AWSのセキュリティー
セキュリティーはAWSにとって最重要事項
データの保護
- 回復性を備えたインフラストラクチャ
- 高度なセキュリティー
- 強力な安全対策
継続的改善
- 急速なイノベーション
- 絶えず進化するセキュリティーサービス
従量課金性
- 高度なセキュリティーサービス
- リアルタイムで新たなリスクに対処する
- より低い運用コストでニーズを満たす
コンプライアンス要件への準拠
- ガバナンスで有効になる機能
監督の強化
セキュリティ統制
一元的なオートメーション
AWSの責任共有モデル
- AWSのセキュリティ統制を継承
- コントロールをレイヤー化
セキュリティー製品と機能
- ツール
AWSとパートナーからのアクセス
モニタリングとログの記録に使用
ネットワークセキュリティ
- 組み込みのファイアウォール
- 転送中の暗号化
- プライベート接続/専用接続
- 分散サービス妨害(DDoS)の緩和
インベントリと設定の管理
- デプロイツール
- インベントリと設定のツール
- テンプレートの定義と管理のツール
※ITの資産
データの暗号化
- 暗号化機能
- キー管理オプション
AWS Key Management Service - ハードウェアベースの暗号キーストレージオプション
AWS CloudHSM
## アクセスコントロールとアクセス管理
- Identity and Access Management(IAM)
- Multi-Factor Authentication(MFA)
- 社内ディレクトリとの統合とフェデレーション
- Amazon Cognito
- AWS SSO
モニタリングとログ記録
- リスクプロファイリングを減らすツールと機能
APIコールの高い可用性
ログの集計とオプション
アラート通知
AWS Marketplace
- AWSのお客様にソフトウェアのマーケティング/販売を行う資格のあるパートナー
- AWSで実行できるオンラインソフトウェアのストア
IAM
User:永続的
Role:限定的
アクセス許可:Policy Docs→JSON形式
APIの実行認可:Role
Policy Docs
許可<明示的な禁止<なにも指定しない
CloudTrailでは全てのAPI操作が記録される
Amazon Inspector
セキュリティーの課題
ITセキュリティは重要だが、IT インフラストラクチャの保護は
- 手間がかかる
- 高価
- 時間がかかる - 構築/設定/維持
- IT環境の変化を全て追跡することが難しい
- 高価的に実現するのが難しい
Amazon Inspectorとは
- アプリケーションの評価
脆弱性
ベストプラクティスからの逸脱 - 詳細レポートの作成
セキュリティの調査結果
優先順位付き改善ステップ
AWS Shield
AWS Shieldは分散サービス妨害(DDoS)に対するマネージド型保護サービスで、AWSで実行中のアプリケーションを保護する
セキュリティーコンプライアンス
責任分担と統制
保証プログラム