More Related Content
Similar to AWSにおけるマイクロソフトプラットフォームセキュリティ
Similar to AWSにおけるマイクロソフトプラットフォームセキュリティ (20)
More from Amazon Web Services Japan
More from Amazon Web Services Japan (20)
AWSにおけるマイクロソフトプラットフォームセキュリティ
- 2. Amazon Web Servicesとマイクロソフト
プラットフォーム
! Amazon Web Services (AWS)は、マイクロソフトコ
ミュニティのITプロフェッショナルに対して、コン
ピュート、ストレージおよびネットワークの調達に関す
るあたらしい選択肢を提供
! 従量量課⾦金金によるインフラの提供によりマイクロソフトプ
ラットフォームを補完
• Windows ServerとSQL Serverが時間課⾦金金で利利⽤用可能
! ソフトウェアアシュアランス(SA)によるライセンス
モビリティ
• http://aws.amazon.com/jp/windows/mslicensemobility/
2
- 7. Amazon Virtual Private Cloud(VPC)
(1/2)
! Amazon VPCはマイクロソフトプラットフォームのコン
ポーネントを動かすのに最適な仮想ネットワークのテク
ノロジー
• 独⽴立立したネットワークに独⾃自のサブネットを作成しアプリケー
ションレイヤーを分割
• 静的IPアドレスまたはDHCPによりActive Directoryやそれに依
存するアプリケーションと親和性の⾼高いアドレスを付与するこ
とが可能
7
- 8. Amazon Virtual Private Cloud(VPC)
(2/2)
! 複数の接続オプションを提供
• サブネット上のインスタンスにインターネットからのトラ
フィックを送信のみ、送信および受信、受信のみの制御が可能
• 業界標準のVPNアプライアンスやソフトウェアVPNをつかって
社内のデータセンターへセキュアに接続
• サイト間VPNトンネルで複数のオフィス拠点を接続しクラウド
をルーターとして利利⽤用
• AWS Direct Connectにより1Gbまたは10Gbの専⽤用線による企
業ネットワークとのクロスコネクト
8
- 10. Network Access Control List(NACL)
! Network Access Control ListはVPCの任意のサブネットに対して
トラフックのステートレスなフィルタリング機能を提供
• インバウンドとアウトバンドのトラフィックを特定のCIDRブロックまたはIPア
ドレスに対してブロック可能
• IPプロトコル、サービスポート、またはSource/DestinationのIPアドレスベー
スでAllow/Denyを記述
(SQL)
10
- 11. Security Group
! Security GroupはAmazon EC2上でインフラ環境を分
離離するためのもっとも重要なツールのひとつ
! Amazon VPCでは、すべてのインスタンスはホスト上の
ステートフルなファイアウォール上で動作し、すべての
ポートはデフォルトで閉じている
! Security Groupはファイアウォールポリシーとしてだけ
ではなくアプリケーションレベルでのシステムの分離離の
ための制御⼿手段としても利利⽤用可能
• 例例:SQL ServerのSecurity GroupではSharePointサーバーか
らの1433ポートへのアクセスを許可
11
- 12. AWS Identity and Access
Management(IAM)/IAMロール
! AWSのリソースを管理理するための権限を管理理するための
機能
• インフラ管理理者とアプリケーション管理理者がわかれているよう
なIT組織の場合、アプリケーション管理理者のためのIAMグルー
プを作成し、最低限のアクセス権をあたえることで誤操作によ
るリスクに対処可能
! IAMロールによってEC2インスタンスに対してIAMクレ
デンシャルを付与することによって、インスタンスが利利
⽤用可能な権限をあらかじめ定義することが可能
• 例例:“S3へのRead Onlyアクセス”
12
- 13. 可⽤用性の向上
! Single Point of Failure (SPOF)を排除することが⾼高可
⽤用性を実現するための⼀一般的なアプローチ
! AWSではアベイラビリティゾーン(AZ)によりリー
ジョン内の物理理的に隔離離された拠点にアプリケーション
を配置可能
• アベイラビリティゾーンは独⾃自の電⼒力力供給と、任意のネット
ワークプロバイダー障害に対応可能なネットワークの多様性を
もつ
! 従来のデータセンターでは限られたネットワーク帯域し
かないことが多いが、AWSでは豊富なネットワーク帯域
により利利⽤用可能な帯域を攻撃するような外部ネットワー
クの脅威から保護することが可能
13
- 15. リモートサーバー管理理
! 個々のマシンに直接ログオンする以外に、Remote
Desktop Gateway(RD Gateway)によるプロキシ経
由での管理理者接続を構成可能
• 管理理者アクセスの監査ログを⼀一元化
• SSLによる強⼒力力な認証の仕組み
! RD GatewayをPublic Subnetに配置することでイン
ターネット、VPN接続およびDirect Connect経由でのリ
モート管理理が可能
• RD Gatewayとの通信はHTTPS(443)を使⽤用し、ネットワー
クエッジに配置しRDP(3389)で⾏行行われるバックエンドのサー
バーとの通信を中継
15
- 16. AWSでのRemote Desktop Gatewayの
最⼩小構成
! Private SubnetにWindows Server 2008 R2を配置してVirtual
Private Gatewayからルーティングできるように設定
• Windows Serverのサーバーマネージャーから「リモートデスクトップ接
続」「リモートデスクトップゲートウェイ」の役割を追加
• 有効な証明書を追加して適切切な認証ポリシーを設定
16
- 17. Remote Desktop Gatewayインフラの攻
撃対象領領域を減らす
! RD Gatewayを利利⽤用する場合、インスタンスに直接接続
することを禁⽌止するためにSecurity Groupがキーとなる
• RD Gatewayを専⽤用のSecurity Groupに配置することにより、
RD Gatewayからのみ3389(RDP)を受け付けるような
Security Groupの設定が可能
17
- 18. Security Groupのルール設定 (最⼩小権限)
! セキュリティのベストプラクティスとして、攻撃対象となる
⾯面をへらすことが重要となる
! Security Groupのルール設定により、必要最⼩小限のポートの
みを許可するきめ細かい構成が可能
• 例例:SQL Serverはrdg-‐‑‒sg Security Groupからのポート3389のみ
を許可
! テスト⽬目的であってもRDPをインターネット全体に対して許
可しないことが重要
18
- 19. Remote Desktop Gatewayの可⽤用性向上
! 1つのVPCは異異なるアベイラビリティゾーンに複数のサ
ブネットをもつことが可能
! ベストプラクティスとして、複数のアベイラビリティ
ゾーンを利利⽤用してアプリケーションを冗⻑⾧長構成にするこ
とを推奨
! Remote Desktop Gatewayを異異なるアベイラビリティ
ゾーンにある2つのサブネットに配置することで可⽤用性
を向上させることが可能
19
- 21. パッチ管理理とアップデート
! パッチ管理理のためにWindows Server Update
Services(WSUS)を利利⽤用
! VPC内でのWSUSサーバーの展開⽅方法
• インターネット経由でMicrosoft Updateから直接アップデート
を取得
• 企業内データセンターのインターネット接続経由でMicrosoft
Updateからアップデートを取得
• 企業ネットワークのWSUSサーバーからアップデートを取得
21
- 24. Active Directoryによる認証、アクセス制
御とポリシー管理理
! Active Directoryは認証および権限、名前解決などの基
盤
! VPNを通してオンプレミスのADとレプリケーションが
可能
• オンプレミスのドメインコントローラーによる直接認証も可能
だが、パフォーマンス上の理理由でレプリケーションを推奨
• ⾼高可⽤用性のためAZをまたいだドメインコントローラーのレプリ
ケーションを推奨
! ADのかわりに任意のLDAPディレクトリを利利⽤用している
場合はActive Directory Federation Service(ADFS)
によるフェデレーションも可能
• http://media.amazonwebservices.com/
EC2_̲ADFS_̲howto_̲2.0.pdf
24
- 31. ファイアウォールの利利⽤用
! VPC内のAmazon EC2インスタンスはステートフルな
ファイアウォールを持ち、すべてのポートがデフォルト
で閉じているため管理理者により制御可能
! WindowsファイアウォールをEC2インスタンス上であ
わせて使⽤用することが可能
• パケットドロップについての詳細な監査などセキュリティポリ
シーやコンプライアンス要件にあわせることが重要
31
- 33. Identity and Access Management(IAM)に
よる制御のロックダウン
! Identity and Access Management(IAM)により
AWSリソースへのアクセスコントロールが可能
• インフラチームにのみVPCサブネット、ルーティングおよび
ACLへの変更更を許可し、アプリチームには許可しないなどの設
定が可能
! この仕組みは以下のような⽬目的にも有効
• ⼤大規模なエンタープライズでの管理理機能のフェデレーション
• アプリケーション管理理者がインフラにセキュリティホールをつ
くることがないようなセキュリティコントロールの提供
33
- 34. アプリケーションインフラの可⽤用性向上
! マイクロソフトプラットフォームで⾼高可⽤用性を実現するため
冗⻑⾧長構成が⼀一般的によくつかわれる
• AWSではアベイラビリティゾーンにより複数の拠点にまたがった
従来よりも⾼高いレベルの可⽤用性を実現
! コンポーネントを複数のアベイラビリティゾーンに分散する
ことで単⼀一のデータセンターでは実現できない耐障害性を実
現
• Elastic Load Balancingはアベイラビリティゾーンをまたいだ負荷
分散を提供し、トラフィックにもとづいて⾃自動的にスケールする
! Auto Scalingを利利⽤用するとネットワークトラフィックなどの
パターンにもとづいて⾃自動的にスケールさせることが可能
• PowerShellスクリプトを配置することでインスタンスを⾃自動的に
構成可能
34
- 37. まとめ
! より詳細はオリジナルのホワイトペーパー(英語版)に
記載
• http://media.amazonwebservices.com/
AWS_̲Microsoft_̲Platform_̲Security.pdf
! AWSにおけるセキュリティプロセスの全体像を理理解する
ためにはAWSセキュリティホワイトペーパーをあわせて
参照
• http://d36cz9buwru1tt.cloudfront.net/jp/wp/AWS
%20Security%20Whitepaper%20-‐‑‒%20May%202011.pdf
! 次ページのチェックリストにこの資料料で解説したさまざ
まな⼿手法をサマリーしている
37
- 39. 参考情報
!
Windows on Amazon EC2 Security Guide
•
•
http://media.amazonwebservices.com/pdf/AWS_̲Security_̲Whitepaper.pdf
•
http://media.amazonwebservices.com/AWSRiskandComplianceWhitepaperJanuary2012.pdf
•
http://media.amazonwebservices.com/Whitepaper_̲Security_̲Best_̲Practices_̲2010.pdf
•
http://media.amazonwebservices.com/EC2_̲ADFS_̲howto_̲2.0.pdf
•
http://aws.amazon.com/security/penetration-‐‑‒testing/
•
!
http://aws.amazon.com/security/
•
!
http://aws.amazon.com/articles/1767
http://support.microsoft.com/kb/822158
•
http://www.microsoft.com/en-‐‑‒us/server-‐‑‒cloud/windows-‐‑‒server/active-‐‑‒directory-‐‑‒overview.aspx
•
http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/index.html
AWS Security and Compliance Center
Overview of AWS Security processes Whitepaper
!
AWS Risk and Compliance Whitepaper
!
AWS Application Security Best Practices
!
!
!
Using Windows ADFS for Single Sign-‐‑‒On to Amazon EC2
Vulnerability Scan and Penetration testing
Microsoftʼ’s guidance on Recommendation on Virus Scanning
!
Active Directory Federation Services
!
Amazon VPC User Guide
39