をグループ内で一元管理できるよう クセス制限に関する設定を使いやすく分割/になる。 一元管理することができる。
  13. 13. メンテナンス用NATサーバー メンテナンスのときだ けNATを利用して外部 へアクセス 例: yumアップデート OnDemand NATパターン
  14. 14. OnDemand NATパターンNATを仮想サーバーで実現し、OSパッケージのアップデートなどのメンテンス時だけ起動するようにしておけば、コスト効率がよくなる。APIを利用してNAT(仮想サーバー)の起動と停止を自動化することも可能である。
  15. 15. 踏み台サーバー サーバーメンテナン ス時のアクセス経路
  16. 16. 定型化できる 部分が多い
  17. 17. これらすべて自動化 =   CloudFormation  
  18. 18. https://github.com/suz-lab/suz-lab-centos- ami/tree/master/share/cloudfromation
  19. 19. カスタマイズしたい場合もOK
  20. 20. くわしくはこちらhttp://blog.suz-lab.com/2012/12/cdp-templates.html
  21. 21. メリットテンプレートを利用して、必要なときに起動する(構成を作る)ことが簡単にできるCloudFormationなら面倒な構成を一瞬で構築可能=作業時間短縮すでにテスト済みの環境を構築するのでフルテストは不要=信頼性が高い設計そのものがテンプレートされることで、再利用が可能で、かつ設計上のミスも発生しにくくなる
  22. 22. PCI DSS対応の話
  23. 23. PCI DSSとはクレジットカードブランド5社により策定された、クレジット業界のセキュリティ基準クレジットカード会社は加盟店に対し要求を満たさない場合にペナルティを科したり保険料率に差をつけたりしている米国では「PCI DSSの重要部分に適合しない場合、刑事罰を受ける」と法制化している州もデータの漏洩などが発生した場合にPCI DSS運用を正しく行っていたことを30日以内に証明できると、金融機関からの基礎を回避することができると規定している州も12の要件から細かくドリルダウンした実装レベルでの明確な規定がされているクレジット業界以外でのグローバルなセキュリティ基準として対応するケースが多い業務委託先も含めて対応が必要
  24. 24. http://coiney.com/
  25. 25. Coiney社の資料より抜粋 System Challenge PCI-DSS compliant on the cloud? Mostly, PCI-DSS on own server. Differences between cloud vs. own server. AWS Management Console logging?クラウド上でPCI DSSを取ることができるのか? DMZ, WAF implementation? 必要な対策を講じることができるのか? NTP server? Antivirus software? System auto-lockout? Log, Log, and LOG! i.e. Firewall log? File consistency? File monitoring?
  26. 26. Coiney社の資料より抜粋cloudpack(に期待したこと) Leverage cloudpack knowledge Discussion with PCI consultants Establish the PCI-compliant environment AWS上でのシステム構築ノウハウ提供 on AWS PCI DSS準拠支援会社とコラボ
  27. 27. どう対応したのか
  28. 28. システム概念図
  29. 29. 対応サマリFirewall設定セキュリティソフトウェア導入アカウント管理アクセス記録・ログ集約管理脆弱性対策
  30. 30. Firewall一旦すべてアクセス不可必要な箇所を許可サーバー毎の通信許可個別のセキュリティグループ(サブネットは通信要件毎に分けている)
  31. 31. セキュリティソフトウェア導入Trend Micro Deep Security IPS/IDS/改ざん検知/Firewall/WAF/ログ監視ServerProtect ウィルス対策(リアルタイムスキャン)
  32. 32. http://jp.trendmicro.com/jp/products/enterprise/tmds/pcidss/
  33. 33. アカウント管理サーバー毎ではなく個人毎のアカウントOpenLDAP導入・権限管理パスワード有効期限90日ロックアウト対応6回以上パスワードトライされたらロック
  34. 34. アクセス記録・ログ集約管理ログ管理 EC2インスタンス内に1週間分残す fluentd経由でログサーバーへまとめ、S3へアーカイブ [参考]  FluentdでWeb  Storage  Archiveパターン http://blog.cloudpack.jp/2013/01/aws-‐‑‒news-‐‑‒cdp-‐‑‒web-‐‑‒storage-‐‑‒archive-‐‑‒fluentd.html
  35. 35. アクセス記録・ログ集約管理Management Consoleアクセス制限とログ記録 多要素認証に加えて誰が何をしたか記録が必須 プロキシ経由のみアクセス可 プロキシサーバー上でアクセスログ記録 [参考]  Squid経由でAWSマネジメントコンソールにアクセスしてソースIP制限や認証やログ取得 http://blog.cloudpack.jp/2013/02/aws-‐‑‒news-‐‑‒squid-‐‑‒aws-‐‑‒console-‐‑‒ip-‐‑‒log.html
  36. 36. 脆弱性対策ミドルウェア最新化Apacheはパッケージでは不可だったため、最新版ソースをコンパイル• IPA(独立行政法人 情報処理推進機構)の定めるCVSS 4.0以上(レベ ルIII危険+レベルII警告)はすべて対策必須のためDeep Security仮想パッチソフトウェアのセキュリティパッチ提供前に脆弱性を保護パッチ適用後は自動的に外れる
  37. 37. AWSはPCI DSSレベル1準拠 レベル1サービスプロバイダとして認定 EC2/S3/EBS/VPC/RDS/ELB/IAMがPCI検証 済み
  38. 38. cloudpack 担当範囲 その他 運営およびアプリレベルで すべて対応
  39. 39. AWS導入事例ページ 日経コンピュータ
  40. 40. プレスリリース(PCFさんと提携リリース画面キャプチャ)
  41. 41. ワンストップでサービス提供 エンドユーザー PCI DSS準拠 インフラ構築サービス•PCI  DSSレベル1 •インフラ構築 •PCI  DSS準拠⽀支援サービスプロバイダ •PCI  DSS準拠対策 •QSA
  42. 42. AWS上でPCI DSS対応するなら
  43. 43. AWSの足りない部分を補完した月額費用固定型フルマネージドホスティング24時間365日サーバー運用・保守電話/メールによるサポート初期費用なし(移行作業含む)月額5万円からのスタート日本円で請求書発行
  44. 44. フルマネージドサービス/リソース監視ディスク使用量、メモリ使用量、プロセス数、Webサーバー・DBサーバー死活...バックアップ/リストアEBSスナップショットを利用した二世代(過去二日分)バックアップアクセス制御(ファイアーウォール)適切なセキュリティグループを設定、OS・ミドルウェアレベルでさらに細かな設定も対応可能
  45. 45. 定額課金・請求書払いAmazon Web Servicesでは... 従量課金では予算計画が立てられない クレジットカードでUSドル決済では利用料の予測が難しい 月額固定+日本円請求書発行
  46. 46. バースト保障キャンペーンなど急激なアクセス増加へ合わせてインフラ準備するのは不可能いつあるかわからないピークのために予め準備できない 追加料金無しでスケールアウト (7インスタンス日まで)
  47. 47. 最後に
  48. 48. 今日会場に来た皆さん にプレゼント
  49. 49. cloudpack版PCI DSSベーステンプレートhttps://github.com/suz-lab/suz-lab-cloudformation/blob/master/pattern/suz-lab_0302_admin_firewall.json
  50. 50. Thanks!http://www.cloudpack.jp/ suuport@cloudpack.jp @cloudpack_jp

×