Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
AWSでのセキュリティ運用
IAM,VPCその他
2016年5月17日
(C) Recruit Technologies Co.,Ltd. All rights reserved.
自己紹介
2
宮崎 幸恵 (みやざき さちえ)
株式会社リクルートテクノロジーズ
ITソリューション統括部
2011年のリクルート入社...
(C) Recruit Technologies Co.,Ltd. All rights reserved.
業務内容
この場にいてなんですが…
いわゆるよく言われるセキュリティ業務をやっているわけで
はないのです
3
• 社内のシステム向けセ...
(C) Recruit Technologies Co.,Ltd. All rights reserved.
業務内容
4
リクルートキャリア
リクルートジョブズ
リクルートスタッフィング
リクルート住まいカンパニー
リクルートライフスタイル
...
(C) Recruit Technologies Co.,Ltd. All rights reserved.
業務内容
5
5
5(C) Recruit Technologies Co.,Ltd. All rights reserved.
Bサ...
(C) Recruit Technologies Co.,Ltd. All rights reserved.
業務内容
なんですが、気づいたらクラウドのセキュリティの人みたい
になっていた…
6
もっと自由なイ
ンフラが使いた
い!
ログとかは...
(C) Recruit Technologies Co.,Ltd. All rights reserved.
業務内容
AWS 責任共有モデルでCustomerがやるべき範囲の一部を
持っている状態
7
・rootアカウント管理
・ログインID...
(C) Recruit Technologies Co.,Ltd. All rights reserved.
業務内容
社内にあるオンプレミス基盤の運用と比較してみると….
8
オンプレミス基盤管理/運用主体 クラウド基盤
アプリケーション
フ...
(C) Recruit Technologies Co.,Ltd. All rights reserved.
結局なにをやっているのか?
決められたセキュリティの規程に従って、クラウド
のインフラ運用を執行する業務を担っています
本日はその中で...
(C) Recruit Technologies Co.,Ltd. All rights reserved.
10
セキュリティ
規程
 パブリッククラウド向けの規程な
どはなく、原則すべての社内シス
テムが同じセキュリティの規程に
従ってい...
(C) Recruit Technologies Co.,Ltd. All rights reserved.
例えば…
11
• rootアカウントはMFA
• rootのキーは発行しない、使わない
• 通常運用にはIAMを利用する
• IAM...
(C) Recruit Technologies Co.,Ltd. All rights reserved.
ログインユーザーはLDAPで統一管理
12
Management
Console
SSH踏み台(OTP実装)
サイトA
ユーザ
サイト...
(C) Recruit Technologies Co.,Ltd. All rights reserved.
クリーニング
クリーニング
クリーニング
クリーニング
クリーニング
クリーニング
クリーニング
13
(C) Recruit Technologies Co.,Ltd. All rights reserved.
14
各アカウントで適切なユーザーが
登録されており、必要な権限に
なっているかどうか
一定期間ログインがない場合はな
ぜID必要なの...
(C) Recruit Technologies Co.,Ltd. All rights reserved.
 各サービスは社員だけでなく外部の開発パートナ様や、制作会社様、ベンダ様
など多数の方々が関係しています
 利用ユーザーの追加は忘...
(C) Recruit Technologies Co.,Ltd. All rights reserved.
IAMの機能は何か使っているのか
16
クリーニングの中ではほとんど
使っていません
 ユーザー一覧、最終ログイン日など必要な情報は...
(C) Recruit Technologies Co.,Ltd. All rights reserved.
ではセキュリティの文脈でIAMの機能を一番使って
いるのは何か
17
適切な権限を設定する、リソー
スを制限する
(C) Recruit Technologies Co.,Ltd. All rights reserved.
18
security group
security group
 規程に照らし合わせて不適切なルールを削除する仕組み
APIサーバ...
(C) Recruit Technologies Co.,Ltd. All rights reserved.
19
 どの権限をリスクと判断するか
AWSのサービス毎のアク
ションをそれぞれチェック
現在2000弱くら
いのアクション
が存在...
(C) Recruit Technologies Co.,Ltd. All rights reserved.
20
 各リスクを洗い出しておくことで、起こりうる事象を明確にすることができま
す
 しかし何しろ数が多いので、見直しだけで1週間...
(C) Recruit Technologies Co.,Ltd. All rights reserved.
21
security group
security group
xxx.xxx.xxx tcp port○○
0.0.0.0/0 h...
(C) Recruit Technologies Co.,Ltd. All rights reserved.
22
許可していない業務外のログ
インがないかをチェック
 システム管理者権限を持つ人の作業も監査を実施
休日のため、本来ログイン
...
(C) Recruit Technologies Co.,Ltd. All rights reserved.
ここまでは結構普通だと思うのですが
数の力による運用増大というのがありまして
23
(C) Recruit Technologies Co.,Ltd. All rights reserved.
24
基本構成1サイト ≒ 1アカウント ~
Elastic Load
Balancing
VPC Subnet VPC Subnet...
(C) Recruit Technologies Co.,Ltd. All rights reserved.
ユーザーは ×5? 10?
25
(C) Recruit Technologies Co.,Ltd. All rights reserved.
インフラT
1回作業するのに2か月×?
26
リスト送付
各利用者
(承認者によるクリーニング)
クリーニング
ユーザー一覧抽出
(C...
(C) Recruit Technologies Co.,Ltd. All rights reserved.
27
• rootアカウントはMFA
• rootのキーは発行しない、使わない
• 通常運用にはIAMを利用する
• IAMの権限は必...
(C) Recruit Technologies Co.,Ltd. All rights reserved.
すみません、地味な内容で
28
(C) Recruit Technologies Co.,Ltd. All rights reserved.
社内規程が既にある
執行側としてはシステム上必要なものは
用意する
しかし最後は運用が大事!!!
良いものを入れても業務設計ができてい...
(C) Recruit Technologies Co.,Ltd. All rights reserved.
どちらも満たしたインフラを!
30
利用サイド セキュリティ
サイド
(C) Recruit Technologies Co.,Ltd. All rights reserved.
数が増えることで比例的に増える
運用については
是非この先に議論できれば幸いです
ありがとうございました
31
出演:リクルートテクノ...
Upcoming SlideShare
Loading in …5
×

AWSでのセキュリティ運用 ~ IAM,VPCその他

3,656 views

Published on

2016/05/17 AWSユーザー会(Security-JAWS 第1回)での、宮崎の講演資料になります

Published in: Technology

AWSでのセキュリティ運用 ~ IAM,VPCその他

  1. 1. AWSでのセキュリティ運用 IAM,VPCその他 2016年5月17日
  2. 2. (C) Recruit Technologies Co.,Ltd. All rights reserved. 自己紹介 2 宮崎 幸恵 (みやざき さちえ) 株式会社リクルートテクノロジーズ ITソリューション統括部 2011年のリクルート入社以来(希望はしていない)クラウド一筋 JAWS登壇はたまに... • 2014/3 JAWS DAYS2014 • 2014/6 クラウド女子会 (伝説?の学園もののときです。体育の先生にな ろうと思ってジャージで登壇) • (2015年はAWS Summitに登壇していました)
  3. 3. (C) Recruit Technologies Co.,Ltd. All rights reserved. 業務内容 この場にいてなんですが… いわゆるよく言われるセキュリティ業務をやっているわけで はないのです 3 • 社内のシステム向けセキュリティ規程を定める • 規程が守られているかどうかを定期的に監査する • CSIRT • 脆弱性検査 • セキュリティの教育講座開催 別の会社&別の部署 別の会社&別の部署 別の部署 別の会社 別の会社&別の部署
  4. 4. (C) Recruit Technologies Co.,Ltd. All rights reserved. 業務内容 4 リクルートキャリア リクルートジョブズ リクルートスタッフィング リクルート住まいカンパニー リクルートライフスタイル リクルートマーケティングパートナーズ スタッフサービス・ホールディングス リクルートアドミニストレーション リクルートコミュニケーションズ 事業会社 機能会社 リクルート ホールディングス リクルートグループとは、 主要7事業会社+3機能会社 で構成されるグループ企業群 ネットインフラ 大規模プロジェクト推進 UXD/SEO ビッグデータ機能 テクノロジーR&D 事業・社内IT推進 セキュリティAP基盤・オフショア開発 オンプレミス基盤 社内インフラ クラウド基盤
  5. 5. (C) Recruit Technologies Co.,Ltd. All rights reserved. 業務内容 5 5 5(C) Recruit Technologies Co.,Ltd. All rights reserved. Bサイト 共通機能 ※踏み台、LDAP、VPN機器、監視サーバ…etc クラウド基盤 CサイトBサイト ・・・・・ 分類 機能 説明 ネットワーク オンプレミス環境との接続 オンプレミスとの専用回線によるセキュアな接続 セキュリティ 認証/ID管理/ログ保管 サーバへの個人認証、操作ログ取得、ID管理機能を提供 運用 監視/モニタリング他 監視機能、モニタリング等いくつかのツールの提供を実施 ライセンス提供・管理 商用MWのライセンス提供 コスト 一括請求管理・社内課金管理 AWSへの支払の取りまとめと社内への利用額振り分け これらの諸々の 管理運用が業務範囲 クラウドのメリットを活かしつつ、 最低限必要なセキュリティ担保と運用の ための共通機能を提供するスタイル
  6. 6. (C) Recruit Technologies Co.,Ltd. All rights reserved. 業務内容 なんですが、気づいたらクラウドのセキュリティの人みたい になっていた… 6 もっと自由なイ ンフラが使いた い! ログとかはとっ といてくれるん でしょ セキュリティ規 程の監査で質問 が ここのセキュリ ティの規程にか かわる実装どう なってんの? IDクリーニング の結果一覧提出 よろしく 事故らしいけど 操作ログの調査 お願い 開発会社に何を してもらえばい いのかわからな い FWのログとって るよね?内容に ついて教えて 操作権限もっと 絞れないの? このサービス使 いたいんだけど セキュリティが 心配… 利 用 サ イ ド セ キ ュ リ テ ィ サ イ ド ※各コメントは実際のものではありません
  7. 7. (C) Recruit Technologies Co.,Ltd. All rights reserved. 業務内容 AWS 責任共有モデルでCustomerがやるべき範囲の一部を 持っている状態 7 ・rootアカウント管理 ・ログインID管理 ・定期IDクリーニング ・ネットワーク設定 ・監視・バックアップ・モニ タリング提供
  8. 8. (C) Recruit Technologies Co.,Ltd. All rights reserved. 業務内容 社内にあるオンプレミス基盤の運用と比較してみると…. 8 オンプレミス基盤管理/運用主体 クラウド基盤 アプリケーション フレームワーク ミドルウェア OS サーバ ストレージ ネットワーク DCファシリティ アプリチーム (事業会社) インフラチーム AWS インフラチーム インフラチーム AWS アプリチーム (事業会社)
  9. 9. (C) Recruit Technologies Co.,Ltd. All rights reserved. 結局なにをやっているのか? 決められたセキュリティの規程に従って、クラウド のインフラ運用を執行する業務を担っています 本日はその中での事例をお話します 9
  10. 10. (C) Recruit Technologies Co.,Ltd. All rights reserved. 10 セキュリティ 規程  パブリッククラウド向けの規程な どはなく、原則すべての社内シス テムが同じセキュリティの規程に 従っています  DCの要件等はAWSの範囲なので、 多少検討事項が少ないかも 実は社内規程に対応すれば大体のことはOK
  11. 11. (C) Recruit Technologies Co.,Ltd. All rights reserved. 例えば… 11 • rootアカウントはMFA • rootのキーは発行しない、使わない • 通常運用にはIAMを利用する • IAMの権限は必要なものだけにする • ログインユーザーは必ず個人ごとに作成する • ユーザーのクリーニングを定期的に実施する • フェデレーションによるログインIDの一元管理 • セキュリティグループが適切に設定されているかを監査する • VPCを使う • パブリックサブネットとプライベートサブネットを適切に設定する • 社内環境からプライベート接続をする • MWバージョンの管理 • 変更監視 • 操作ログの監査 etc...
  12. 12. (C) Recruit Technologies Co.,Ltd. All rights reserved. ログインユーザーはLDAPで統一管理 12 Management Console SSH踏み台(OTP実装) サイトA ユーザ サイトB アイデンティティ プロバイダ(IdP) ユーザ管理 (LDAP) ・ ・ ・ (※盛っています)
  13. 13. (C) Recruit Technologies Co.,Ltd. All rights reserved. クリーニング クリーニング クリーニング クリーニング クリーニング クリーニング クリーニング 13
  14. 14. (C) Recruit Technologies Co.,Ltd. All rights reserved. 14 各アカウントで適切なユーザーが 登録されており、必要な権限に なっているかどうか 一定期間ログインがない場合はな ぜID必要なのかを説明いただく 最終ログイン日 をチェックして います 各アカウントご とにユーザーを リスト化してい ます 削除維持 必要と判断 不要と判断 速やかに削除し ます 一定期間で 繰り返し 最終結果を監査 部署に提出
  15. 15. (C) Recruit Technologies Co.,Ltd. All rights reserved.  各サービスは社員だけでなく外部の開発パートナ様や、制作会社様、ベンダ様 など多数の方々が関係しています  利用ユーザーの追加は忘れませんが(追加しないと使えないので)削除はしば しば忘れられます  人事情報と連携させたとしてもすべての利用ユーザーを網羅できないと考え ると、クリーニング作業はとてつもなく地味ですが有効だと言わざるを得ま せん  さらに別の監査部署のチェックを受けることで、クリーニングを実施してい る自チーム(インフラ管理者)も例外なく平等に扱われます 15
  16. 16. (C) Recruit Technologies Co.,Ltd. All rights reserved. IAMの機能は何か使っているのか 16 クリーニングの中ではほとんど 使っていません  ユーザー一覧、最終ログイン日など必要な情報は基本 的にLDAPからとっています
  17. 17. (C) Recruit Technologies Co.,Ltd. All rights reserved. ではセキュリティの文脈でIAMの機能を一番使って いるのは何か 17 適切な権限を設定する、リソー スを制限する
  18. 18. (C) Recruit Technologies Co.,Ltd. All rights reserved. 18 security group security group  規程に照らし合わせて不適切なルールを削除する仕組み APIサーバー APIサーバのみでキーを 利用できるようにリソー ス制限 xxx.xxx.xxx tcp port○○ 0.0.0.0/0 http 80 xxx.xxx.xxx tcp port○○
  19. 19. (C) Recruit Technologies Co.,Ltd. All rights reserved. 19  どの権限をリスクと判断するか AWSのサービス毎のアク ションをそれぞれチェック 現在2000弱くら いのアクション が存在します セキュリティのリスクとな るアクションはどれかを判 別していく 権限設計の見直し
  20. 20. (C) Recruit Technologies Co.,Ltd. All rights reserved. 20  各リスクを洗い出しておくことで、起こりうる事象を明確にすることができま す  しかし何しろ数が多いので、見直しだけで1週間くらいかかります  とても大変…  弊社での判断のよりどころはセキュリティの規程ですが、見直しの際に判断 が変わる場合もあります
  21. 21. (C) Recruit Technologies Co.,Ltd. All rights reserved. 21 security group security group xxx.xxx.xxx tcp port○○ 0.0.0.0/0 http 80 0.0.0.0/0 http 80 xxx.xxx.xxx tcp port○○ 共通機能(ルーターや踏み台な ど)として運用しているシステ ムはセキュリティグループを 変更するとメールがきます  システム管理者権限を持つ人の作業も監査を実施
  22. 22. (C) Recruit Technologies Co.,Ltd. All rights reserved. 22 許可していない業務外のログ インがないかをチェック  システム管理者権限を持つ人の作業も監査を実施 休日のため、本来ログイン はないはず
  23. 23. (C) Recruit Technologies Co.,Ltd. All rights reserved. ここまでは結構普通だと思うのですが 数の力による運用増大というのがありまして 23
  24. 24. (C) Recruit Technologies Co.,Ltd. All rights reserved. 24 基本構成1サイト ≒ 1アカウント ~ Elastic Load Balancing VPC Subnet VPC Subnet × 70以上…. × 200以上….
  25. 25. (C) Recruit Technologies Co.,Ltd. All rights reserved. ユーザーは ×5? 10? 25
  26. 26. (C) Recruit Technologies Co.,Ltd. All rights reserved. インフラT 1回作業するのに2か月×? 26 リスト送付 各利用者 (承認者によるクリーニング) クリーニング ユーザー一覧抽出 (CSV) 削除一覧リスト作成 クリーニング作業実施 証跡とりまとめ リスト加工 (各サイトの承認者と 突き合わせ) メール 1か月弱 概ね半月(返答待ち期間) ここで1週間ここで1週間~ 事前 準備 証跡 提出
  27. 27. (C) Recruit Technologies Co.,Ltd. All rights reserved. 27 • rootアカウントはMFA • rootのキーは発行しない、使わない • 通常運用にはIAMを利用する • IAMの権限は必要なものだけにする • ログインユーザーは必ず個人ごとに作成する • ユーザーのクリーニングを定期的に実施する • フェデレーションによるログインIDの一元管理 • セキュリティグループが適切に設定されているかを監査する • VPCを使う • パブリックサブネットとプライベートサブネットを適切に設定する • 社内環境からプライベート接続をする • MWバージョンの管理 • 変更監視 • 操作ログの監査 etc... 管理はまあ大変 運用での対応。そうでもない 運用での対応。そうでもない 大変 運用での対応。そうでもない 大変 運用での対応。そうでもない 運用での対応。 運用での対応。 運用での対応。 最初だけ 自らが管理者として 悩み中
  28. 28. (C) Recruit Technologies Co.,Ltd. All rights reserved. すみません、地味な内容で 28
  29. 29. (C) Recruit Technologies Co.,Ltd. All rights reserved. 社内規程が既にある 執行側としてはシステム上必要なものは 用意する しかし最後は運用が大事!!! 良いものを入れても業務設計ができてい なければ意味がない 29
  30. 30. (C) Recruit Technologies Co.,Ltd. All rights reserved. どちらも満たしたインフラを! 30 利用サイド セキュリティ サイド
  31. 31. (C) Recruit Technologies Co.,Ltd. All rights reserved. 数が増えることで比例的に増える 運用については 是非この先に議論できれば幸いです ありがとうございました 31 出演:リクルートテクノロジーズ 非公式キャラクター テックル

×