Amazon Web Services Japan, profile picture
Uploaded byAmazon Web Services Japan
10,824 views

Serverless Application Security on AWS

AWS Dev Day 資料: Serverless Application Security on AWS

Embed presentation

Downloaded 52 times
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Serverless Application Security on AWS Hayato KIRIYAMA | Oct 31, 2018
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 自己紹介 氏名: 桐山隼人 役職: シニアセキュリティソリューションアーキテクト 業務: 顧客提案、ソリューション開発、市場開拓 プロフィール: 外資系総合IT会社の開発研究所にて開発エンジニア、セキュリティベンダーにて 技術営業を経た後、現職。CISSP, CISA, ITIL, MBA, セキュリティ関連特許多数。 クラウドセキュリティに関するセミナー登壇・記事寄稿など。 @hkiriyam1 RSA Conference 2017 APJ 「Cloud Security Strategy」 Session Speaker AWS Summit Tokyo 2017 「AWSで実現するセキュリティ・オートメーション」 (マイナビニュース) 「IoTビジネスとセキュリティ を3段階と4要素で理解する」 記事寄稿 (ISC)2 Information Security Leadership Achievements Asia-Pacific Award 2018
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. サーバーレスアプリケーションの特長 サーバー管理が不要 柔軟なスケーリング アイドル時リソース確保不要 高可用性
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 開発者とAWSの役割分担 電源・ネットワーク ラッキング HWメンテナンス OSパッチ ミドルウェアパッチ 定形運用設計 スケールアウト設計 ミドルウェア導入 OS導入 アプリケーション作成 オンプレミス 独自構築 on EC2 マネージドサービス 開発者が担当 AWSが担当 電源・ネットワーク ラッキング HWメンテナンス OSパッチ ミドルウェアパッチ 定形運用設計 スケールアウト設計 ミドルウェア導入 OS導入 アプリケーション作成 電源・ネットワーク ラッキング HWメンテナンス OSパッチ ミドルウェアパッチ 定形運用設計 スケールアウト設計 ミドルウェア導入 OS導入 アプリケーション作成 サーバーレス アーキテクチャ 電源・ネットワーク ラッキング HWメンテナンス OSパッチ ミドルウェアパッチ 定形運用設計 スケールアウト設計 ミドルウェア導入 OS導入 アプリケーション作成
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. サーバーレスなアプリケーションモデル
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. RESTful Microservices AWS LambdaAmazon API Gateway Amazon DynamoDBClient
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS Lambda 100ms
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon API Gateway API API AWS Auth DDoS API
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. サーバーレスのユースケース Web Applications Data Processing ChatbotsBackends </></> Amazon Alexa Autonomous IT • Static websites • Complex web apps • Packages for Flask and Express • Real time • MapReduce • Batch • Powering chatbot logic • Apps & services • Mobile • IoT • Powering voice-enabled apps • Alexa Skills Kit • Policy engines • Extending AWS services • Infrastructure management
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Backends / Amazon API Gateway Amazon DynamoDB Amazon S3Amazon CloudFront Amazon Cognito Lambda function
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Stream Data Processing Amazon Kinesis Lambda function Amazon DynamoDB
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Web Application
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. サーバーレスアプリケーションを構成する層 Compute Layer Data LayerMessaging and Streaming Layer User Management and Identity Layer System Monitoring and Deployment Layer Edge Layer AWS Lambda Amazon API Gateway AWS Step Functions Amazon DynamoDB Amazon S3 Amazon CloudFront Amazon Elasticsearch Service Amazon SNS Amazon Kinesis Amazon Cognito Amazon CloudWatch AWS X-Ray
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Well-Architected Serverless Application
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Framework クラウドにおけるシステム設計・運用のベストプラクティス集 Framework
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Well-Architected Framework Serverless Application Lens ワークロード固有の考え方やベストプラク ティスにフォーカスを当てたレンズ(Lens) サーバーレスアプリケーションに関しても、 Well-Architected Frameworkの5つの柱 でまとめられている https://d1.awsstatic.com/whitepapers/architecture/AWS-Serverless-Applications-Lens.pdf
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. セキュリティの柱 ビジネスにおける価値を生み出しながら、リスクアセスメントと防御戦略 により、情報、システム、資産を守る能力 • IDとアクセス管理 • 発見的統制 • インフラストラクチャー保護 • データ保護 • インシデントレスポンス
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. IDとアクセス管理の考慮事項 1. APIアクセスの認証認可をどのようにしていますか? 2. LambdaファンクションがアクセスできるAWSサービスを どのように保護していますか? 考え方例 • ユーザー管理とアイデンティティ管理 • IAMの活用 • 既存IdPの活用 • 最小権限の原則
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Cognito User Pools モバイルおよびWebアプリに サインアップとサインインの機 能を簡単に追加 ユーザ管理を簡単に 電話番号やemailアドレスのの 検証と多要素認証の提供 拡張されたセキュリティ機能 数億のユーザまでスケールす るユーザディレクトリを作成・ 管理するシンプル、セキュア、 低コストでフルマネージドな サービス マネージド型 ユーザディレクトリ
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. API Gatewayアクセス認可の方法 1. Cognito User Pools Authorizer 2. AWS IAM Authorization 3. Lambda Authorizer
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Cognito User Pools Authorizer Mobile app AmazonAPI Gateway Amazon Cognito User Pools Amazon DynamoDB Lambda function 4. Validate Access or Identity token 5. Invoke API Call 6. Access AWS Resources
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS IAM Authorization Mobile app Amazon DynamoDB Lambda function AmazonAPI Gateway Amazon Cognito User Pools AWS Identity & Access Management Amazon Cognito Identity Pools 3. Request AWS credentials 4. Validate Id token 5. Temp AWS credentials 8. Invoke Lambda
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. IAM Policy Detail { "Version": "2012-10-17", "Statement": [ { "Action": "execute-api:Invoke", "Effect": ”Allow", "Resource": "arn:aws:execute-api:*:*:ff5h9tpwfh/*" }, { "Action": "execute-api:Invoke", "Effect": "Deny", "Resource": "arn:aws:execute-api:*:*:ff5h9tpwfh/*/POST/locations/*" } ] }
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Custom Authorizer Lambda function Mobile app Lambda function AmazonAPI Gateway Amazon DynamoDB AWS Identity & Access Management Lambda Authorizers 4. Check policy cache 5.Validatetoken 6.Generateandreturn userIAMpolicy 8. Invoke
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Lambda Authorizer Function Sample Code var testPolicy = new AuthPolicy(”userIdentifier", "XXXXXXXXXXXX", apiOptions); testPolicy.allowMethod(AuthPolicy.HttpVerb.POST, "/locations/*"); testPolicy.allowMethod(AuthPolicy.HttpVerb.DELETE, "/locations/*"); callback(null, testPolicy.getPolicy());
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 発見的統制の考慮事項 3. サーバーレスアプリケーションのログをどのように 分析していますか? 4. アプリケーションの依存関係や脆弱性をどのように 監視していますか? 考え方例 • アプリケーションログは、CloudWatch Logsの利用 • AWSサービスAPI呼び出しは、CloudTrailの利用 • ログに機微な情報が含まれる可能性の配慮 • 脆弱性やアプリケーション依存関係の追跡
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. メトリクスとログ CloudWatchメトリクス • 標準 • Invocations • Duration • Throttles • Errors • カスタムメトリクスの作成 CloudWatch Logs • 呼び出しごとに「START」、 「END」、「REPORT」エン トリがCloudWatch Logsに出 力される • 独自のログエントリを出力 • 可視化のためにサードパーテ ィツールを利用
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS X-Rayを使ったトラブルシューティング AWS X-Rayを用いることでサービス間のイベン トの遷移を可視化 Lambdaファンクションから他のサービスに対す る呼び出しと時間をトレース ファンクションとサービスの依存関係、関連性 を実際に目視 消えたイベントやスロットルといった状態を確 認したり診断したりが簡単に 簡単なセットアップ 簡単セットアップ AWS Lambda Amazon S3 Amazon DynamoDB
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS X-Rayを使ったトラブルシューティング 非同期呼び出しの滞留時間とリトライを確認 AWSサービスに対する呼び出しパフォーマンスをプロファイリング • イベント処理の失敗を検知 • パフォーマンス問題の特定と修正が簡単に dwell times service call times retries
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. インフラストラクチャー保護の考慮事項 5. LambdaファンクションがアクセスできるVPC内のAWSリソースに関し て、どのようにネットワーク境界を保護していますか? 考え方例 • Network ACLやSecurity Groupによるネットワーク境界保護 (参考:考え方は一般のWell-Architected Frameworkと同じ)
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. データ保護の考慮事項 5. サーバーレスアプリケーション内の機微な情報をどのように 保護していますか? 6. どのように入力値チェックをしますか? 考え方例 • 通信データの暗号化 • クライアントサイド暗号化 • ログに機微な情報が含まれる可能性の配慮 • JSONスキーマやURIパラメータ、クエリ文字列、ヘッダー妥当性検証 • アプリケーションレベルの入力値検証
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 保護すべきデータの外部化 AWS Systems Manager Parameter Store AWS Secrets Manager • 設定データの安全なストレージで、 シークレットを含めることができる • 作成中に指定したユニークな名前を 使って値を参照する • 設定や自動化にはスクリプト内のパラ メータを使用する • 無料 • 組織内のシークレットのライフサイクルを管理 • 自動的にシークレットをローテーションすることで セキュリティとコンプライアンスの要件を満たす 手助けになる • Amazon RDS との組み込みの連携機能はデータ ベースの認証情報をローテーションする事ができる • Lambda で拡張可能 • シークレット毎、アクセス毎に課金
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS Systems Manager Parameter Store • Run Command、Automation、State Managerから参照可能 • 例:Run Commandから参照する場合 • KMSで暗号化していた値を参照する場合 • Parameter Storeを参照するインスタンスにIAM Roleを付与後に参照 aws ssm send-command --instance-ids i-1a2b3c4d5e6f7g8 ¥ --document-name AWS-RunPowerShellScript ¥ --parameter '{"commands":["echo {{ssm:param}}"]}' { "Effect": "Allow", "Action": [ "kms:Decrypt", ], "Resource": [ "arn:aws:kms:region:account_id:key/key_id" ]
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. EC2 AWS プラットフォーム Secrets Manager AWS リソース その他の リソース AWS 認証情報 を提供 DB 認証情報 を保存 安全な ロー テーション この組み合わせは、すべての認証情報に対して信頼性が高く、 安全な自動ローテーションをアプリケーションに提供する
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. シークレットをローテーションする AWS Secrets Manager アプリケー ション 統合された バックエンド リソース 1) ローテーション のイベント 2) 新しい認証情報 の作成を開始 3) 新しい認証情報 作成完了4) 新しい認証情報 の提供を開始 5) 新しいバージョンの シークレットを取り出し 6) 新しい認証情報で接続
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. インシデントレスポンスの考慮事項 (参考:考慮事項は一般のWell-Architected Frameworkと同じ) セキュリティインシデントについて調査や対応ができるように どのような準備をしていますか? 考え方例 • 人、ツール、プロセスの定義 • インシデント対応訓練の実施 • セキュリティ・オートメーション
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. セキュリティ・オートメーション Amazon GuardDuty IP GuardDuty CloudWatch Events Lambda Amazon GuardDuty Amazon CloudWatc h CloudWatc h Event Lambda Function AWS Lambda Firewall Manager Account 2 Account 3 Account 1 AWS WAF
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 侵入テスト https://aws.amazon.com/jp/security/penetration-testing/ AWS AWS • EC2(*) • RDS(*) • Aurora • CloudFront • API Gateway • Lambda • Lightsail • * m1.small, t1.micro, t2.nano EC2 RDS URL • • • • •
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. デジタルトランスフォーメーション 時代のセキュリティ
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWSが加速する2つの変革 デジタルトランス フォーメーション ITトランス フォーメーション • 新しい顧客体験 • 革新的な製品や サービスの創造 • 新ビジネスモデルへ の移行 • IoT, AI, モバイル等 新しい技術の応用 • トライ&エラー… • 本業に集中 • ITコスト削減 • グローバル展開、 BCP等の付加価値 • セキュリティ • システム堅牢性向上
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. DX時代の新しいセキュリティ技術領域 各種センサー 各種クライアント 各種モバイルデバイス Amazon S3 AWS Lambda Function 各種IoT GWサーバー Amazon QuickSight Amazon Redshift cluster AWS Glue Amazon SageMaker IoTセキュリティ データレイク セキュリティ サーバーレス セキュリティ ITインフラストラクチャセキュリティ デジタル セキュリティ トランスフォー メーション ITセキュリティ トランスフォー メーション カタログデータ Amazon Glacier アーカイブデータ
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 関連セッション サーバーレスセキュリティ 10/31(水) 11:20~ Serverless Application Security on AWS データレイクセキュリティ 11/1(木) 15:20~ Data Lake Security on AWS IoTセキュリティ 11/1(木) 14:00~ IoTにおけるセキュリティ ITインフラストラクチャセキュリティ 10/30(火) 14:00~ Threat Detection and Remediation on AWS
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. ありがとうございました

More Related Content

PDF
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
byAmazon Web Services Japan
 
PDF
AWS Black Belt Online Seminar AWS Direct Connect
byAmazon Web Services Japan
 
PDF
AWS Black Belt Techシリーズ Amazon EMR
byAmazon Web Services Japan
 
PPTX
[社内勉強会]ELBとALBと数万スパイク負荷テスト
byTakahiro Moteki
 
PDF
AWS Black Belt Online Seminar 2017 Deployment on AWS
byAmazon Web Services Japan
 
PDF
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
byAmazon Web Services Japan
 
PDF
20200811 AWS Black Belt Online Seminar CloudEndure
byAmazon Web Services Japan
 
PDF
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
byAmazon Web Services Japan
 
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
byAmazon Web Services Japan
 
AWS Black Belt Online Seminar AWS Direct Connect
byAmazon Web Services Japan
 
AWS Black Belt Techシリーズ Amazon EMR
byAmazon Web Services Japan
 
[社内勉強会]ELBとALBと数万スパイク負荷テスト
byTakahiro Moteki
 
AWS Black Belt Online Seminar 2017 Deployment on AWS
byAmazon Web Services Japan
 
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
byAmazon Web Services Japan
 
20200811 AWS Black Belt Online Seminar CloudEndure
byAmazon Web Services Japan
 
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
byAmazon Web Services Japan
 

What's hot

PDF
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
byAmazon Web Services Japan
 
PDF
20190319 AWS Black Belt Online Seminar Amazon FSx for Lustre
byAmazon Web Services Japan
 
PPTX
20220409 AWS BLEA 開発にあたって検討したこと
byAmazon Web Services Japan
 
PDF
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
byAmazon Web Services Japan
 
PDF
20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...
byAmazon Web Services Japan
 
PDF
Azure Network 概要
byTakeshi Fukuhara
 
PDF
20190206 AWS Black Belt Online Seminar Amazon SageMaker Basic Session
byAmazon Web Services Japan
 
PPTX
Oracleからamazon auroraへの移行にむけて
byYoichi Sai
 
PDF
20180425 AWS Black Belt Online Seminar Amazon Relational Database Service (Am...
byAmazon Web Services Japan
 
PDF
AWSのログ管理ベストプラクティス
byAkihiro Kuwano
 
PDF
20190226 AWS Black Belt Online Seminar Amazon WorkSpaces
byAmazon Web Services Japan
 
PDF
Amazon SageMaker で始める機械学習
byAmazon Web Services Japan
 
PDF
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
byYahoo!デベロッパーネットワーク
 
PDF
AWS Black Belt Techシリーズ AWS Direct Connect
byAmazon Web Services Japan
 
PPTX
【配信!Veeam情報局】バックアップ容量の最適化、ストレージ節約や拡張方法を解説!
by株式会社クライム
 
PDF
AWS Black Belt Online Seminar 2017 Amazon Kinesis
byAmazon Web Services Japan
 
PDF
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
byAmazon Web Services Japan
 
PDF
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
byAmazon Web Services Japan
 
PDF
20180704(20190520 Renewed) AWS Black Belt Online Seminar Amazon Elastic File ...
byAmazon Web Services Japan
 
PDF
Amazon VPC VPN接続設定 参考資料
byAmazon Web Services Japan
 
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
byAmazon Web Services Japan
 
20190319 AWS Black Belt Online Seminar Amazon FSx for Lustre
byAmazon Web Services Japan
 
20220409 AWS BLEA 開発にあたって検討したこと
byAmazon Web Services Japan
 
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
byAmazon Web Services Japan
 
20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...
byAmazon Web Services Japan
 
Azure Network 概要
byTakeshi Fukuhara
 
20190206 AWS Black Belt Online Seminar Amazon SageMaker Basic Session
byAmazon Web Services Japan
 
Oracleからamazon auroraへの移行にむけて
byYoichi Sai
 
20180425 AWS Black Belt Online Seminar Amazon Relational Database Service (Am...
byAmazon Web Services Japan
 
AWSのログ管理ベストプラクティス
byAkihiro Kuwano
 
20190226 AWS Black Belt Online Seminar Amazon WorkSpaces
byAmazon Web Services Japan
 
Amazon SageMaker で始める機械学習
byAmazon Web Services Japan
 
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
byYahoo!デベロッパーネットワーク
 
AWS Black Belt Techシリーズ AWS Direct Connect
byAmazon Web Services Japan
 
【配信!Veeam情報局】バックアップ容量の最適化、ストレージ節約や拡張方法を解説!
by株式会社クライム
 
AWS Black Belt Online Seminar 2017 Amazon Kinesis
byAmazon Web Services Japan
 
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
byAmazon Web Services Japan
 
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
byAmazon Web Services Japan
 
20180704(20190520 Renewed) AWS Black Belt Online Seminar Amazon Elastic File ...
byAmazon Web Services Japan
 
Amazon VPC VPN接続設定 参考資料
byAmazon Web Services Japan
 

Similar to Serverless Application Security on AWS

PDF
浸透するサーバーレス 実際に見るユースケースと実装パターン
byAmazon Web Services Japan
 
PDF
[20171116 三木会] AWSを利用したサーバーレス開発の実践 by アイレット株式会社 cloudpack事業部 高橋 直樹 氏
byInsight Technology, Inc.
 
PDF
20201118 AWS Black Belt Online Seminar 形で考えるサーバーレス設計 サーバーレスユースケースパターン解説
byAmazon Web Services Japan
 
PDF
Growing up serverless
byAmazon Web Services Japan
 
PDF
Serverless Meetup Japan Virtual #6
byToshiaki Aoike
 
PPTX
サーバレスアプリケーション構築入門
byYoshihiroHorizono1
 
PDF
サーバーレスのアーキテクチャパターンとそれぞれの実装・テストの勘所
by真吾 吉田
 
PDF
AWSを利用したアプリ開発
byFixel Inc.
 
PDF
サーバレスを可能にするAWSサービスの概要
byFixel Inc.
 
PDF
Serverless Anti-Patterns
byKeisuke Nishitani
 
PDF
今なぜサーバーレスなのか
by真吾 吉田
 
PDF
Aws seminar-tokyo dan-jp-final-publish
byawsadovantageseminar
 
PDF
Aws dan jp-final-publish
byawsadvantageseminar
 
PDF
AWSでアプリ開発するなら 知っておくべこと
byKeisuke Nishitani
 
PDF
AWS Black Belt Online Seminar 2018 AWS Well-Architected Framework
byAmazon Web Services Japan
 
PDF
20170418 aws black-belt-architecture_pattern_of_serverless
byAmazon Web Services Japan
 
PDF
AWS Introduction for Startups
byakitsukada
 
PPTX
セキュアなサーバーレスアーキテクチャ設計手法の概説 (v0)
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
IVS CTO Night And Day 2018 Winter - AWS Well-Architected Framework
byAmazon Web Services Japan
 
PDF
JAWS-UG アーキテクチャ専門支部 re:Invent Management Tools ダイジェスト
byYukitaka Ohmura
 
浸透するサーバーレス 実際に見るユースケースと実装パターン
byAmazon Web Services Japan
 
[20171116 三木会] AWSを利用したサーバーレス開発の実践 by アイレット株式会社 cloudpack事業部 高橋 直樹 氏
byInsight Technology, Inc.
 
20201118 AWS Black Belt Online Seminar 形で考えるサーバーレス設計 サーバーレスユースケースパターン解説
byAmazon Web Services Japan
 
Growing up serverless
byAmazon Web Services Japan
 
Serverless Meetup Japan Virtual #6
byToshiaki Aoike
 
サーバレスアプリケーション構築入門
byYoshihiroHorizono1
 
サーバーレスのアーキテクチャパターンとそれぞれの実装・テストの勘所
by真吾 吉田
 
AWSを利用したアプリ開発
byFixel Inc.
 
サーバレスを可能にするAWSサービスの概要
byFixel Inc.
 
Serverless Anti-Patterns
byKeisuke Nishitani
 
今なぜサーバーレスなのか
by真吾 吉田
 
Aws seminar-tokyo dan-jp-final-publish
byawsadovantageseminar
 
Aws dan jp-final-publish
byawsadvantageseminar
 
AWSでアプリ開発するなら 知っておくべこと
byKeisuke Nishitani
 
AWS Black Belt Online Seminar 2018 AWS Well-Architected Framework
byAmazon Web Services Japan
 
20170418 aws black-belt-architecture_pattern_of_serverless
byAmazon Web Services Japan
 
AWS Introduction for Startups
byakitsukada
 
セキュアなサーバーレスアーキテクチャ設計手法の概説 (v0)
byEiji Sasahara, Ph.D., MBA 笹原英司
 
IVS CTO Night And Day 2018 Winter - AWS Well-Architected Framework
byAmazon Web Services Japan
 
JAWS-UG アーキテクチャ専門支部 re:Invent Management Tools ダイジェスト
byYukitaka Ohmura
 

More from Amazon Web Services Japan

PDF
202205 AWS Black Belt Online Seminar Amazon FSx for OpenZFS
byAmazon Web Services Japan
 
PDF
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
byAmazon Web Services Japan
 
PDF
Infrastructure as Code (IaC) 談義 2022
byAmazon Web Services Japan
 
PDF
202204 AWS Black Belt Online Seminar Amazon Connect を活用したオンコール対応の実現
byAmazon Web Services Japan
 
PDF
202204 AWS Black Belt Online Seminar Amazon Connect Salesforce連携(第1回 CTI Adap...
byAmazon Web Services Japan
 
PDF
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
byAmazon Web Services Japan
 
PDF
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
byAmazon Web Services Japan
 
PDF
202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf
byAmazon Web Services Japan
 
PDF
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
byAmazon Web Services Japan
 
PDF
Amazon QuickSight の組み込み方法をちょっぴりDD
byAmazon Web Services Japan
 
PDF
マルチテナント化で知っておきたいデータベースのこと
byAmazon Web Services Japan
 
PDF
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
byAmazon Web Services Japan
 
PDF
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
byAmazon Web Services Japan
 
PDF
202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles
byAmazon Web Services Japan
 
PDF
Amazon Game Tech Night #24 KPIダッシュボードを最速で用意するために
byAmazon Web Services Japan
 
PDF
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
byAmazon Web Services Japan
 
PPTX
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
byAmazon Web Services Japan
 
PDF
202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介
byAmazon Web Services Japan
 
PDF
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
byAmazon Web Services Japan
 
PDF
202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピ
byAmazon Web Services Japan
 
202205 AWS Black Belt Online Seminar Amazon FSx for OpenZFS
byAmazon Web Services Japan
 
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
byAmazon Web Services Japan
 
Infrastructure as Code (IaC) 談義 2022
byAmazon Web Services Japan
 
202204 AWS Black Belt Online Seminar Amazon Connect を活用したオンコール対応の実現
byAmazon Web Services Japan
 
202204 AWS Black Belt Online Seminar Amazon Connect Salesforce連携(第1回 CTI Adap...
byAmazon Web Services Japan
 
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
byAmazon Web Services Japan
 
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
byAmazon Web Services Japan
 
202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf
byAmazon Web Services Japan
 
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
byAmazon Web Services Japan
 
Amazon QuickSight の組み込み方法をちょっぴりDD
byAmazon Web Services Japan
 
マルチテナント化で知っておきたいデータベースのこと
byAmazon Web Services Japan
 
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
byAmazon Web Services Japan
 
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
byAmazon Web Services Japan
 
202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles
byAmazon Web Services Japan
 
Amazon Game Tech Night #24 KPIダッシュボードを最速で用意するために
byAmazon Web Services Japan
 
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
byAmazon Web Services Japan
 
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
byAmazon Web Services Japan
 
202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介
byAmazon Web Services Japan
 
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
byAmazon Web Services Japan
 
202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピ
byAmazon Web Services Japan
 

Serverless Application Security on AWS

  • 1.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. Serverless Application Security on AWS Hayato KIRIYAMA | Oct 31, 2018
  • 2.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. 自己紹介 氏名: 桐山隼人 役職: シニアセキュリティソリューションアーキテクト 業務: 顧客提案、ソリューション開発、市場開拓 プロフィール: 外資系総合IT会社の開発研究所にて開発エンジニア、セキュリティベンダーにて 技術営業を経た後、現職。CISSP, CISA, ITIL, MBA, セキュリティ関連特許多数。 クラウドセキュリティに関するセミナー登壇・記事寄稿など。 @hkiriyam1 RSA Conference 2017 APJ 「Cloud Security Strategy」 Session Speaker AWS Summit Tokyo 2017 「AWSで実現するセキュリティ・オートメーション」 (マイナビニュース) 「IoTビジネスとセキュリティ を3段階と4要素で理解する」 記事寄稿 (ISC)2 Information Security Leadership Achievements Asia-Pacific Award 2018
  • 3.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. サーバーレスアプリケーションの特長 サーバー管理が不要 柔軟なスケーリング アイドル時リソース確保不要 高可用性
  • 4.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. 開発者とAWSの役割分担 電源・ネットワーク ラッキング HWメンテナンス OSパッチ ミドルウェアパッチ 定形運用設計 スケールアウト設計 ミドルウェア導入 OS導入 アプリケーション作成 オンプレミス 独自構築 on EC2 マネージドサービス 開発者が担当 AWSが担当 電源・ネットワーク ラッキング HWメンテナンス OSパッチ ミドルウェアパッチ 定形運用設計 スケールアウト設計 ミドルウェア導入 OS導入 アプリケーション作成 電源・ネットワーク ラッキング HWメンテナンス OSパッチ ミドルウェアパッチ 定形運用設計 スケールアウト設計 ミドルウェア導入 OS導入 アプリケーション作成 サーバーレス アーキテクチャ 電源・ネットワーク ラッキング HWメンテナンス OSパッチ ミドルウェアパッチ 定形運用設計 スケールアウト設計 ミドルウェア導入 OS導入 アプリケーション作成
  • 5.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. サーバーレスなアプリケーションモデル
  • 6.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. RESTful Microservices AWS LambdaAmazon API Gateway Amazon DynamoDBClient
  • 7.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. AWS Lambda 100ms
  • 8.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. Amazon API Gateway API API AWS Auth DDoS API
  • 9.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. サーバーレスのユースケース Web Applications Data Processing ChatbotsBackends </></> Amazon Alexa Autonomous IT • Static websites • Complex web apps • Packages for Flask and Express • Real time • MapReduce • Batch • Powering chatbot logic • Apps & services • Mobile • IoT • Powering voice-enabled apps • Alexa Skills Kit • Policy engines • Extending AWS services • Infrastructure management
  • 10.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. Backends / Amazon API Gateway Amazon DynamoDB Amazon S3Amazon CloudFront Amazon Cognito Lambda function
  • 11.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. Stream Data Processing Amazon Kinesis Lambda function Amazon DynamoDB
  • 12.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. Web Application
  • 13.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. サーバーレスアプリケーションを構成する層 Compute Layer Data LayerMessaging and Streaming Layer User Management and Identity Layer System Monitoring and Deployment Layer Edge Layer AWS Lambda Amazon API Gateway AWS Step Functions Amazon DynamoDB Amazon S3 Amazon CloudFront Amazon Elasticsearch Service Amazon SNS Amazon Kinesis Amazon Cognito Amazon CloudWatch AWS X-Ray
  • 14.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. Well-Architected Serverless Application
  • 15.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. Framework クラウドにおけるシステム設計・運用のベストプラクティス集 Framework
  • 16.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. Well-Architected Framework Serverless Application Lens ワークロード固有の考え方やベストプラク ティスにフォーカスを当てたレンズ(Lens) サーバーレスアプリケーションに関しても、 Well-Architected Frameworkの5つの柱 でまとめられている https://d1.awsstatic.com/whitepapers/architecture/AWS-Serverless-Applications-Lens.pdf
  • 17.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. セキュリティの柱 ビジネスにおける価値を生み出しながら、リスクアセスメントと防御戦略 により、情報、システム、資産を守る能力 • IDとアクセス管理 • 発見的統制 • インフラストラクチャー保護 • データ保護 • インシデントレスポンス
  • 18.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. IDとアクセス管理の考慮事項 1. APIアクセスの認証認可をどのようにしていますか? 2. LambdaファンクションがアクセスできるAWSサービスを どのように保護していますか? 考え方例 • ユーザー管理とアイデンティティ管理 • IAMの活用 • 既存IdPの活用 • 最小権限の原則
  • 19.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. Amazon Cognito User Pools モバイルおよびWebアプリに サインアップとサインインの機 能を簡単に追加 ユーザ管理を簡単に 電話番号やemailアドレスのの 検証と多要素認証の提供 拡張されたセキュリティ機能 数億のユーザまでスケールす るユーザディレクトリを作成・ 管理するシンプル、セキュア、 低コストでフルマネージドな サービス マネージド型 ユーザディレクトリ
  • 20.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. API Gatewayアクセス認可の方法 1. Cognito User Pools Authorizer 2. AWS IAM Authorization 3. Lambda Authorizer
  • 21.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. Cognito User Pools Authorizer Mobile app AmazonAPI Gateway Amazon Cognito User Pools Amazon DynamoDB Lambda function 4. Validate Access or Identity token 5. Invoke API Call 6. Access AWS Resources
  • 22.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. AWS IAM Authorization Mobile app Amazon DynamoDB Lambda function AmazonAPI Gateway Amazon Cognito User Pools AWS Identity & Access Management Amazon Cognito Identity Pools 3. Request AWS credentials 4. Validate Id token 5. Temp AWS credentials 8. Invoke Lambda
  • 23.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. IAM Policy Detail { "Version": "2012-10-17", "Statement": [ { "Action": "execute-api:Invoke", "Effect": ”Allow", "Resource": "arn:aws:execute-api:*:*:ff5h9tpwfh/*" }, { "Action": "execute-api:Invoke", "Effect": "Deny", "Resource": "arn:aws:execute-api:*:*:ff5h9tpwfh/*/POST/locations/*" } ] }
  • 24.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. Custom Authorizer Lambda function Mobile app Lambda function AmazonAPI Gateway Amazon DynamoDB AWS Identity & Access Management Lambda Authorizers 4. Check policy cache 5.Validatetoken 6.Generateandreturn userIAMpolicy 8. Invoke
  • 25.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. Lambda Authorizer Function Sample Code var testPolicy = new AuthPolicy(”userIdentifier", "XXXXXXXXXXXX", apiOptions); testPolicy.allowMethod(AuthPolicy.HttpVerb.POST, "/locations/*"); testPolicy.allowMethod(AuthPolicy.HttpVerb.DELETE, "/locations/*"); callback(null, testPolicy.getPolicy());
  • 26.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. 発見的統制の考慮事項 3. サーバーレスアプリケーションのログをどのように 分析していますか? 4. アプリケーションの依存関係や脆弱性をどのように 監視していますか? 考え方例 • アプリケーションログは、CloudWatch Logsの利用 • AWSサービスAPI呼び出しは、CloudTrailの利用 • ログに機微な情報が含まれる可能性の配慮 • 脆弱性やアプリケーション依存関係の追跡
  • 27.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. メトリクスとログ CloudWatchメトリクス • 標準 • Invocations • Duration • Throttles • Errors • カスタムメトリクスの作成 CloudWatch Logs • 呼び出しごとに「START」、 「END」、「REPORT」エン トリがCloudWatch Logsに出 力される • 独自のログエントリを出力 • 可視化のためにサードパーテ ィツールを利用
  • 28.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. AWS X-Rayを使ったトラブルシューティング AWS X-Rayを用いることでサービス間のイベン トの遷移を可視化 Lambdaファンクションから他のサービスに対す る呼び出しと時間をトレース ファンクションとサービスの依存関係、関連性 を実際に目視 消えたイベントやスロットルといった状態を確 認したり診断したりが簡単に 簡単なセットアップ 簡単セットアップ AWS Lambda Amazon S3 Amazon DynamoDB
  • 29.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. AWS X-Rayを使ったトラブルシューティング 非同期呼び出しの滞留時間とリトライを確認 AWSサービスに対する呼び出しパフォーマンスをプロファイリング • イベント処理の失敗を検知 • パフォーマンス問題の特定と修正が簡単に dwell times service call times retries
  • 30.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. インフラストラクチャー保護の考慮事項 5. LambdaファンクションがアクセスできるVPC内のAWSリソースに関し て、どのようにネットワーク境界を保護していますか? 考え方例 • Network ACLやSecurity Groupによるネットワーク境界保護 (参考:考え方は一般のWell-Architected Frameworkと同じ)
  • 31.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. データ保護の考慮事項 5. サーバーレスアプリケーション内の機微な情報をどのように 保護していますか? 6. どのように入力値チェックをしますか? 考え方例 • 通信データの暗号化 • クライアントサイド暗号化 • ログに機微な情報が含まれる可能性の配慮 • JSONスキーマやURIパラメータ、クエリ文字列、ヘッダー妥当性検証 • アプリケーションレベルの入力値検証
  • 32.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. 保護すべきデータの外部化 AWS Systems Manager Parameter Store AWS Secrets Manager • 設定データの安全なストレージで、 シークレットを含めることができる • 作成中に指定したユニークな名前を 使って値を参照する • 設定や自動化にはスクリプト内のパラ メータを使用する • 無料 • 組織内のシークレットのライフサイクルを管理 • 自動的にシークレットをローテーションすることで セキュリティとコンプライアンスの要件を満たす 手助けになる • Amazon RDS との組み込みの連携機能はデータ ベースの認証情報をローテーションする事ができる • Lambda で拡張可能 • シークレット毎、アクセス毎に課金
  • 33.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. AWS Systems Manager Parameter Store • Run Command、Automation、State Managerから参照可能 • 例:Run Commandから参照する場合 • KMSで暗号化していた値を参照する場合 • Parameter Storeを参照するインスタンスにIAM Roleを付与後に参照 aws ssm send-command --instance-ids i-1a2b3c4d5e6f7g8 ¥ --document-name AWS-RunPowerShellScript ¥ --parameter '{"commands":["echo {{ssm:param}}"]}' { "Effect": "Allow", "Action": [ "kms:Decrypt", ], "Resource": [ "arn:aws:kms:region:account_id:key/key_id" ]
  • 34.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. EC2 AWS プラットフォーム Secrets Manager AWS リソース その他の リソース AWS 認証情報 を提供 DB 認証情報 を保存 安全な ロー テーション この組み合わせは、すべての認証情報に対して信頼性が高く、 安全な自動ローテーションをアプリケーションに提供する
  • 35.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. シークレットをローテーションする AWS Secrets Manager アプリケー ション 統合された バックエンド リソース 1) ローテーション のイベント 2) 新しい認証情報 の作成を開始 3) 新しい認証情報 作成完了4) 新しい認証情報 の提供を開始 5) 新しいバージョンの シークレットを取り出し 6) 新しい認証情報で接続
  • 36.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. インシデントレスポンスの考慮事項 (参考:考慮事項は一般のWell-Architected Frameworkと同じ) セキュリティインシデントについて調査や対応ができるように どのような準備をしていますか? 考え方例 • 人、ツール、プロセスの定義 • インシデント対応訓練の実施 • セキュリティ・オートメーション
  • 37.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. セキュリティ・オートメーション Amazon GuardDuty IP GuardDuty CloudWatch Events Lambda Amazon GuardDuty Amazon CloudWatc h CloudWatc h Event Lambda Function AWS Lambda Firewall Manager Account 2 Account 3 Account 1 AWS WAF
  • 38.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. 侵入テスト https://aws.amazon.com/jp/security/penetration-testing/ AWS AWS • EC2(*) • RDS(*) • Aurora • CloudFront • API Gateway • Lambda • Lightsail • * m1.small, t1.micro, t2.nano EC2 RDS URL • • • • •
  • 39.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. デジタルトランスフォーメーション 時代のセキュリティ
  • 40.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. AWSが加速する2つの変革 デジタルトランス フォーメーション ITトランス フォーメーション • 新しい顧客体験 • 革新的な製品や サービスの創造 • 新ビジネスモデルへ の移行 • IoT, AI, モバイル等 新しい技術の応用 • トライ&エラー… • 本業に集中 • ITコスト削減 • グローバル展開、 BCP等の付加価値 • セキュリティ • システム堅牢性向上
  • 41.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. DX時代の新しいセキュリティ技術領域 各種センサー 各種クライアント 各種モバイルデバイス Amazon S3 AWS Lambda Function 各種IoT GWサーバー Amazon QuickSight Amazon Redshift cluster AWS Glue Amazon SageMaker IoTセキュリティ データレイク セキュリティ サーバーレス セキュリティ ITインフラストラクチャセキュリティ デジタル セキュリティ トランスフォー メーション ITセキュリティ トランスフォー メーション カタログデータ Amazon Glacier アーカイブデータ
  • 42.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. 関連セッション サーバーレスセキュリティ 10/31(水) 11:20~ Serverless Application Security on AWS データレイクセキュリティ 11/1(木) 15:20~ Data Lake Security on AWS IoTセキュリティ 11/1(木) 14:00~ IoTにおけるセキュリティ ITインフラストラクチャセキュリティ 10/30(火) 14:00~ Threat Detection and Remediation on AWS
  • 43.
    © 2018, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. ありがとうございました