AWSの責任共有モデル
- AWSはクラウド本体のセキュリティ部分を担当する。
- ユーザーはクラウド内のセキュリティを担当する。
- AWSが用意するセキュリティサービスを適切に活用して、ユーザーはクラウド内のセキュリティを管理できる。
AWSクラウドのセキュリティ
- AWSのデータセンターのセキュリティはAWSの担当。
- ハイパーバイザーのセキュリティはAWSの担当。
- ルートアカウントのAPIキーは作成しない。
- マネージドでないサービスのセキュリティの責任については、ユーザーが操作できる部分は全てユーザーの責任。
- サービスのプラットフォーム部分はAWSの責任。
- 転送中データを保護するには、適切なプロトコルおよび暗号化アルゴリズムを選択する。
IAM
- 各IAMユーザー、IAMグループには、必要最低限の権限を付与する。
- IAMポリシーが相反するときには、拒否が優先される。
- IAMユーザーには、最大2つのAPIキーが発行できる。
セキュリティグループ
- 認可ルールの指定が可能
- 拒否ルールは指定は不可能
- インバウンドトラフィックとアウトバウンドトラフィックのルールを個別に指定可能。
AWS ShieldとAWS WAF
- AWS Shieldはマネージド型のDDoS攻撃に対する保護サービス。
- AWS Shield Standardは一般的なDDoS攻撃からAWS上のシステムを保護する。
- AWS WAFはマネージド型のWebアプリケーションファイアウォールサービス。
- AWS WAFの基本利用料は無料。Webセキュリティルールに基づき課金される。
Inspector
- Amazon Inspectorは脆弱性診断を自動で行うことができるサービス。
- EC2上にデプロイされたアプリケーションに対応。
- 各種ルールパッケージはAWSが最新のものにアップデート。
- スケジューリング設定により、完全に自動でチェック可能。
引用元:AWS認定クラウドプラクティショナー トレノケート株式会社 山下光洋、海老原寛之