はじめに
こんにちは
今回からは 「AWSのセキュリティ」 分野について取り上げていきたいと思います。
まずはAWSにおけるセキュリティに関しての基本的な考え方などの全体像を押さえていきたいと思います。
AWSの責任共有モデル
AWSにおけるセキュリティの考え方については「AWSにおいてセキュリティは最優先事項」であるとAWSが強調しています。そのため、AWSは膨大なコストをかけてセキュリティを担保しています。
しかし、AWSがどれだけコストをかけてセキュリティを担保したとしても、AWSの利用者が好き勝手に利用してしまうとセキュリティを維持することができなくなってしまいます。ユーザーがコントロールできる範囲では要件に対して適切なセキュリティを設定する必要があります。
そこでAWS上の「セキュリティ」に対して「AWS側の責任」と「利用者側の責任」を示した
「責任共有モデル」 という考え方を採用しています。
セキュリティが最優先事項
セキュリティを担保するために莫大なコストをかけている
責任範囲
ざっくり言うと
AWSは 「クラウドのセキュリティ」 に対して、
利用者は 「クラウド内のセキュリティ」 に対して責任を持ちます。
AWSの責任範囲
AWSはクラウド本体のセキュリティ部分を担当します。下記でその一例を紹介します。
「データセンター」
管理人、防御壁、監視カメラなどを用いてデータセンター内に不審者を入れないことで担保しています。
「ハードウェア」
データセンター内の発電、冷暖房設備などでサーバーを正常に稼働させることで担保しています。
「ソフトウェア」
アクセスの制限や、脅威検出機器などを用いることで担保しています。
利用者の責任
ユーザーはクラウド内のセキュリティを担当します。
うーん…いっぱいあるけど結局何をしたら良いのやら
そんな時はAWSのベストプラクティスとしてユーザーがセキュリティに対してどのような事を意識して何(パスワード管理、データ暗号化など)を実施すれば良いかを示しているので確認してみると良いでしょう
ユーザー側のベストプラクティス
1.「伝送中、保管中のデータの保護」
データを機密性レベルに分類します。そして暗号化、アクセスコントロールなどを使用してデータを守りましょう。
2.「強力なアイデンティティ基盤の実装」
IAM(Identity and Access Management)ユーザーを作成してアクセス権限を管理します。
それにより、重要な情報にアクセスできる利用者を限定して不正アクセスを防ぎます。
3.「全てのレイヤーでセキュリティを適用する」
複数のセキュリティコントロールを使用して、VPC、インスタンス、オペレーティングシステムなど全てのレイヤーにセキュリティを適用しましょう。
まとめ
責任共有モデルは、AWS上のセキュリティに対してAWS側の責任と利用者側の責任を示したものです
AWSはクラウド本体のセキュリティ部分を担当
ユーザーはクラウド内のセキュリティ部分を担当
ユーザーがクラウド内のセキュリティ部分を守るために、ベストプラクティスが存在します
おわりに
AWS責任共有モデルは、「AWS」と「ユーザー」での責任分担を示すフレームワークです。それぞれの責任範囲を正確に覚えていきたいと思います。
最後までお読みいただきありがとうございました!
日頃より活用している参考書です。
「参考書」
AWS認定クラウドプラクティショナー改定第3版「AWS公式サイト」
責任共有モデル「Youtube」
【CLF-C02:AWSクラウドプラクティショナー】第10回 責任共有モデル (セキュリティとコンプライアンス分野)