LoginSignup
14
8

More than 3 years have passed since last update.

いろいろな会社のセキュリティ要件をAWSで乗り越えるために

Last updated at Posted at 2021-05-19

概要

セキュリティ要件満たしてますか?と聞かれた時用に改めて整理した。
直近まさにこういう類の情報を求められる事が多く出てAWSの中の人にもヘルプを求めた。

あくまで私個人の理解および認識を書いただけなので、正しい情報は公式情報を参照のこと。つまり免責。

参考サイト 2021/05/24追記

WAF関連

WAF = Web Application Firewall
いわゆるDDoSやSQLインジェクションなどの明らかに攻撃の類であるものを防ぐもの

AWS WAF

詳しい概要はクラスメソッドさんの記事のがわかりやすいと思う
https://dev.classmethod.jp/articles/fully-understood-aws-waf-v2/

個人的にはALB(Application LoadBalancer)にデフォルト導入されてる AWS Shield Standard だけで大半は大丈夫だと思う。DDoS以外の条件や細かいルールカスタマイズなどうるさく求められる場合にはWAF導入かな。

AWS WAFのルールにひっかかってシャットアウトされたときに何が原因かわからなかったり、ルール管理は必要。
無害なのに殺される例としては、

  1. JPGをアップロードする
  2. バイナリデータがWAFのルールに抵触する文字列もってたりする
  3. 攻撃と判断する
  4. アップロードできない

みたいな流れ。机上の空論だけど起こりうる。が、それが起こっちゃった時に誰もわからんのじゃね???

IPS/IDS

IPS = Intrusion Prevention System(不正侵入防止システム=侵入を防ぐ)
IDS = Intrusion Detection System(不正侵入検知システム=侵入をお知らせするだけ)

AWS GuardDuty

GuardDutyに対してCloudTrailやVPCフローログなどを渡すことで驚異をチェックする。
かませたいデータの総量によって課金額が決まる。
GuardDuty + CloudTrail、GuardDuty + VPC Flow Logsみたいなセットで。
なお厳密にはIPSっぽい挙動を実現できるというのが正しい表現。いわゆるIPS/IDSと呼ばれて販売されてるサービスというわけではない。
が、ほぼ同じことができるので、回答としてはこれで正しいと思う。

ドキュメント開示を求められたら

AWS Artifact

AWSコンプライアンスレポート(第三者監査レポート)のダウンロードサービス。
AWS自体をあーだこーだ言われた時に使う用。ほぼ言われなくなった気はします。病院とか学校とかはまだあるかも。。。

FISC

簡単にいうと金融関係向けのAWSが何をしているのかを明記したドキュメント。
ここに書かれているルールに対象項目があれば、◯◯の項目の通りですみたいな辞書的に参照する先として使う

終わりに

the なぐり書き。
細々違うと思うし自身もまだ使ったこと無いものもあるため説明不十分かもです。
まあでも十分の材料でしょう。ここから各自調べてもろて。オネシャス。
(それで出来ればおかしい点などご指摘ください!)

14
8
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
14
8