Help us understand the problem. What is going on with this article?

AWSのセキュリティ方針について

More than 3 years have passed since last update.

AWSが公開している資料のまとめ。SlideShareのドキュメントはこちら

まとめの視点としては、AWSを利用する上で何を知るべきか?という点にフォーカスします。IAMなどのセキュリティを担保するサービスの役割とか、そういうところ。

Agenda

3本立て。

  1. AWSのセキュリティ方針
  2. AWS側のセキュリティ
  3. AWS利用者側のセキュリティ

責任共有モデル

AWSと利用者、お互いでセキュリティを担保しましょうよ、という話。
インフラの部分はAWSが担保するので、その上で動くものについては利用者でちゃんとやりましょうねということ。利用者の方で担保する「責任」は、具体的には以下。

  • OS
  • F/W
  • N/W設定
  • アカウント管理
  • セキュリティグループ
  • アプリケーション

AWS側で提供するセキュリティ

項目としては以下の5項目。

  • 物理セキュリティ
  • N/Wセキュリティ
  • VMセキュリティ
  • 管理者層による管理者権限アクセス
  • 認定&認証評価

抜粋します。
詳しくはAWS Security Center参照。ホワイトペーパーも公開されてます。

N/Wセキュリティ

対策してる攻撃として以下の5点を挙げています。

  • DDoS
  • Man in the Middle
  • IPスプーフィング
  • 許可されていないポートスキャン
  • パケット・スニッフィング

DDoSとIPスプーフィングは1セットっぽい。DDoSは特定のサービスへの集中砲火、IPスプーフィングは攻撃者の身元詐称、こう理解しています。

N/Wトラフィックフローセキュリティ

トラフィックを制御する手段は3つ。

  1. セキュリティグループ
  2. N/W ACL
  3. Subnet, Routing Table, Gateway (VPC)

1台のホストを見るのであればOS F/W、複数台のホストを対象に適用するのがセキュリティグループ、ネットワーク全体に適用するのがACL。
要件によってサブネットを切ったりするけど、ACLはそういう1つの「要件」を満たす部分かなーと思っています。で、その中の(論理的な)構成要素に対してセキュリティグループを適用し、個別の面倒をOSのF/Wで見る。こんなところでしょうか。

VMセキュリティ

仮想化はまだよくわからんので飛ばします。でも理解しておきたいトピックなので項目だけ作っておく。

利用者側のセキュリティ

SlideShareより画像を引用します。
利用者側のセキュリティ
AWS独自のセキュリティ対策が以下。

  • Amazon VPCの利用
    • セキュリティグループ
    • N/W ACL
    • ENI
    • VPN/専用線接続
  • MFAデバイスの利用
  • IAMの利用

注意すべきは"VPC!=VPN"であること。VPNとか使わなくても、VPCを使っておいた方が利点が多いらしい。

IAM (Identity and Access Management)

多分この記事の最重要事項。チュートリアルの段階でも出てくるし。

IAMは AWSの操作 に対する権限を設定できる。ユーザ個別でも、グループ(複数ユーザ)に対してもOK。例えば「EC2の停止ができないユーザ」を作ることができる。結構きめ細かいなーという印象。

IAM Roleなるモノもあるらしいけど、ここでは触れません。

まとめ

  • 共有責任モデルを理解し、必要なところだけに注力する
  • 既存のセキュリティポリシーを適用
  • AWS独自の部分は、提供機能をしっかり利用

ACLもIAMも既存の機構に近いものなので、学習コストもそんなに敷居が高くなさそうですね。それぞれの適用シーンをもうちょっと押さえていきたいです。

Why do not you register as a user and use Qiita more conveniently?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away