search
search
LoginSignup
TrendQuestionOfficial EventOfficial ColumnOpportunitiesOrganization
0
0

More than 1 year has passed since last update.

@itaitasan

posted at

updated at

【AWS認定クラウドプラクティショナー資格】② AWSのセキュリティ

AWS,クラウド,初心者エンジニア,AWS認定クラウドプラクティショナー

項目

1.AWS責任共有モデル
2.AWSクラウドのセキュリティ
3.IAM
4.セキュリティーグループ
5.「AWS Shield」と「AWS WAF」
6.Inspector

『AWS認定資格試験テキスト AWS認定クラウドプラクティショナー』 の第3章に相当

1.AWS責任共有モデル

AWSでは、責任所在が明確になっています。

AWSとユーザーのそれぞれは、責任を負う部分が明確になっており、それぞれが責任を共有して守っていくことを「責任共有モデル」と言います。

(1)クラウド本体のセキュリティ

AWSが担当するセキュリティ部分です。

ハードウェア、AWSグローバルインフラストラクチャ、リージョン、アベイラビリティ、エッジロケーションといったデータセンター、マネージドなサービス、そこに含まれる各種サービスが、AWSの担当です。

AWSでは、プライバシー及びデータ保護における"国際的なベストプラクティス"を採用した「セキュリティ保障プログラム」を策定しています。

(2)クラウドないのでセキュリティ

クラウド内のセキュリティは、ユーザーの担当です。

オペレーションシステム、アプリケーションの管理、AWSが提供するセキュリティグループファイアーウォールなどの管理を、ユーザー自らがしなければいけません。

2.AWSクラウドのセキュリティ

利点は4つです。

(1)データ保護

➡️ユーザーの情報を保護するための強力な安全対策が施されている。すべてのデータは、AWSのデータセンターに保存されている。

(2)コンプライアンス要件に準拠

➡️AWSインフラストラクチャの中で、数多くのコンプライアンスプログラムを活用できる。そのため、サービスを利用するだけで、一部のコンプライアンスを自動的に満たすことができる。

(3)コスト削減

➡️人員や設備などをコストをかけなくても済む。

(4)迅速なスケーリング

➡️AWSクラウドの使用量に合わせてセキュリティをスケーリングできる。

○AWSが責任を持つ範囲

▼物理的なセキュリティ

(1)環境レイヤー

様々な災害によるリスクを低減するため、データセンターの設置場所を慎重に選択している。
もし、何らかの処理中に特定のデータセンターが被害を受けても、同じデータセンター群に属している別の場所のデータセンターに処理を移行できる。

(2)物理的な境界防御レイヤー

物理的な位置によって、保安要員、防御壁、進入検知テクノロジー、監視カメラ、そのほかセキュリティ上の装置などが存在している。

(3)インフラストラクチャレイヤー

データセンターの建物、各種機器、およびそれらの運用に関わるシステムが存在している。
発電設備や、冷暖房換気空調設備、消化設備などもある。

(4)データレイヤー

ユーザーのデータを保持する唯一のエリアとなる。
アクセスを制限し、各レイヤーにおいて特権を分離している。

▼ハイパーバイザーのセキュリティ管理

ハイパーバイザーのセキュリティは、AWSが担当します。

ハイパーバイザーをターゲットとしたセキュリティ対策は、AWSが行います。

「ハイパーバイザー」とは、コンピュータを仮想化するためのソフトウェアのことです。 物理的なマシンの中に、仮想的なコンピュータを作り出し、実行する際に使用します。 物理的なマシンが1台でも、複数の仮想環境を構築することで、並列して作業を行うことができます。

▼管理プレーンの保護

これは、ユーザーの責任範囲です。

具体的には、「ID・パスワード」「キーペア」「APIキーの管理」「アクセス制御と権限管理」が該当します。

「ID・パスワード」について、AWSでは、「MFA(多要素認証)デバイス」の利用が可能となっており、サインアップ時に作成したルートアカウントなど、権限の強いアカウントに設定することが望ましいです。

「キーペア」について、EC2などのインスタンスへのログインで使用します。

現在では、公開鍵認証方式を用いたキーペア管理が一般的です。

秘密鍵と公開鍵をセットで管理するのですが、どちらもユーザーの責任で管理しなくてはいけません。そのため、秘密鍵を失くしても、AWSでは対応できません。

「APIキーの管理」については、WEBブラウザで操作を行うAWSマネジメントコンソール、コマンドで操作を行うAWS CLI、プログラムで操作を行うAWS SDKの3つがあります。

AWS CLIとAWS SDKでは、アクセスキーとシークレットアクセスキーのペアで認証します。これらは、IDとパスワードに相当するものであり、各ユーザーに対して作成できます。

そのため、権限の強いアカウントでは発行しないようにし、必要最低限の権限のみ付与することが推奨されています。

特に、ルートアカウント(最も権限の強いアカウント)には、APIキーを発行しないようにしましょう。

▼マネージドでないサービス

Amazon EC2やAmazon VPCなど、(Iaas)にカテゴライズされるサービスは、ユーザーが管理者権限やルート権限を持って管理するため、ユーザーの責任となります。

EC2インスタンスの場合、ゲストOSの管理、インストールするアプリケーションソフトウェア、AWS提供のファイアーウォールの設定などに責任を持たなければいけません。

マネージドでないサービス上に存在するデータやコンテンツも、ユーザーに管理責任があります。

▼マネージドなサービス

データベースサービスであるAmazon RDSやAmazon DynamoDBなどがマネージドなサービスの一例です。

ユーザーから直接見えない部分の責任は、AWSにあります。

オペレーティングシステムや、データベースのパッチ適用、ファイアーウォールの設定、災害対策など、AWSが実行します。

パッチの適用、メンテナンス、ウィルス対策ソフトの導入など、ユーザーは行う必要がなくなります。

マネージドサービスの場合、リソースへのアクセスコントロールの設定と、アカウント認証情報の保護のみがユーザーの責任です。

○セキュリティのベストプラクティス

ユーザーが責任を負う部分について、下記の4点を押さえておく必要があります。

(1)転送中のデータ

適切なプロトコルおよび暗号化アルゴリズムを使用します。
インターネットを介した通信の場合、第三者からその通信内容を秘匿する必要があるので、SCPなどの暗号化されたプロトコルを選択しましょう。
また、脆弱性のある暗号化アルゴリズムを使用することも避けましょう。

(2)蓄積データの保護

蓄積データの物理的な保護はAWSが行ってくれますが、運用上のデータベースやストレージの内容を出力することがあります。
この際、意図しないところで、権限のないスタッフにもアクセス可能な状態となることがあります。
そのため、データベースを扱う際は、データの暗号化を行うことが望ましいです。
AWSにはマネージドなデータベースの暗号化サービスがあるので、それらを有効活用することもできます。

(3)AWSの資格情報の保護

ルートアカウントを多用せず、IAMユーザーを作成し、最小限の権限だけ付与しましょう

(4)アプリケーションの安全性の確保

SQLインジェクションやOSコマンドインジェクションなどの対策を行いましょう。
IPAやCSAなどの団体が示している脆弱性関連情報をもとに対策を行うことが望ましいです。

○第三者認証

AWSは、第三者機関による検査を受けており、そのレポートをAWS Artifactにて提供しています。

3.IAM

IAMとは、「AWS Identity and Access Management」の頭文字をとったものです。

これは、ユーザーのAWSクラウドリソースへのアクセス管理サービスです。

AWSにサインアップした時のアカウントを「ルートアカウント」と呼び、すべての権限を持っています。

ルートアカウント内で、IAMユーザーやIAMグループを作成することができます。

IAMユーザーごとに、各種リソースの権限を付与します。

AIMポリシーが相反する時、拒否が優先されます。

APIキーは、IAMユーザーに最大2つまで発行できます。

これは、キーの入れ替えを行う際に、すべての入れ替えが終わるまでアプリケーション側に権限がなくなってしまうのを防ぐためです。

○IAMロール

現在、APIキーの使用は推奨されていません。

その代わり、IAMロールの使用が推奨されています。

AWSの内部で、IAMロールとEC2を直接紐づけることができるため、キーを管理する必要がありません。

4.セキュリティグループ

セキュリティグループは、1つ以上のインスタンスのトラフィックを制御する仮想ファイアーウォールです。

各インスタンスごとに個別のファイアーウォールを設定することができます。

「許可ルールの指定が可能」「拒否ルールの指定は不可能」「インバウンドトラフィックとアウトバウンドトラフィックのルールを個別に指定可能」といった設定ができます。

5.「AWS Shield」と「AWS WAF」

○AWS Shield

AWS Shieldは、マネージド型の分散サービス妨害(DDos攻撃)に対する保護サービスです。

DDos攻撃とは、意図時に通信量を増大させ、通信回線やサーバーに負荷をかけることで、サービス利用を困難にさせたり、ダウンさせたりする攻撃のことです。

AWS Shieldは、StandardとAdvancedといった保護サービスがあります。

○AWS WAF

AWS WAFは、アプリケーションの可用性低下、セキュリティの侵害、リソースの過剰消費などの一般的なWebの脆弱性からWebアプリケーションを保護する、マネージド型のファイアーウォールです。

基本的に無料で、設定については、ユーザー自身で行う必要があります。

AWS ACLでのAWS WAFの適用サービスは、 CDNサービスのCloudFront、ロードバランサーのApplication Load Balancer、API Gatewayから選択します。

6.Inspector

AWSのEC2上にデプロイされたアプリケーションのセキュリティとコンプライアンスを向上させるための、脆弱性診断を自動で行うことができるサービスです。

評価が実行されたあと、重大性の順に結果を表示した詳細なリストが作成されます。

Inspectorによって行える診断の項目は、「一般的な脆弱性や漏洩」「ネットワークセキュリティにおけるベストプラクティス」「認証におけるベストプラクティス」「OSのセキュリティにおけるベストプラクティス」「アプリケーションセキュリティにおけるベストプラクティス」「PCI DSS 3.0アセスメント」などです。

以上

※補足

AWSのコンプライアンスレポートにオンデマンドでアクセスできる無料のサービスAWS Artifactがあります。

また、AWS Key Management Service(KMS)というサービスもあり、AWS上で暗号化キーを簡単に作成・管理し、幅広いAWSのサービスやアプリケーションでの使用を制御できます。

参考書籍

※ 『AWS認定資格試験テキスト AWS認定クラウドプラクティショナー』

Amazonはこちら

楽天はこちら

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
What you can do with signing up
Sign upLogin
0
0