Akio Katayama, profile picture
Uploaded byAkio Katayama
95,956 views

AWSの共有責任モデル(shared responsibility model)

2013/2/16にJAWS-UG横浜で発表した資料です。

Embed presentation

Downloaded 478 times
AWSの共有責任モデル (Shared Responsibility Model) アマゾンデータサービスジャパン株式会社 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
自己紹介 • 片山 暁雄 – アマゾンデータサービスジャパン – 技術統括本部 エンタープライズソリューション部 – 部長/ソリューションアーキテクト • Twitter – @c9katayama – #ヤマン • 好きなAWSサービス – IAM(Identity and Access Management) • 好きな第三者認証 – PCI-DSS © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
AWS クラウドデザインパターン 実装ガイド • 設計ガイドに続く第二弾 • 実装手順を画面に沿って解説 – コンテンツ配信 – Eコマース – キャンペーンサイト • アカウント作成/基本操作も網羅 • ハンズオンにも最適! © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
Back Net Pattern Ondemand NAT Pattern WAF Proxy Pattern Operational Firewall Pattern Functional Firewall Pattern © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
Agenda 1 AWSのセキュリティ方針 2 AWS側のセキュリティ 3 AWS利用者側のセキュリティ 5 Copyright ©2012 Amazon Web Services.Inc
AWSの セキュリティ 方針 @aes256 6
AWSのセキュリティ方針 • AWSクラウドのセキュリティ – セキュリティはAWSにおいて最優先されるべき事項 – セキュリティに対する継続的な投資 – セキュリティ専門部隊の設置 • 共有責任モデルの採用 – AWSと利用者の2者でセキュリティを確保 7 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
共有責任モデル • OS • OSファイアウォール • アプリケーション • ネットワーク設定 • セキュリティグループ • アカウント管理 • ファシリティ • ネットワークインフラ • 物理セキュリティ • 仮想インフラ • 物理インフラ 8 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
AWS側の セキュリティ 9
AWSにおけるクラウドセキュリティ概要 認定 & 認証評価 セキュリティ責任共有モデル SOX法 Customer/SI Partner/ISV がゲストOS ISO 27001 認定 レベルのセキュリティを制御(パッチ運 用や運用管理含む) PCI DSS Level I 認定 パスワード管理やロールベースのアクセ HIPAA 準拠アーキテクチャ ス権管理を含むアプリケーションレベル SOC 1/SSAE 16/ISAE 3402/SOC 2 のセキュリティ FISMA Low ATO 侵入検知/回避システムを含むホストベ  FISMA Moderate ATO 申請中 ースのファイアウォール  DIACAP MAC II Sensitive 申請中 データの暗号化/複合化. ハードウェアセ  FedRAMP キュリティモジュール サービスヘルスダッシュボード アクセス権の分離 物理セキュリティ VMセキュリティ ネットワークセキュリティ 複数レベル、複数要素による制御されて Amazonアカウントへの多要素認証によ セキュリティグループ設定によるインス いるアクセス環境 るアクセス タンス毎のファイアウォール設定が可能 管理され必要性に応じたAWS従業員によ インスタンスの隔離 トラフィックはプロトコル、サービスポ るアクセス(必要最小限) • ハイパバイザレベルでの顧客に ート、ソースIPによって制限できる (個 管理者層による管理者権限アクセス よるファイアウォールの制御 別IPまたはindividual IP or Classless 隣にあるインスタンスへのアク Inter-Domain Routing (CIDR)ブロッ 管理ホストへの多要素認証で、管理され • セスは許可されていない ク). 必要性に応じたアクセス 仮想ディスクの管理レイヤがア Virtual Private Cloud (VPC) により、 全てのアクセスのログ収集、監視、そし • カウントのオーナだけがストレ 既存エンタープライズデータセンターと てレビュー ージ(EBS)にアクセスすること 論理的に隔離された複数のAWSリソース AWS管理者は顧客VMの中、アプリケー との間にIPSec VPNでアクセス可能 ションとそのデータなどにはアクセスす を保証する る権限をもたない APIコールの暗号化のためのエンドポイ ントのSSLサポート 2012/11/15 update 10 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
• 物理セキュリティ • ネットワークセキュリティ • VMセキュリティ • 管理者層による管理者権限アクセス • 認定 & 認証評価 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
• 物理セキュリティ • ネットワークセキュリティ • VMセキュリティ • 管理者層による管理者権限アクセス • 認定 & 認証評価 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
物理セキュリティ • Amazonは数年間にわたり、大規模なデータセンターを 構築 • 重要な特性: – 場所の秘匿 – 周囲の厳重な制御 – 物理アクセスの厳密なコントロール – 2要素認証を2回以上でアクセス • 完全管理された、必要性に基づくアクセス • 全てのアクセスはロギングされ、チェックされる • 職務の分離 – 物理アクセス可能な従業員は論理権限にアクセス不可 13 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
データセンター設置時のポリシー • 各データセンターは物理的に隔離 • 洪水面を考慮 • 地盤が安定している場所 • 無停止電源(UPS)、バックアップ電源、異なる電源供 給元の確保 • 冗長化されたTier-1ネットワークの接続 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
ストレージの破棄 • データ消去方法 – DoD 5220.22-M(米国国防総省方式) • 3回の書き込みでの消去を実施 • 固定値→補数→乱数 – NIST 800-88(媒体サニタイズに関するガイドライン) • 情報処分に対する体制、運営やライフサイクルに関するガイドライ ン • 情報処分に対しする組織的に取り組み • 物理的に故障した場合は、消磁および破壊を実施して破棄していま す。 • 参考: http://www.ipa.go.jp/security/publications/nist/documents/S P800-88_J.pdf © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
• 物理セキュリティ • ネットワークセキュリティ • VMセキュリティ • 管理者層による管理者権限アクセス • 認定 & 認証評価 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
ネットワークセキュリティ • DDoS (Distributed Denial of Service): – 標準的な緩和技術を施行 • MITM (Man in the Middle): – 全てのエンドポイントはSSLによって保護 – EC2のホストキーはブート毎に生成され更新 • IPスプーフィング: – ホストOSレベルで不許可 • 許可されていないポートスキャン: – AWSサービス利用規約違反に該当 – 検知され、停止され、ブロックされる – インバウンドポートはデフォルトでブロックされているため、事実上無効 • パケット・スニッフィング: – プロミスキャス・モードは不許可 17 – ハイパーバイザーレベルで制御 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
ネットワークトラフィックフローセキュリティ • セキュリティグループ • インバウンドのトラフィックはプロトコ ル、ポート、セキュリティグループによ り明示的に指定。 • VPCはアウトバウンドのフィルタも追加 する • ネットワークACL: Security Group OS Firewall Network ACL • VPC はインバウンドとアウトバウン ドのステートレスフィルタも追加す る • サブネット・ルーティングテー ブル・ゲートウェイ: • VPCで作成可能 • これらの機能を提供 18 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
多階層セキュリティアプローチの実例 Web Tier Application Tier Database Tier 80または443ポート のみをインターネッ ト側で受け付ける エンジニアがAP層にssh アクセスを行う オンプレミスDBとの同期 Amazon EC2 Security Group Firewall その他のインターネット経由の アクセスは全てデフォルトで拒否 19 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
• 物理セキュリティ • ネットワークセキュリティ • VMセキュリティ • 管理者層による管理者権限アクセス • 認定 & 認証評価 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
Amazon EC2のインスタンス独立性 Customer 1 Customer 2 … Customer n Hypervisor Virtual Interfaces Customer 1 Security Groups Customer 2 Security Groups … Customer n Security Groups Firewall Physical Interfaces 21 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
VMセキュリティ • ハイパーバイザー(ホストOS) – AWS管理者の拠点ホストからの個別のSSHキーによるログイン – 全てのアクセスはロギングされ、監査されます • Firewall – AWS利用者設定に従い、トラフィックをコントロール – 設定しない通信は不可 • ゲストOS(EC2インスタンス) – 顧客による完全なコントロール (顧客がルート/管理者権限を保有) – AWS管理者はログイン不可能 – 顧客が生成したいキーペアを使用 22 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
仮想メモリとローカルディスク • AWSのディスク管理により、 あるインスタンスがその他 のインスタンスのデータを 読み取るのを防護 • ディスクは作成されるたび にワイプされる Encrypted File System Encrypted Swap File • ディスクはAWS利用者が自 由にフォーマット可(暗号 化が可能) 23 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
• 物理セキュリティ • ネットワークセキュリティ • VMセキュリティ • 管理者層による管理者権限アクセス • 認定 & 認証評価 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
管理者権限アクセス・変更管理 • AWSサービスに対する全ての変更は、社内システムで管 理されます – 認証 – ロギング – テスト – 承認 • 職務の分離 – 物理アクセス可能な従業員は論理権限にアクセス不可 • 顧客に影響を与えないよう、影響範囲を確認しながら段 階的にデプロイされます 25 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
• 物理セキュリティ • ネットワークセキュリティ • VMセキュリティ • 管理者層による管理者権限アクセス • 認定 & 認証評価 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
レポート、認定、第三者認証 • AWSは以下のような第三者認証を取得済み – SSAE 16/ISAE 3402基準、SOC1レポート(旧SAS70) – SOC2レポート – ISO 27001 Certification – PCI DSS Level 1 Service Provider Certified – FISMA moderate – Sarbanes-Oxley (SOX) • AWSにシステムをデプロイし、第三者認証を取得する ことも可能 – HIPAA (医療関係) – ASP・SaaS安全・信頼性に係る情報開示認定制度 27 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
SSAE16/ISAE3402 SOC1レポート • AWSの内部統制に関する保証報告書 • AWSの各サービスにおけるセキュリティ、変更管理、 運用等の情報を保証報告書という形式でお客様に提供 • NDAベースでSOC1レポートをご提示可能 28 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
SOC 1 Type II – Control Objectives • Control Objective 1: セキュリティ組織、体制 • Control Objective 2: 従業員の雇用ライフサイクル • Control Objective 3: 論理的なセキュリティ • Control Objective 4: 安全なデータの取り扱い • Control Objective 5: 物理的なセキュリティ • Control Objective 6: 環境的なセーフガード • Control Objective 7: 変更管理 • Control Objective 8: データの完全性、可用性、冗長性 • Control Objective 9: インシデント管理 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
SOC2レポート • 受託会社の財務報告に関連する内部統制以外の要望に 応えるための報告書 • Trustサービスの基準に従って客観的に評価 – セキュリティ – 可用性 – 処理のインテグリティ – 機密保持 – 個人情報の保護(プライバシー) • AWSのセキュリティに関して透明性をもたらす内容 30 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
PCI DSS Level1 Service Provider • PCI DSS 2.0 コンプライアンス準拠 • コアなインフラストラクチャとサービスをカバー – EC2, EBS, S3, VPC, RDS, ELB, IAM • 標準で、特に変更のない設定を使用して認定 • 認定セキュリティ評価機関(QSA)のタスクを利用 • AWSはビジネスでの利用が可能で、Qualified Incident Response Assessors (QIRA)として設計 – フォレンジック調査をサポートする事が可能 • 全てのリージョンで認定 • アップデートはこちらをご覧ください。 – http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/ 31 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
AWS側のセキュリティのまとめ • セキュリティはトッププライオリティ事項 • AWS責任範囲は、物理論理問わず徹底し た対策を実施 • 実施内容を裏付ける第三者認証も取得 • AWS利用者は、責任部分だけに作業を集 中できる © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
セキュリティに関する情報の提供 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
AWS Security Center (http://aws.amazon.com/security/) • セキュリティホワイトペーパー • セキュリティとプライバシーの回答 • 半年に1度アップデート • セキュリティ速報 • 顧客によるペネトレーションテストのポリシ • セキュリティベストプラクティス • AWS Identity & Access Management (AWS IAM) • AWS Multi-Factor Authentication (AWS MFA) 34 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
35 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
CSA-Consensus Assesments Initiative Questionnaire- • CSA Consensus Assessments Initiative Questionnaire には、クラウド使用者およびクラウド 監査人がクラウドプロバイダに要求すると CSA が想 定している質問を記載。クラウドプロバイダの選択や セキュリティの評価など、幅広い用途に使用可能。 • セキュリティ、統制、およびプロセスに関する一連の 質問にAWSは回答済み。 *CSAの詳細はhttp://aws.amazon.com/jp/security/ AWS リスクとコンプライアンスのホワイトペーパーを参照 36 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
金融機関向けAWS対応セキュリティリファレンス • FISC安全対策基準(第8版)へのAWSの準拠状況を調査した資料を一 般公開 • SCSK、NRI(野村総合研究所)、ISID(電通国際情報サービス)3社が共 同で調査。AWSも調査に協力 • AWSと利用者で責任分担することで、FISC安対基準を満たせるとの 見解 37 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
AWS利用者側の セキュリティ 38
責任共有モデル • OS • OSファイアウォール • アプリケーション • ネットワーク設定 • セキュリティグループ • アカウント管理 • ファシリティ 今までのセキュリティ • ネットワークインフラ • 物理セキュリティ ポリシーを実装できる • 仮想インフラ • 物理インフラ 39 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
AWS独自ですべきセキュリティ対策 • Amazon VPC(Virtual Privete Cloud)の利用 • MFA(Muti Factor Authentication)デバイスの利用 • IAM(Identity and Access Management)の利用 40 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
Amazon VPC • AWS上に、好きなネットワーク体系の論理的なネット ワークを構築できるサービス – ネットワーク上にEC2等のAWSサービスを配備 41 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
VPCでしか使えないもの • セキュリティグループ – インバウンドとアウトバウンド両方の指定 – セキュリティグループの動的な追加/削除 • ネットワークACL – セキュリティグループに加え、ステートレスなフィルターを使用 可能 • ENI(Elastic Network Interface) – EC2に追加のネットワークカードを付与 • VPN/専用線接続 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
VPCでしか使えないもの • セキュリティグループ – インバウンドとアウトバウンド両方の指定 – セキュリティグループの動的な追加/削除 VPC != VPN • ネットワークACL – セキュリティグループに加え、ステートレスなフィルターを使用 VPN接続や専用線接続を使用しなくて 可能 • も、VPCを利用したほうが利点が多い ENI(Elastic Network Interface) – EC2に追加のネットワークカードを付与 • VPN/専用線接続 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
MFAデバイスの利用 • AWSマネジメントコンソールは守るべき対象 • MFAを使うと、ログイン時に、ユーザーID、パスワード の他に、デバイスに表示される数値を入力して認証する • S3の削除時や、APIコール時にも利用可能 – S3 delete protection, MFA protected API call © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
AWS Identity and Access Management (IAM) • AWSを操作するためのユーザとグループの作成 • 各グループ・ユーザーごとに、操作権限の付与が可能 • 例えば「EC2の停止ができないユーザー」が作れる • ユーザーごとにID/Passwordなどの認証情報を発行でき る • MFAもユーザーごとに設定可能 • AWS SDKをEC2上で使用する場合は、「IAM Role」を 使用可能 • EC2に認証情報を置かずにAPIコールが可能に 45 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
まとめ
共有責任モデル • OS • OSファイアウォール • アプリケーション • ネットワーク設定 • セキュリティグループ • アカウント管理 • ファシリティ • ネットワークインフラ • 物理セキュリティ • 仮想インフラ • 物理インフラ 47 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
共有責任モデル • OS • OSファイアウォール • アプリケーション • ネットワーク設定 ・共有責任モデルを理解し、必要なところだけに注力する • セキュリティグループ • アカウント管理 ・既存のセキュリティポリシーを適用 ・AWS独自部分は、提供機能をしっかり利用 • ファシリティ • ネットワークインフラ • 物理セキュリティ • 仮想インフラ • 物理インフラ 48 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
49 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

More Related Content

PDF
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
byAmazon Web Services Japan
 
PDF
AWS Black Belt Online Seminar AWS Direct Connect
byAmazon Web Services Japan
 
PDF
20210526 AWS Expert Online マルチアカウント管理の基本
byAmazon Web Services Japan
 
PDF
AWS WAF を活用しよう
byYuto Ichikawa
 
PDF
20190320 AWS Black Belt Online Seminar Amazon EBS
byAmazon Web Services Japan
 
PDF
AWSで実現するバックアップとディザスタリカバリ
byAmazon Web Services Japan
 
PDF
20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続
byAmazon Web Services Japan
 
PDF
The Twelve-Factor Appで考えるAWSのサービス開発
byAmazon Web Services Japan
 
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
byAmazon Web Services Japan
 
AWS Black Belt Online Seminar AWS Direct Connect
byAmazon Web Services Japan
 
20210526 AWS Expert Online マルチアカウント管理の基本
byAmazon Web Services Japan
 
AWS WAF を活用しよう
byYuto Ichikawa
 
20190320 AWS Black Belt Online Seminar Amazon EBS
byAmazon Web Services Japan
 
AWSで実現するバックアップとディザスタリカバリ
byAmazon Web Services Japan
 
20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続
byAmazon Web Services Japan
 
The Twelve-Factor Appで考えるAWSのサービス開発
byAmazon Web Services Japan
 

What's hot

PPTX
DeNA の AWS アカウント管理とセキュリティ監査自動化
byDeNA
 
PDF
20190911 AWS Black Belt Online Seminar AWS Batch
byAmazon Web Services Japan
 
PDF
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
byAmazon Web Services Japan
 
PDF
20200811 AWS Black Belt Online Seminar CloudEndure
byAmazon Web Services Japan
 
PDF
AWS IoTにおけるデバイスへの認証情報のプロビジョニング
byAmazon Web Services Japan
 
PDF
20191218 AWS Black Belt Online Seminar AWSのマネジメント&ガバナンス サービスアップデート
byAmazon Web Services Japan
 
PDF
EC2のストレージどう使う? -Instance Storageを理解して高速IOを上手に活用!-
byYuta Imai
 
PDF
AWS Black Belt Techシリーズ AWS Directory Service
byAmazon Web Services Japan
 
PDF
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
byAmazon Web Services Japan
 
PDF
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
byAmazon Web Services Japan
 
PDF
AWS Black Belt Techシリーズ AWS Direct Connect
byAmazon Web Services Japan
 
PPTX
Glue DataBrewでデータをクリーニング、加工してみよう
bytakeshi suto
 
PPTX
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
byYusuke Kodama
 
PDF
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
byAmazon Web Services Japan
 
PDF
20190731 Black Belt Online Seminar Amazon ECS Deep Dive
byAmazon Web Services Japan
 
PPTX
[入門編] はじめてのIoT!Azureのサービスを使ってIoTのデータを取得しよう
bySuguru Ito
 
PDF
20210126 AWS Black Belt Online Seminar AWS CodeDeploy
byAmazon Web Services Japan
 
PDF
20200128 AWS Black Belt Online Seminar Amazon Forecast
byAmazon Web Services Japan
 
PDF
AWS Black Belt - AWS Glue
byAmazon Web Services Japan
 
PDF
AWS Black Belt Online Seminar 2016 AWS CloudFormation
byAmazon Web Services Japan
 
DeNA の AWS アカウント管理とセキュリティ監査自動化
byDeNA
 
20190911 AWS Black Belt Online Seminar AWS Batch
byAmazon Web Services Japan
 
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
byAmazon Web Services Japan
 
20200811 AWS Black Belt Online Seminar CloudEndure
byAmazon Web Services Japan
 
AWS IoTにおけるデバイスへの認証情報のプロビジョニング
byAmazon Web Services Japan
 
20191218 AWS Black Belt Online Seminar AWSのマネジメント&ガバナンス サービスアップデート
byAmazon Web Services Japan
 
EC2のストレージどう使う? -Instance Storageを理解して高速IOを上手に活用!-
byYuta Imai
 
AWS Black Belt Techシリーズ AWS Directory Service
byAmazon Web Services Japan
 
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
byAmazon Web Services Japan
 
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
byAmazon Web Services Japan
 
AWS Black Belt Techシリーズ AWS Direct Connect
byAmazon Web Services Japan
 
Glue DataBrewでデータをクリーニング、加工してみよう
bytakeshi suto
 
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
byYusuke Kodama
 
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
byAmazon Web Services Japan
 
20190731 Black Belt Online Seminar Amazon ECS Deep Dive
byAmazon Web Services Japan
 
[入門編] はじめてのIoT!Azureのサービスを使ってIoTのデータを取得しよう
bySuguru Ito
 
20210126 AWS Black Belt Online Seminar AWS CodeDeploy
byAmazon Web Services Japan
 
20200128 AWS Black Belt Online Seminar Amazon Forecast
byAmazon Web Services Japan
 
AWS Black Belt - AWS Glue
byAmazon Web Services Japan
 
AWS Black Belt Online Seminar 2016 AWS CloudFormation
byAmazon Web Services Japan
 

Viewers also liked

PDF
セキュリティを捉えてクラウドを使うためのポイント
byYasuhiro Araki, Ph.D
 
PDF
AWS Black Belt Tech シリーズ 2016 - Amazon CloudFront
byAmazon Web Services Japan
 
PDF
AWS Black Belt Tech シリーズ 2015 - Amazon EC2 スポットインスタンス & Auto Scaling
byAmazon Web Services Japan
 
PDF
AWS Black Belt Online Seminar 2016 Amazon VPC
byAmazon Web Services Japan
 
PDF
AWS初心者向けWebinar AWSにおけるセキュリティとコンプライアンス
byAmazon Web Services Japan
 
PDF
AWS初心者向けWebinar AWS上でのDDoS対策
byAmazon Web Services Japan
 
PPTX
AWS Black Belt Online Seminar 2016 Amazon EC2 Spot Instances(スポットインスタンス)
byAmazon Web Services Japan
 
PDF
AWS Black Belt Techシリーズ AWS IAM
byAmazon Web Services Japan
 
PDF
Black Belt Online Seminar AWS Amazon RDS
byAmazon Web Services Japan
 
PDF
Black Belt Online Seminar AWS Amazon S3
byAmazon Web Services Japan
 
PDF
AWS Black Belt Online Seminar 2017 Auto Scaling
byAmazon Web Services Japan
 
セキュリティを捉えてクラウドを使うためのポイント
byYasuhiro Araki, Ph.D
 
AWS Black Belt Tech シリーズ 2016 - Amazon CloudFront
byAmazon Web Services Japan
 
AWS Black Belt Tech シリーズ 2015 - Amazon EC2 スポットインスタンス & Auto Scaling
byAmazon Web Services Japan
 
AWS Black Belt Online Seminar 2016 Amazon VPC
byAmazon Web Services Japan
 
AWS初心者向けWebinar AWSにおけるセキュリティとコンプライアンス
byAmazon Web Services Japan
 
AWS初心者向けWebinar AWS上でのDDoS対策
byAmazon Web Services Japan
 
AWS Black Belt Online Seminar 2016 Amazon EC2 Spot Instances(スポットインスタンス)
byAmazon Web Services Japan
 
AWS Black Belt Techシリーズ AWS IAM
byAmazon Web Services Japan
 
Black Belt Online Seminar AWS Amazon RDS
byAmazon Web Services Japan
 
Black Belt Online Seminar AWS Amazon S3
byAmazon Web Services Japan
 
AWS Black Belt Online Seminar 2017 Auto Scaling
byAmazon Web Services Japan
 

Similar to AWSの共有責任モデル(shared responsibility model)

PDF
[AWS Summit 2012] ソリューションセッション#5 AWSで構築する仮想プライベートクラウド
byAmazon Web Services Japan
 
PDF
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
byAmazon Web Services Japan
 
PDF
110421講演資料「クラウド時代の事業継続に必要なインフラとは」(福岡ruby・コンテンツ産業振興センター)
byniftycloud
 
PDF
Amazon VPCトレーニング-VPCの説明
byAmazon Web Services Japan
 
PPTX
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
byjunichi anno
 
PDF
仮想サーバーEC2 & EBS詳細 -ほぼ週刊AWSマイスターシリーズ "Reloaded"-
bySORACOM, INC
 
PDF
クラウドリファレンスアーキテクチャレイヤーマップV1.0ポスター
byDaisuke Kawada
 
PDF
事業継続性と運用弾力性に配慮したクラウドリファレンスアーキテクチャV1.0 final
byDaisuke Kawada
 
PDF
20120303 jaws summit-meister-01_ec2-ebs
byAmazon Web Services Japan
 
PDF
BIGLOBEクラウドホスティング新機能ご紹介
byビジネスBIGLOBE
 
PDF
[Modern Cloud Day Tokyo 2019] ゼロから再設計したOracle Cloudのデータ保護戦略~7つの原則とその実装
byオラクルエンジニア通信
 
PDF
Amazon Web Servicesのご紹介 - 東北クラウド実践カンファレンス2011
bySORACOM, INC
 
PDF
AWS and PCI DSS
byKameda Harunobu
 
PDF
[AWSマイスターシリーズ] Amazon VPC
byAmazon Web Services Japan
 
PDF
【セミナー講演資料】オープンクラウドソリューションのご紹介
byNissho-Blocks
 
PDF
20111109 07 aws-meister-vpc-public
byAmazon Web Services Japan
 
PDF
Awsビギナー向け資料 ec2 20111124
bysatoshi
 
PDF
AWSでセキュリティを高める!
byServerworks Co.,Ltd.
 
PDF
いよいよ SAP Business Suite 正式サポート! SAP on AWS
byMasaru Hiroki
 
PDF
20120123 aws meister-reloaded-ec2&ebs-public
byAmazon Web Services Japan
 
[AWS Summit 2012] ソリューションセッション#5 AWSで構築する仮想プライベートクラウド
byAmazon Web Services Japan
 
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
byAmazon Web Services Japan
 
110421講演資料「クラウド時代の事業継続に必要なインフラとは」(福岡ruby・コンテンツ産業振興センター)
byniftycloud
 
Amazon VPCトレーニング-VPCの説明
byAmazon Web Services Japan
 
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
byjunichi anno
 
仮想サーバーEC2 & EBS詳細 -ほぼ週刊AWSマイスターシリーズ "Reloaded"-
bySORACOM, INC
 
クラウドリファレンスアーキテクチャレイヤーマップV1.0ポスター
byDaisuke Kawada
 
事業継続性と運用弾力性に配慮したクラウドリファレンスアーキテクチャV1.0 final
byDaisuke Kawada
 
20120303 jaws summit-meister-01_ec2-ebs
byAmazon Web Services Japan
 
BIGLOBEクラウドホスティング新機能ご紹介
byビジネスBIGLOBE
 
[Modern Cloud Day Tokyo 2019] ゼロから再設計したOracle Cloudのデータ保護戦略~7つの原則とその実装
byオラクルエンジニア通信
 
Amazon Web Servicesのご紹介 - 東北クラウド実践カンファレンス2011
bySORACOM, INC
 
AWS and PCI DSS
byKameda Harunobu
 
[AWSマイスターシリーズ] Amazon VPC
byAmazon Web Services Japan
 
【セミナー講演資料】オープンクラウドソリューションのご紹介
byNissho-Blocks
 
20111109 07 aws-meister-vpc-public
byAmazon Web Services Japan
 
Awsビギナー向け資料 ec2 20111124
bysatoshi
 
AWSでセキュリティを高める!
byServerworks Co.,Ltd.
 
いよいよ SAP Business Suite 正式サポート! SAP on AWS
byMasaru Hiroki
 
20120123 aws meister-reloaded-ec2&ebs-public
byAmazon Web Services Japan
 

More from Akio Katayama

PPTX
AWS Elastic BeanstalkとAWS Lambdaのご紹介
byAkio Katayama
 
PPTX
SORACOMでのJava/AWS活用
byAkio Katayama
 
PPTX
IAMでまもれ僕らのAWS(JAWS-UG 初心者支部)
byAkio Katayama
 
PDF
3つのS3バケット
byAkio Katayama
 
PDF
前座Lambda
byAkio Katayama
 
PDF
AWS Mahjong
byAkio Katayama
 
PDF
JAWS-UG名古屋 Lambda-LT
byAkio Katayama
 
PDF
[JAWS-UG 三都物語 2014] 三都物語でAmazon SWFと握手!
byAkio Katayama
 
PDF
AWS Cloud Design Pattern for Enterprise
byAkio Katayama
 
PPTX
あたらしいCloud Design Pattern
byAkio Katayama
 
PDF
AWS re:Invent 2013 参加報告(新サービスとセッション)
byAkio Katayama
 
PDF
AWS上で使えるストレージ十番勝負
byAkio Katayama
 
PPTX
PHP on Cloud
byAkio Katayama
 
PDF
AWSマイスターシリーズReloaded(AWS Beanstalk)
byAkio Katayama
 
PDF
CDP Night #1 静的コンテンツ配信編
byAkio Katayama
 
PDF
AWSマイスターシリーズReloaded(AWS Cloudformation)
byAkio Katayama
 
PPTX
Amazon SimpleWorkflowのご紹介
byAkio Katayama
 
PDF
Aws meister-cloud formation-summit2012
byAkio Katayama
 
PDF
Aws elastic beanstalk-handson-summit2012
byAkio Katayama
 
PDF
AWSクラウドデザインパターン(CDP) - コンテンツ配信編 -
byAkio Katayama
 
AWS Elastic BeanstalkとAWS Lambdaのご紹介
byAkio Katayama
 
SORACOMでのJava/AWS活用
byAkio Katayama
 
IAMでまもれ僕らのAWS(JAWS-UG 初心者支部)
byAkio Katayama
 
3つのS3バケット
byAkio Katayama
 
前座Lambda
byAkio Katayama
 
AWS Mahjong
byAkio Katayama
 
JAWS-UG名古屋 Lambda-LT
byAkio Katayama
 
[JAWS-UG 三都物語 2014] 三都物語でAmazon SWFと握手!
byAkio Katayama
 
AWS Cloud Design Pattern for Enterprise
byAkio Katayama
 
あたらしいCloud Design Pattern
byAkio Katayama
 
AWS re:Invent 2013 参加報告(新サービスとセッション)
byAkio Katayama
 
AWS上で使えるストレージ十番勝負
byAkio Katayama
 
PHP on Cloud
byAkio Katayama
 
AWSマイスターシリーズReloaded(AWS Beanstalk)
byAkio Katayama
 
CDP Night #1 静的コンテンツ配信編
byAkio Katayama
 
AWSマイスターシリーズReloaded(AWS Cloudformation)
byAkio Katayama
 
Amazon SimpleWorkflowのご紹介
byAkio Katayama
 
Aws meister-cloud formation-summit2012
byAkio Katayama
 
Aws elastic beanstalk-handson-summit2012
byAkio Katayama
 
AWSクラウドデザインパターン(CDP) - コンテンツ配信編 -
byAkio Katayama
 

AWSの共有責任モデル(shared responsibility model)

  • 1.
    AWSの共有責任モデル (Shared Responsibility Model) アマゾンデータサービスジャパン株式会社 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 2.
    自己紹介 • 片山 暁雄 – アマゾンデータサービスジャパン – 技術統括本部 エンタープライズソリューション部 – 部長/ソリューションアーキテクト • Twitter – @c9katayama – #ヤマン • 好きなAWSサービス – IAM(Identity and Access Management) • 好きな第三者認証 – PCI-DSS © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 3.
    AWS クラウドデザインパターン 実装ガイド • 設計ガイドに続く第二弾 • 実装手順を画面に沿って解説 – コンテンツ配信 – Eコマース – キャンペーンサイト • アカウント作成/基本操作も網羅 • ハンズオンにも最適! © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 4.
    Back Net Pattern Ondemand NAT Pattern WAF Proxy Pattern Operational Firewall Pattern Functional Firewall Pattern © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 5.
    Agenda 1 AWSのセキュリティ方針 2 AWS側のセキュリティ 3 AWS利用者側のセキュリティ 5 Copyright ©2012 Amazon Web Services.Inc
  • 6.
    AWSの セキュリティ 方針 @aes256 6
  • 7.
    AWSのセキュリティ方針 • AWSクラウドのセキュリティ – セキュリティはAWSにおいて最優先されるべき事項 – セキュリティに対する継続的な投資 – セキュリティ専門部隊の設置 • 共有責任モデルの採用 – AWSと利用者の2者でセキュリティを確保 7 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 8.
    共有責任モデル • OS • OSファイアウォール • アプリケーション • ネットワーク設定 • セキュリティグループ • アカウント管理 • ファシリティ • ネットワークインフラ • 物理セキュリティ • 仮想インフラ • 物理インフラ 8 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 9.
    AWS側の セキュリティ 9
  • 10.
    AWSにおけるクラウドセキュリティ概要 認定 & 認証評価 セキュリティ責任共有モデル SOX法 Customer/SI Partner/ISV がゲストOS ISO 27001 認定 レベルのセキュリティを制御(パッチ運 用や運用管理含む) PCI DSS Level I 認定 パスワード管理やロールベースのアクセ HIPAA 準拠アーキテクチャ ス権管理を含むアプリケーションレベル SOC 1/SSAE 16/ISAE 3402/SOC 2 のセキュリティ FISMA Low ATO 侵入検知/回避システムを含むホストベ  FISMA Moderate ATO 申請中 ースのファイアウォール  DIACAP MAC II Sensitive 申請中 データの暗号化/複合化. ハードウェアセ  FedRAMP キュリティモジュール サービスヘルスダッシュボード アクセス権の分離 物理セキュリティ VMセキュリティ ネットワークセキュリティ 複数レベル、複数要素による制御されて Amazonアカウントへの多要素認証によ セキュリティグループ設定によるインス いるアクセス環境 るアクセス タンス毎のファイアウォール設定が可能 管理され必要性に応じたAWS従業員によ インスタンスの隔離 トラフィックはプロトコル、サービスポ るアクセス(必要最小限) • ハイパバイザレベルでの顧客に ート、ソースIPによって制限できる (個 管理者層による管理者権限アクセス よるファイアウォールの制御 別IPまたはindividual IP or Classless 隣にあるインスタンスへのアク Inter-Domain Routing (CIDR)ブロッ 管理ホストへの多要素認証で、管理され • セスは許可されていない ク). 必要性に応じたアクセス 仮想ディスクの管理レイヤがア Virtual Private Cloud (VPC) により、 全てのアクセスのログ収集、監視、そし • カウントのオーナだけがストレ 既存エンタープライズデータセンターと てレビュー ージ(EBS)にアクセスすること 論理的に隔離された複数のAWSリソース AWS管理者は顧客VMの中、アプリケー との間にIPSec VPNでアクセス可能 ションとそのデータなどにはアクセスす を保証する る権限をもたない APIコールの暗号化のためのエンドポイ ントのSSLサポート 2012/11/15 update 10 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 11.
    • 物理セキュリティ • ネットワークセキュリティ • VMセキュリティ • 管理者層による管理者権限アクセス • 認定 & 認証評価 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 12.
    • 物理セキュリティ • ネットワークセキュリティ • VMセキュリティ • 管理者層による管理者権限アクセス • 認定 & 認証評価 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 13.
    物理セキュリティ • Amazonは数年間にわたり、大規模なデータセンターを 構築 • 重要な特性: – 場所の秘匿 – 周囲の厳重な制御 – 物理アクセスの厳密なコントロール – 2要素認証を2回以上でアクセス • 完全管理された、必要性に基づくアクセス • 全てのアクセスはロギングされ、チェックされる • 職務の分離 – 物理アクセス可能な従業員は論理権限にアクセス不可 13 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 14.
    データセンター設置時のポリシー • 各データセンターは物理的に隔離 • 洪水面を考慮 •地盤が安定している場所 • 無停止電源(UPS)、バックアップ電源、異なる電源供 給元の確保 • 冗長化されたTier-1ネットワークの接続 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 15.
    ストレージの破棄 • データ消去方法 – DoD 5220.22-M(米国国防総省方式) • 3回の書き込みでの消去を実施 • 固定値→補数→乱数 – NIST 800-88(媒体サニタイズに関するガイドライン) • 情報処分に対する体制、運営やライフサイクルに関するガイドライ ン • 情報処分に対しする組織的に取り組み • 物理的に故障した場合は、消磁および破壊を実施して破棄していま す。 • 参考: http://www.ipa.go.jp/security/publications/nist/documents/S P800-88_J.pdf © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 16.
    • 物理セキュリティ • ネットワークセキュリティ • VMセキュリティ • 管理者層による管理者権限アクセス • 認定 & 認証評価 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 17.
    ネットワークセキュリティ • DDoS(Distributed Denial of Service): – 標準的な緩和技術を施行 • MITM (Man in the Middle): – 全てのエンドポイントはSSLによって保護 – EC2のホストキーはブート毎に生成され更新 • IPスプーフィング: – ホストOSレベルで不許可 • 許可されていないポートスキャン: – AWSサービス利用規約違反に該当 – 検知され、停止され、ブロックされる – インバウンドポートはデフォルトでブロックされているため、事実上無効 • パケット・スニッフィング: – プロミスキャス・モードは不許可 17 – ハイパーバイザーレベルで制御 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 18.
    ネットワークトラフィックフローセキュリティ • セキュリティグループ • インバウンドのトラフィックはプロトコ ル、ポート、セキュリティグループによ り明示的に指定。 • VPCはアウトバウンドのフィルタも追加 する • ネットワークACL: Security Group OS Firewall Network ACL • VPC はインバウンドとアウトバウン ドのステートレスフィルタも追加す る • サブネット・ルーティングテー ブル・ゲートウェイ: • VPCで作成可能 • これらの機能を提供 18 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 19.
    多階層セキュリティアプローチの実例 Web Tier Application Tier Database Tier 80または443ポート のみをインターネッ ト側で受け付ける エンジニアがAP層にssh アクセスを行う オンプレミスDBとの同期 Amazon EC2 Security Group Firewall その他のインターネット経由の アクセスは全てデフォルトで拒否 19 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 20.
    • 物理セキュリティ • ネットワークセキュリティ • VMセキュリティ • 管理者層による管理者権限アクセス • 認定 & 認証評価 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 21.
    Amazon EC2のインスタンス独立性 Customer 1 Customer 2 … Customer n Hypervisor Virtual Interfaces Customer 1 Security Groups Customer 2 Security Groups … Customer n Security Groups Firewall Physical Interfaces 21 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 22.
    VMセキュリティ • ハイパーバイザー(ホストOS) – AWS管理者の拠点ホストからの個別のSSHキーによるログイン – 全てのアクセスはロギングされ、監査されます • Firewall – AWS利用者設定に従い、トラフィックをコントロール – 設定しない通信は不可 • ゲストOS(EC2インスタンス) – 顧客による完全なコントロール (顧客がルート/管理者権限を保有) – AWS管理者はログイン不可能 – 顧客が生成したいキーペアを使用 22 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 23.
    仮想メモリとローカルディスク • AWSのディスク管理により、 あるインスタンスがその他 のインスタンスのデータを 読み取るのを防護 • ディスクは作成されるたび にワイプされる Encrypted File System Encrypted Swap File • ディスクはAWS利用者が自 由にフォーマット可(暗号 化が可能) 23 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 24.
    • 物理セキュリティ • ネットワークセキュリティ • VMセキュリティ • 管理者層による管理者権限アクセス • 認定 & 認証評価 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 25.
    管理者権限アクセス・変更管理 • AWSサービスに対する全ての変更は、社内システムで管 理されます – 認証 – ロギング – テスト – 承認 • 職務の分離 – 物理アクセス可能な従業員は論理権限にアクセス不可 • 顧客に影響を与えないよう、影響範囲を確認しながら段 階的にデプロイされます 25 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 26.
    • 物理セキュリティ • ネットワークセキュリティ • VMセキュリティ • 管理者層による管理者権限アクセス • 認定 & 認証評価 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 27.
    レポート、認定、第三者認証 • AWSは以下のような第三者認証を取得済み – SSAE 16/ISAE 3402基準、SOC1レポート(旧SAS70) – SOC2レポート – ISO 27001 Certification – PCI DSS Level 1 Service Provider Certified – FISMA moderate – Sarbanes-Oxley (SOX) • AWSにシステムをデプロイし、第三者認証を取得する ことも可能 – HIPAA (医療関係) – ASP・SaaS安全・信頼性に係る情報開示認定制度 27 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 28.
    SSAE16/ISAE3402 SOC1レポート • AWSの内部統制に関する保証報告書 • AWSの各サービスにおけるセキュリティ、変更管理、 運用等の情報を保証報告書という形式でお客様に提供 • NDAベースでSOC1レポートをご提示可能 28 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 29.
    SOC 1 TypeII – Control Objectives • Control Objective 1: セキュリティ組織、体制 • Control Objective 2: 従業員の雇用ライフサイクル • Control Objective 3: 論理的なセキュリティ • Control Objective 4: 安全なデータの取り扱い • Control Objective 5: 物理的なセキュリティ • Control Objective 6: 環境的なセーフガード • Control Objective 7: 変更管理 • Control Objective 8: データの完全性、可用性、冗長性 • Control Objective 9: インシデント管理 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 30.
    SOC2レポート • 受託会社の財務報告に関連する内部統制以外の要望に 応えるための報告書 • Trustサービスの基準に従って客観的に評価 – セキュリティ – 可用性 – 処理のインテグリティ – 機密保持 – 個人情報の保護(プライバシー) • AWSのセキュリティに関して透明性をもたらす内容 30 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 31.
    PCI DSS Level1Service Provider • PCI DSS 2.0 コンプライアンス準拠 • コアなインフラストラクチャとサービスをカバー – EC2, EBS, S3, VPC, RDS, ELB, IAM • 標準で、特に変更のない設定を使用して認定 • 認定セキュリティ評価機関(QSA)のタスクを利用 • AWSはビジネスでの利用が可能で、Qualified Incident Response Assessors (QIRA)として設計 – フォレンジック調査をサポートする事が可能 • 全てのリージョンで認定 • アップデートはこちらをご覧ください。 – http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/ 31 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 32.
    AWS側のセキュリティのまとめ • セキュリティはトッププライオリティ事項 • AWS責任範囲は、物理論理問わず徹底し た対策を実施 • 実施内容を裏付ける第三者認証も取得 • AWS利用者は、責任部分だけに作業を集 中できる © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 33.
    セキュリティに関する情報の提供 © 2012 Amazon.com,Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 34.
    AWS Security Center (http://aws.amazon.com/security/) • セキュリティホワイトペーパー • セキュリティとプライバシーの回答 • 半年に1度アップデート • セキュリティ速報 • 顧客によるペネトレーションテストのポリシ • セキュリティベストプラクティス • AWS Identity & Access Management (AWS IAM) • AWS Multi-Factor Authentication (AWS MFA) 34 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 35.
    35 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 36.
    CSA-Consensus Assesments InitiativeQuestionnaire- • CSA Consensus Assessments Initiative Questionnaire には、クラウド使用者およびクラウド 監査人がクラウドプロバイダに要求すると CSA が想 定している質問を記載。クラウドプロバイダの選択や セキュリティの評価など、幅広い用途に使用可能。 • セキュリティ、統制、およびプロセスに関する一連の 質問にAWSは回答済み。 *CSAの詳細はhttp://aws.amazon.com/jp/security/ AWS リスクとコンプライアンスのホワイトペーパーを参照 36 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 37.
    金融機関向けAWS対応セキュリティリファレンス • FISC安全対策基準(第8版)へのAWSの準拠状況を調査した資料を一 般公開 • SCSK、NRI(野村総合研究所)、ISID(電通国際情報サービス)3社が共 同で調査。AWSも調査に協力 • AWSと利用者で責任分担することで、FISC安対基準を満たせるとの 見解 37 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 38.
    AWS利用者側の セキュリティ 38
  • 39.
    責任共有モデル • OS • OSファイアウォール • アプリケーション • ネットワーク設定 • セキュリティグループ • アカウント管理 • ファシリティ 今までのセキュリティ • ネットワークインフラ • 物理セキュリティ ポリシーを実装できる • 仮想インフラ • 物理インフラ 39 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 40.
    AWS独自ですべきセキュリティ対策 • Amazon VPC(Virtual Privete Cloud)の利用 • MFA(Muti Factor Authentication)デバイスの利用 • IAM(Identity and Access Management)の利用 40 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 41.
    Amazon VPC •AWS上に、好きなネットワーク体系の論理的なネット ワークを構築できるサービス – ネットワーク上にEC2等のAWSサービスを配備 41 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 42.
    VPCでしか使えないもの • セキュリティグループ – インバウンドとアウトバウンド両方の指定 – セキュリティグループの動的な追加/削除 • ネットワークACL – セキュリティグループに加え、ステートレスなフィルターを使用 可能 • ENI(Elastic Network Interface) – EC2に追加のネットワークカードを付与 • VPN/専用線接続 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 43.
    VPCでしか使えないもの • セキュリティグループ – インバウンドとアウトバウンド両方の指定 – セキュリティグループの動的な追加/削除 VPC != VPN • ネットワークACL – セキュリティグループに加え、ステートレスなフィルターを使用 VPN接続や専用線接続を使用しなくて 可能 • も、VPCを利用したほうが利点が多い ENI(Elastic Network Interface) – EC2に追加のネットワークカードを付与 • VPN/専用線接続 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 44.
    MFAデバイスの利用 • AWSマネジメントコンソールは守るべき対象 • MFAを使うと、ログイン時に、ユーザーID、パスワード の他に、デバイスに表示される数値を入力して認証する • S3の削除時や、APIコール時にも利用可能 – S3 delete protection, MFA protected API call © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 45.
    AWS Identity andAccess Management (IAM) • AWSを操作するためのユーザとグループの作成 • 各グループ・ユーザーごとに、操作権限の付与が可能 • 例えば「EC2の停止ができないユーザー」が作れる • ユーザーごとにID/Passwordなどの認証情報を発行でき る • MFAもユーザーごとに設定可能 • AWS SDKをEC2上で使用する場合は、「IAM Role」を 使用可能 • EC2に認証情報を置かずにAPIコールが可能に 45 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 46.
  • 47.
    共有責任モデル • OS • OSファイアウォール • アプリケーション • ネットワーク設定 • セキュリティグループ • アカウント管理 • ファシリティ • ネットワークインフラ • 物理セキュリティ • 仮想インフラ • 物理インフラ 47 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 48.
    共有責任モデル • OS • OSファイアウォール • アプリケーション • ネットワーク設定 ・共有責任モデルを理解し、必要なところだけに注力する • セキュリティグループ • アカウント管理 ・既存のセキュリティポリシーを適用 ・AWS独自部分は、提供機能をしっかり利用 • ファシリティ • ネットワークインフラ • 物理セキュリティ • 仮想インフラ • 物理インフラ 48 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
  • 49.
    49 © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.