はじめに
2016/7/21(木)に、AWSのセミナー【AWSで実現するセキュリティ対策】に参加してきました。
メモを少し整理しましたので、皆さんと共有します。
(分かりづらい部分もありますが、メモ程度ですので、ご理解ください)
AWSで実現するセキュリティ対策
セッション1:AWSにおけるセキュリティ対策の考え方
講演者: (AWS)桐山様
内容
概要
- クラウドにおけるセキュリティの考え方
- 最適なセキュリテの獲得
- AWSが提供するセキュリテのサービス
AWS Summit 2016について
- 自らのビジネスを破壊しなければ、必ず他社があなたのビジネスを破壊する
- 『クラウドを前提』とした設計・物事の考え方が「ニューノーマル」に
AWSのメリット
- 自家発電 → 電力会社
- 計算力(オンプレミス) → AWSサービス
- ITキャパシティの準備(余剰投資)、サイジングからの解放
クラウドの価値
- 改善:より早く、簡単に、安くできる
- 革新:今まで出来なかったことができる
- 破壊:良しとされてきた価値を無になる
クラウドにおけるセキュリティの考え方
セキュリテの「ノーマル」な悩み
- 今のセキュリティ対策が有効?
- どこまでセキュリティへ投資すればいい?
- コストは最適?
セキュリティのROIは求められうのか?
R セキュリティ対策により防げた損失 (想定できない)
-
I セキュリティ投資 (取り出せない)
セキュリティの考え方の「ニューノーマル」とは
- 適応型セキュリティ(予測、防御、検知、対応):継続的に監視と分析
クラウドが適応方セキュリティを加速
- 改善:(予測、防御)セキュリティビッグデータ、分析インテリジェンスが簡単に手に入れる
- 革新:(検知、対応)全ての社内リソースが可視化される
- 破壊:(継続的監視と分析)セキュリティにゴールが無くなった
** →「ROI」から「変化適応」へ**
最適なセキュリテの獲得
変化適応度に基づくセキュリティ・ベストプラクティス
セキュリティリスクから考える
- リスクの方程式: 脅威 × 脆弱性 × 情報資産
- セキュリティリスクは変化しており、
セキュリティレベルを動的に適応させる必要がある
AWSが提供するセキュリテのサービス
-
AWSセキュリティ共有モデル
-
AWSグローバルインフラストラクチャー
- Region
- Avalavility Zone
- DCレベルの障害対策
- DCの物理セキュリティ
- 場所の秘匿性
- NWセキュリティ
- DDos対策など
- 論理的なセキュリティ
- ハイパーバイザー
- ゲストOS
- 従業員・アカウントの管理
- 従業員雇用の審査
- アカウントの棚卸しなど
- データセキュリティ
- 所有権と管理権はお客様
- ストレージの廃棄プロセス
- DoD 5220.222-M
- NIST 800-88
セッション2:AWSにおけるグローバルでのセキュリティケーススタディ
講演者:(AWS)Hart Rossman,Eugene Yu
内容-1
- 2016/7/20 Security Jawsでの発表資料【Ubiquitous Encryption on AWS】とほぼ同じ内容
- 7日(?)の有効期限があり
クラウドセキュリティのツールセット
- NW
- VPC, WAF
- 暗号化
- KMS, CLoudHSM, Server-side Encryption
- 認証
- IAM, AD, SAML Federation
- コンプライアンス
- Service Catalog, CloudTrail, Config
Security as code
イノベーション、安定性、セキュリティ
DevSecOps
- クラウドを守るためのクラウドの活用
- クラウドを意識したセキュリティインフラストラクチャー
- APIを介してセキュリティ機能をサービスとして提供
- 全てを自動化してスケールさせる
DevSecOpsのコア・プリンシパル
- セキュアツールチェーン
- ワークロードを強固にする
- ツールチェーンを通じたセキュリティインフラのデプロイ
Security Epics
資料【AWS Cloud Adoption Framework】
- IAM
- Logging and monitoring
- Infrastructure security
- Data protection
- Incident response
- Data protection
- Incident response
- Resilience
- Compliance validation
- Secure CI/CD (DevSecOps)
- Configuration and vulnerability analysis—
- Security big data and predictive analytics
Security Cartography
- CloudFormation template
- マップ:どのコードがどの要件を満たすかを表示するもの
内容-2 (AWS IoTのセキュリティ)
AWS IoTとは
センサーなどをクラウドにつなげるサービスです。
資料【AWS IoT】
AWSセキュリティオーペレションの原則
- 権限分掌
- サービスラインごとに異なる人員
- 最小権限
デバイスのセキュリティ
- MQTT over TLS 1.2と総合認証
- ものとIoTサーバとの認証
- 持ち込みの証明証を利用可能
- IAMでポリシーを定義し、IoTリソースを管理できる
AWSリソースへのアクセスの保護
- IoTとの信頼関係の構築(AssumeRole)
- Cognito利用可能(認証・認可)
セッション3: AWSのサービスを利用したセキュリティ対策の実装について
講演者: (AWS)高田様
内容
概要
- IT環境を取りく脅威の概要
- AWSの責任共有モデル
- AWSサービスを利用したセキュリティ対策の実装
IT環境を取り巻く脅威の概要
- 不正アクセス
- データの漏洩
- リソースの不正利用
- 障害によるデータの損失
- など
AWSの責任共有モデル
- インフラレイヤーはAWSが担保
- インフラ以上のレイヤーはお客様自身で対応
AWSにオフロードすることにより得られるセキュリティの担保
- データセンターレベルの強固なセキュリティ
- 重大な脆弱性への早期対応
- 数多くの第三者認証
AWSサービスを利用したセキュリティ対策の実装
- ネットワーク防御
- 開発・本番環境の分離
- SubnetとRoutingによるセグメンテーション
- SG/NACLによるアクセス制御
- 特定の踏み台ホストからのアクセス許可
- 専用線による拠点からの接続
- インターネットとの接点の防御と極小化
- IDS/IPSの導入
- 論理アクセスの取得
- サービスに対する適切なアクセス権限
- MFAの利用
- 管理コンソールへのアクセス制御
- など
- データ保護におけるポイント
- サーバサイト暗号化
- 転送データの暗号化
- など
- ログの取得
- AWS APIログの取得
- リソースへのアクセスログ
- セキュリティグループ/ネットワークACLのログの取得
- など
- DDos対策
- CloudFront/WAFの利用
- Route53の利用
- ELBとAuto Scalingの利用
- SG/NACLの制御
- Internet接点の防御