セミナー「AWSで実現するセキュリティ対策」のメモ

はじめに

　2016/7/21（木）に、AWSのセミナー【AWSで実現するセキュリティ対策】に参加してきました。
　メモを少し整理しましたので、皆さんと共有します。
（分かりづらい部分もありますが、メモ程度ですので、ご理解ください）

AWSで実現するセキュリティ対策

セッション1:AWSにおけるセキュリティ対策の考え方

講演者: (AWS)桐山様

内容

概要

1. クラウドにおけるセキュリティの考え方
2. 最適なセキュリテの獲得
3. AWSが提供するセキュリテのサービス

AWS Summit 2016について

• 自らのビジネスを破壊しなければ、必ず他社があなたのビジネスを破壊する
• 『クラウドを前提』とした設計・物事の考え方が「ニューノーマル」に

AWSのメリット

• 自家発電　→　電力会社
• 計算力(オンプレミス) →　AWSサービス
• ITキャパシティの準備（余剰投資）、サイジングからの解放

クラウドの価値

• 改善：より早く、簡単に、安くできる
• 革新：今まで出来なかったことができる
• 破壊：良しとされてきた価値を無になる

クラウドにおけるセキュリティの考え方

セキュリテの「ノーマル」な悩み

• 今のセキュリティ対策が有効？
• どこまでセキュリティへ投資すればいい？
• コストは最適？

セキュリティのROIは求められうのか？

R   　セキュリティ対策により防げた損失  (想定できない)
-
I     セキュリティ投資　(取り出せない)

セキュリティの考え方の「ニューノーマル」とは

• 適応型セキュリティ(予測、防御、検知、対応):継続的に監視と分析

クラウドが適応方セキュリティを加速

• 改善：(予測、防御)セキュリティビッグデータ、分析インテリジェンスが簡単に手に入れる
• 革新：（検知、対応）全ての社内リソースが可視化される
• 破壊：(継続的監視と分析)セキュリティにゴールが無くなった

　→「ROI」から「変化適応」へ

最適なセキュリテの獲得

変化適応度に基づくセキュリティ・ベストプラクティス

セキュリティリスクから考える

• リスクの方程式: 脅威 × 脆弱性 × 情報資産
• セキュリティリスクは変化しており、
  セキュリティレベルを動的に適応させる必要がある

AWSが提供するセキュリテのサービス

1. AWSセキュリティ共有モデル

2. AWSグローバルインフラストラクチャー

   • Region
   • Avalavility Zone
   • DCレベルの障害対策

3. DCの物理セキュリティ

   • 場所の秘匿性

4. NWセキュリティ

   • DDos対策など

5. 論理的なセキュリティ

   • ハイパーバイザー
   • ゲストOS

6. 従業員・アカウントの管理

   • 従業員雇用の審査
   • アカウントの棚卸しなど

7. データセキュリティ

   • 所有権と管理権はお客様

8. ストレージの廃棄プロセス

   • DoD 5220.222-M
   • NIST 800-88

セッション2:AWSにおけるグローバルでのセキュリティケーススタディ

講演者:(AWS)Hart Rossman,Eugene Yu

内容-1

• 2016/7/20 Security Jawsでの発表資料【Ubiquitous Encryption on AWS】とほぼ同じ内容
  • 7日(?)の有効期限があり

クラウドセキュリティのツールセット

• NW
  • VPC, WAF
• 暗号化
  • KMS, CLoudHSM, Server-side Encryption
• 認証
  • IAM, AD, SAML Federation
• コンプライアンス
  • Service Catalog, CloudTrail, Config

Security as code

イノベーション、安定性、セキュリティ

DevSecOps

• クラウドを守るためのクラウドの活用
• クラウドを意識したセキュリティインフラストラクチャー
• APIを介してセキュリティ機能をサービスとして提供
• 全てを自動化してスケールさせる

DevSecOpsのコア・プリンシパル

• セキュアツールチェーン
• ワークロードを強固にする
• ツールチェーンを通じたセキュリティインフラのデプロイ

Security Epics

資料【AWS Cloud Adoption Framework】

1. IAM
2. Logging and monitoring
3. Infrastructure security
4. Data protection
5. Incident response
6. Data protection
7. Incident response
8. Resilience
9. Compliance validation
10. Secure CI/CD (DevSecOps)
11. Configuration and vulnerability analysis—
12. Security big data and predictive analytics

Security Cartography

• CloudFormation template
• マップ:どのコードがどの要件を満たすかを表示するもの

内容-2 (AWS IoTのセキュリティ)

AWS IoTとは

センサーなどをクラウドにつなげるサービスです。
資料【AWS IoT】

AWSセキュリティオーペレションの原則

• 権限分掌
• サービスラインごとに異なる人員
• 最小権限

デバイスのセキュリティ

• MQTT over TLS 1.2と総合認証
• ものとIoTサーバとの認証
• 持ち込みの証明証を利用可能
• IAMでポリシーを定義し、IoTリソースを管理できる

AWSリソースへのアクセスの保護

• IoTとの信頼関係の構築(AssumeRole)
• Cognito利用可能(認証・認可)

セッション3: AWSのサービスを利用したセキュリティ対策の実装について

講演者: (AWS)高田様

内容

概要

1. IT環境を取りく脅威の概要
2. AWSの責任共有モデル
3. AWSサービスを利用したセキュリティ対策の実装

IT環境を取り巻く脅威の概要

• 不正アクセス
• データの漏洩
• リソースの不正利用
• 障害によるデータの損失
• など

AWSの責任共有モデル

• インフラレイヤーはAWSが担保
• インフラ以上のレイヤーはお客様自身で対応

AWSにオフロードすることにより得られるセキュリティの担保

• データセンターレベルの強固なセキュリティ
• 重大な脆弱性への早期対応
• 数多くの第三者認証

AWSサービスを利用したセキュリティ対策の実装

1. ネットワーク防御
   • 開発・本番環境の分離
   • SubnetとRoutingによるセグメンテーション
   • SG/NACLによるアクセス制御
   • 特定の踏み台ホストからのアクセス許可
   • 専用線による拠点からの接続
   • インターネットとの接点の防御と極小化
   • IDS/IPSの導入
2. 論理アクセスの取得
   • サービスに対する適切なアクセス権限
   • MFAの利用
   • 管理コンソールへのアクセス制御
   • など
3. データ保護におけるポイント
   • サーバサイト暗号化
   • 転送データの暗号化
   • など
4. ログの取得
   • AWS APIログの取得
   • リソースへのアクセスログ
   • セキュリティグループ/ネットワークACLのログの取得
   • など
5. DDos対策
   • CloudFront/WAFの利用
   • Route53の利用
   • ELBとAuto Scalingの利用
   • SG/NACLの制御
   • Internet接点の防御