セキュアなアプリケーションおよびアーキテクチャを規定する
AWS Innovate オンラインカンファレンス
* AWS 認定 - 試験対策 「ソリューションアーキテクト - アソシエイト」
* セッション1:回復性の高いアーキテクチャを設計する
* セッション 2:パフォーマンスに優れたアーキテクチャを定義する
* セッション 3:セキュアなアプリケーションおよびアーキテクチャを規定する
* セッション 4:コスト最適化アーキテクチャを設計する
* セッション 5:運用上の優秀性(オペレーショナルエクセレンス)を備えたアーキテクチャを定義する + クロージング
アプリケーション層の保護方法を決定する
責任共有モデル
- AWSの責任
- クラウドのセキュリティに責任を持つ
- すべてのサービスを実行するインフラストラクチャの保護に責任を負う
- ハードウェア、ソフトウェア、ネットワーキング、施設が含まれる
- お客様の責任
AWS Identity and Access Management(AWS IAM)
- リソースへのアクセスコントロールを管理する
- 操作に対する認証と認可の仕組を提供するサービス
- ユーザー、グループ、ロール、ポリシーの4つを制御
- IAMユーザー
- 認証情報を管理
- ひとりに対してひとつIAMユーザーを作成する
- IAMグループ
- IAMロール
- IAMポリシー
- 認証を受けたユーザーがアクセスできるリソースの範囲、操作を定義するドキュメント
- ユーザー、グループ、ロールに割り当てることでアクセスできる権限の範囲を指定できる
- 必要な最小限の権限を付与する
- 権限が足りなければ必要な権限のみを追加する
- フェデレーション
- 自社のユーザー認証に対してSAML IDフェデレーションを利用することで IAMユーザーとの二重管理を避けることができる
- ウェブIDフェデレーション
- Security Token Service(STS)を使用してロールを割り当てられたOpenIDプロバイダーのウェブIDを持つユーザー
- アンチパターン
- ベストプラクティス
- AWSアクセスキーを管理するためのベストプラクティス
- AWS セキュリティのベストプラクティス」ホワイトペーパー
- アマゾンウェブサービス: セキュリティプロセスの概要
データの保護方法を決定する
Virtual Private Cloud(VPC)
- お客様独自のプライベートな仮想ネットワークを構築できる
- AWSリソースを起動することができる
- IPv4, IPv6 を利用できる
- インターネットから直接アクセスできるパブリックなサブネットとインターネットから直接アクセスできないプライベートなサブネットの大きく二つに別けることを推奨
- パブリックサブネットは、インターネットゲートウェイが設定されるルーティングテーブルがアタッチされたサブネット
- プライベートサブネットは、インターネットゲートウェイが設定されないルーティングテーブルがアタッチされたサブネット
サービス |
概要 |
インターネットゲートウェイ |
インターネットに接続できる |
仮想プライベートゲートウェイ |
オンプレミスとのVPN接続 |
AWS Direct Connect |
オンプレミスとの専用回線接続 |
VPCピア接続 |
VPCとVPCを接続する |
VPCエンドポイント |
VPC内のインスタンスとS3などのVPC外にあるサービスと直接接続 |
NATゲートウェイ |
プライベートサブネットからのインターネット接続 |
VPCフローログ |
VPC内のトラフィックを監視 |
セキュリティグループとネットワークACL
|
セキュリティグループ |
ネットワークACL |
ルール |
明示的な許可のみ |
明示的な許可または拒否 |
ステート |
ステートフル |
ステートレス |
適用対象 |
ENIに適用 |
サブネットに適用 |
関連付け |
単一のVPCに関連付け |
単一のVPCに関連付け |
サポート対象 |
VPCとEC2 Classic |
VPCのみ |
データ層
- データの保護
- 転送中のデータ
- インターネットからWebの通信は、SSL
- VPN, Direct Connectによるオンプレミスとの通信は、 IPsec
- オンプレミス・AWSへのImport/Export Snowballでデバイスによるデータ移動
- AWS API は、デフォルトでHTTPS
- 保管中のデータ
- データに対するアクセスコントロール
- 暗号化
- S3
- デフォルトは、プライベートなデータ
- サーバサイド暗号化
- クライアントサイド暗号化
- AWS KMS(Key Management Service)
- お客様によるソフトウェアベースのキー管理
- マネージドサービス
- AWS CloudHSM
単一VPCアプリケーション向けのネットワーキングインフラストラクチャを定義する