AWS
責任共有モデル

AWSセキュリティとコンプライアンス勉強まとめ

AWS責任共有モデル

  • お客様自身でクラウドをコントロール可能 ネットワーク、サーバ、セキュリティなどなど
  • AWSがクラウドのセキュリティを担当。AWS基本サービス

AWS の責任はクラウドのセキュリティ(Security "of" the Cloud)
AWS は、AWS クラウドで提供されるすべてのサービスを実行するインフラストラクチャの保護に責任を負います。
このインフラストラクチャはハードウェア、ソフトウェア、ネットワーキング、AWS クラウドのサービスを実行する施設で構成されます。
データセンターの物理セキュリティ
ネットワークセキュリティ(DDoS攻撃対策、ポートスキャニング対策、)
論理的なセキュリティ(ホストOS、ゲストOS)
従業員・アカウントの管理
データセキュリティ
ストレージの廃棄プロセス

お客様の責任はクラウドにおけるセキュリティ(Security "in" the Cloud)
お客様の責任は、選択した AWS クラウドのサービスに応じて異なります。選択によって、セキュリティに関する責任の一環としてお客様が実行する構成作業の量が決定します。例えば、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Virtual Private Cloud (Amazon VPC)、Amazon S3 などのサービスは Infrastructure as a Service (IaaS) に分類されているため、必要なすべてのセキュリティ構成および管理のタスクをお客様が実行する必要があります。お客様が Amazon EC2 インスタンスをデプロイした場合、お客様は、ゲストオペレーティングシステムの管理 (更新やセキュリティパッチなど)、インスタンスにインストールしたアプリケーションソフトウェアまたはユーティリティの管理、AWS より各インスタンスに提供されるファイアウォール (セキュリティグループと呼ばれる) の構成に責任を負います。
IAM, KMS, CloudTrail, Trusted Advisor, VPC, セキュリティグループなどなど
サーバーOS、セキュリティ
Amazon Inspector(セキュリティ診断サービス)
ネットワークセキュリティ(VPCなど)
論理的アクセスコントロール(IAMなど)
Key Management Service
CloudHSM(ハードウェアセキュリティモジュール)
CloudTrail

参考URL:https://aws.amazon.com/jp/compliance/shared-responsibility-model/

Security by Design(SbD)
AWSアカウントの設計の規格化、セキュリティ制御の自動

CloudFormationで設計をテンプレート化

Trusted Advisor定期的な調査

参考URL:https://www.slideshare.net/AmazonWebServicesJapan/awswebinar-aws-59853341