AWSが公開している資料のまとめ。SlideShareのドキュメントはこちら。
まとめの視点としては、AWSを利用する上で何を知るべきか?という点にフォーカスします。IAMなどのセキュリティを担保するサービスの役割とか、そういうところ。
Agenda
3本立て。
- AWSのセキュリティ方針
- AWS側のセキュリティ
- AWS利用者側のセキュリティ
責任共有モデル
AWSと利用者、お互いでセキュリティを担保しましょうよ、という話。
インフラの部分はAWSが担保するので、その上で動くものについては利用者でちゃんとやりましょうねということ。利用者の方で担保する「責任」は、具体的には以下。
- OS
- F/W
- N/W設定
- アカウント管理
- セキュリティグループ
- アプリケーション
AWS側で提供するセキュリティ
項目としては以下の5項目。
- 物理セキュリティ
- N/Wセキュリティ
- VMセキュリティ
- 管理者層による管理者権限アクセス
- 認定&認証評価
抜粋します。
詳しくはAWS Security Center参照。ホワイトペーパーも公開されてます。
N/Wセキュリティ
対策してる攻撃として以下の5点を挙げています。
- DDoS
- Man in the Middle
- IPスプーフィング
- 許可されていないポートスキャン
- パケット・スニッフィング
DDoSとIPスプーフィングは1セットっぽい。DDoSは特定のサービスへの集中砲火、IPスプーフィングは攻撃者の身元詐称、こう理解しています。
N/Wトラフィックフローセキュリティ
トラフィックを制御する手段は3つ。
- セキュリティグループ
- N/W ACL
- Subnet, Routing Table, Gateway (VPC)
1台のホストを見るのであればOS F/W、複数台のホストを対象に適用するのがセキュリティグループ、ネットワーク全体に適用するのがACL。
要件によってサブネットを切ったりするけど、ACLはそういう1つの「要件」を満たす部分かなーと思っています。で、その中の(論理的な)構成要素に対してセキュリティグループを適用し、個別の面倒をOSのF/Wで見る。こんなところでしょうか。
VMセキュリティ
仮想化はまだよくわからんので飛ばします。でも理解しておきたいトピックなので項目だけ作っておく。
利用者側のセキュリティ
SlideShareより画像を引用します。
AWS独自のセキュリティ対策が以下。
- Amazon VPCの利用
- セキュリティグループ
- N/W ACL
- ENI
- VPN/専用線接続
- MFAデバイスの利用
- IAMの利用
注意すべきは"VPC!=VPN"であること。VPNとか使わなくても、VPCを使っておいた方が利点が多いらしい。
IAM (Identity and Access Management)
多分この記事の最重要事項。チュートリアルの段階でも出てくるし。
IAMは AWSの操作 に対する権限を設定できる。ユーザ個別でも、グループ(複数ユーザ)に対してもOK。例えば「EC2の停止ができないユーザ」を作ることができる。結構きめ細かいなーという印象。
IAM Roleなるモノもあるらしいけど、ここでは触れません。
まとめ
- 共有責任モデルを理解し、必要なところだけに注力する
- 既存のセキュリティポリシーを適用
- AWS独自の部分は、提供機能をしっかり利用
ACLもIAMも既存の機構に近いものなので、学習コストもそんなに敷居が高くなさそうですね。それぞれの適用シーンをもうちょっと押さえていきたいです。