1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

[AWS Cloud Practitiner Essential] (https://explore.skillbuilder.aws/learn/course/1875/play/27620/aws-cloud-practitioner-essentials-japanese-ri-ben-yu-shi-xie-ban) 殴りがき

責任共有モデル

AWS利用者の責任 = クラウド内のセキュリティについて責任を負う
AWS利用者のデータ
プラットフォーム・アプリケーション・アイデンティティアクセスの管理
OS・ネットワーク・ファイアウォールの設定
クライアント側のデータ暗号化・サーバー側のデータ暗号化・ネットワークトラフィックの保護
AWSの責任 = クラウドのセキュリティについて責任を負う
ソフトウェア
コンピューティング・ストレージ・データベース・ネットワーク
AWSグローバルインフラストラクチャ・リージョン・エッジロケーション・アベイラビリティーゾーン

EC2の責任モデルで言うと?

AWS利用者

クラウド内のセキュリティについて責任を負う。クラウド内で作成して配置したすべてのもの

  • データ
  • アプリケーション
  • OS

AWSの責任

クラウドのセキュリティについて責任を負う

  • ハイパーバイザー
  • ネットワーク
  • 物理レイヤー

ユーザーのアクセス許可とアクセス権

ルートユーザー

AWSアカウントの所有者。オーナー。
できることの制限はない。
作成後すぐにMFA認証するように設定すること。
ルートユーザー作成後、IAMユーザーを作成し、そのIAMユーザーに他のユーザーを作成・IAMポリシーを付与できる権限を与える。 そして、ルートユーザーから抜けて、そのIAMユーザーを使う。

AWS IAM (AWS Identity and Access Management)

デフォルトのIAMユーザーでは、すべてのアクセス権限がない。
明示的に必要最低限のアクセス権限を付与しなければ何もできない。
本当に必要なアクセス権のみを付与すること。(最小特権の原則)
AWSにアクセスするユーザーごとに、個別のIAMユーザーを作成すること。同じ設定をするユーザーが複数いる場合でも、各IAMユーザーを作ることで、セキュリティが強化される。 ⇦ 一意のセキュリティ認証情報の組み合わせを設定できるため。

  • IAMポリシーをIAMユーザーに付与することで権限が与えられる。
    • IAMポリシーとは、各サービスのAPIを実行可能であること・実行不可能であることを記述したJSONドキュメント
IAMポリシーの例.json
{ 
  "Version": "2021-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "s3:ListBucket",
    "Resource": "arn:aws:s3:::coffee_shop_reports"
}
  • Effect: 許可するのか、拒否するのか
  • Action: AWSのAPIコール(対象の操作)
  • Resource: APIコールの対象となるAWSリソース

IAM グループ

IAMユーザーをまとめたもの。
IAMグループに対して、IAMポリシーを付与することにより、そのグループ内のすべてのIAMユーザーにポリシーを付与することができる。

IAM ロール

ロールは一時的に付与されるもの。
一時的にできることを許可・拒否する際に付与する。
IAMポリシーより効力が強いため、IAMポリシーで拒否していても、ロールで許可が付与されれば実行可能となる。
ロールは、ユーザーだけではなく、アプリケーションやサービスに付与することができる

AWS Organizations

複数のAWSアカウントを一元的に管理するサービス

IAMは1つのアカウントの中に作られるものであり、ポリシーはあくまで同一アカウント内での制御。
AWS Organizationはイメージとして、複数のアカウント(複数のルートユーザー間)でリソースを共有したり、制御したりすること。
Organizationsを作ると、一つのルートが一番親として作成される。
複数のAWSアカウントに対して、OU(組織単位)でグルーピングする機能がある。 ⇦ 一つのアカウント内で言う、IAMグループのようなものを、アカウントをまたいで作る。

  • AWSアカウント間でリソースを共有できる。
  • すべてのアカウントの請求を一括請求できる。
    • 一括請求にすることで、割引が発生することもある。
  • アカウントの階層的なグループ化ができる。
  • 各アカウントがアクセスできる APIを制御できる。
    • SCP (サービスコントロールポリシー) を使って、各アカウントのアクセス許可を一元的に制御できる。 ⇦ 一つのアカウントで言うロールと同じ役割。

コンプライアンス

AWS Artifact

  • AWSのセキュリティ・コンプライアンスレポートをオンデマンドで利用できる
  • 特定のオンライン契約を提供

AWS Artifact Agreements

AWSとの契約に署名する際に活用する
アカウント(個別・Organizations)において契約の確認・受諾・管理を行うことができる。

AWS Artifact Reports

AWSを活用する上で保証されている特定の規制基準に準拠する責任に関する詳細情報を確認できる。
AWSのサードパーティー(外部の人)を監査人としてテスト・検証している。

カスタマーコンプライアンスセンター

AWSユーザーのコンプライアンスに関するストーリーを読み、様々な課題をどのように解決したかを確認できる。

  • コンプライアンスに関する質問に対する AWSの解答
  • AWS リスクとコンプライアンスの概要
  • セキュリティ監査チェックリスト
  • 監査人むけのラーニングパス

などが確認できる。

サービス妨害攻撃

DoS攻撃・DDoS攻撃などがかけられる。

AWS Shield

DoS攻撃・DDos攻撃を防ぐためのサービス

  • AWS Shield Standard
    • すべてのAWS利用者が無料で使える。
    • ベーシックなDDoS攻撃からAWSリソースを保護する
    • 悪意のあるトラフィックをリアルタイムで検出し、攻撃を緩和する
  • AWS Shield Advanced
    • 詳細な攻撃診断・高度なDDoS攻撃の検出・緩和機能を提供する
    • 有料
    • 複雑なDDoS攻撃に対してカスタムルールを作成して、AWS ShieldをAWS WAFと統合することが可能

その他のセキュリティサービス

暗号化するタイミング

  1. データを保存する際
  2. データの送受信の際

AWS KMS (AWS Key management Service)

各サービスのデータ暗号化に使われる。
暗号化キー(暗号化用・復号用)の作成・管理・使用を行う。

AWS WAF

CloudFront, Load Balancerと連動するウェブアプリケーションファイアウォール。
ネットワークACLと同じようにトラフィックに対してステートレスで動作するが、Webアクセスを対象とする。
(ネットワークACLはWebに限らず。ネットワークと通るトラフィックすべて。)

  • 指定したIPアドレスを除くすべてのリクエストを許可する感じ
  • つまり、拒否したいIPアドレスをリストに登録しておく。

AWS Inspector

AWS利用者がサービスを構築した際のセキュリティ評価を実行する。
ベストプラクティスと比較して、逸脱しているか判定する
EC2インスタンスの露出・脆弱性などの確認
サービスを実行する際に、AWS Inspectorを埋め込む。そして、各サービスの脆弱性やその対策など生成する。 

  • ネットワークの到達性に関する設定
  • Amazon エージェント
    • EC2インスタンスにインストールできる
  • セキュリティ評価サービス

などから構成されている。

※ ただし、すべてのセキュリティ問題が解決されることを保証はしない。 クラウド内の責任はAWS利用者にあるものだから。

Amazon GuardDuty

脅威検出サービス
ネットワークアクティビティの連続ストリームを分析する。(機械学習??)
ネットワークとアカウントのアクティビティを継続的にモニタリングし、脅威を特定する。修復手順なども記載される。
そのセキュリティ調査結果に応じて自動的に修復手順を実行するように AWS Lambda を設定することもできる
サービスに埋め込むなどはせず、独立して実行される。

  • AWS利用者は、インスタンスに対してセキュリティソフトを入れる必要はなくなる。
1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?