AWSでセキュリティを高める!
54 likes23,792 views
・AWSを使うとなぜセキュリティレベルが向上するのか? ・そのロジックをどのようにお客様に伝えるのか? ・AWSが提供する「共有責任モデル」において、ユーザーが守るべき領域はどこで、それは具体的にどのように守るのか? 100を超えるAWS導入プロジェクトを進めてきたAWS専業のインテグレーターであるサーバーワークスが、過去の実績を踏まえ、AWSのセキュリティに関する疑問にお答えします。 (2013年2月16日 JAWS-UG横浜 第3回勉強会での発表資料です)
AWSでセキュリティを高める!
- 1. AAWWSSで セキュリティを 高める! • 株式会社サーバーワークス • 大石 @@ooooiisshhii
- 2. おおいし りょう 大石 良 株式会社サーバーワークス 代表取締役 – 昭和4488年77月2200日 新潟市生まれ – コンピューターとの出会いは1100歳の頃 – 当時はPPCC--88000011にベーマガのプログラムを入�力する日々 – コンピューターの購入�は1111歳 / SSHHAARRPP XX11 – 中22の時に初めてプログラムが書籍に掲載 – 高校入�学記念にXX6688000000を購入� – 大学生の時にパソコン通信開始。本格的にシェアウェアを販売 – 総合商社でインターネットサービスプロバイダー事業に携わる – 22000000年にEECCのAASSPPを立ち上げるべく起業
- 3. クラウド の すけ おおいし 大石 蔵人之助 株式会社サーバーワークス 代表取締役 – 昭和4488年77月2200日 新潟市生まれ – コンピューターとの出会いは1100歳の頃 – 当時はPPCC--88000011にベーマガのプログラムを入�力する日々 – コンピューターの購入�は1111歳 / SSHHAARRPP XX11 – 中22の時に初めてプログラムが書籍に掲載 – 高校入�学記念にXX6688000000を購入� – 大学生の時にパソコン通信開始。本格的にシェアウェアを販売 – 総合商社でインターネットサービスプロバイダー事業に携わる – 22000000年にEECCのAASSPPを立ち上げるべく起業
- 4. クラウド の すけ 蔵人之助 というくらいですから、
- 5. 持ちネタ 切腹
- 6. もし今日のセッションで 皆様に得るものがなかったら・・・ 切腹します
- 9. 昔の合格発表
- 10. 今の合格発表
- 11. シェア 6600%%
- 12. ところが・・・
- 13. 必要なサーバー数 課題 無駄 必要なコスト 22月 88月
- 14. そこで、
- 17. 22001111年 AWS Solution Provider 22001122年 Amazon Partner Network最上位の Advanced Consulting Partner
- 19. 事例
- 20. AAWWSSの当社事例
- 23. サイトダウンの理由 被災者: 非被災者: 救急医療など、支援 義援金やボランティ が受けられる場所を ア活動など、支援で 探す目的で きる方法を探す目的
- 26. EC2
- 27. 義援金受付システム
- 28. 負荷分散装置 20台の、物理的に離れた 2つのデータセンターに設置 されたウェブサーバー 1日に500万通送信できる メールサーバー 物理的に離れたデータセンター間で リアルタイムに同期し、かつ1時間おきに 環境構築22時間 バックアップを取るデータベース アプリ開発4488時間
- 29. タイムチャート: 33月1144日 日本赤十字社様との打ち合わせ 33月1155日 サイト復旧 33月1177日 義援金管理システム稼働開始
- 30. 事実 震災後の迅速な義援金の募集に 一役買ったのは、
- 31. AAWWSS導入�の最大ハードル 上司・顧客の この一言
- 32. セキュリティは?
- 34. 一般的なシステムの脅威 外部 データ漏えい 攻撃者によるアタック 内部 物理的アクセスによる データ盗難
- 35. クラウド特有の脅威 仮想マシン 場所が分からなくて、 なんとなく不安・・・ 仮想マシン 物理マシンを共有したら、意 図せず漏洩したりしないか AAWWSSのオペレーターが情報を 仮想マシン もっていったりしないか?
- 36. AAWWSSは何をしているのか?
- 37. AAWWSSの回答 11.. 第三者認証 22.. テクノロジー 33.. 場所の隠匿
- 38. 第三者認証 • ISMS(ISO27001) • PCI DSS Level 1 • FISMA-Modarate • ISAE3402 SOC1 (formerly known as SAS70 type II)
- 39. テクノロジー • 特許技術で、XXeennを拡張 • AAWWSS社員も顧客のデータに アクセスできない
- 40. 場所の隠匿 • 場所は明かさない • 見学もさせない ?
- 41. 中国 – 2500年前
- 42. 戦っても勝ち目はない趙の決断 「降伏と見せかけて 始皇帝を暗殺しよう」
- 44. 地図を渡す=完全な服従の意 地図を渡す=攻撃が成功する 可能性が極めて高くなる
- 45. 場所の情報はそれほど 重要な情報なので、 AAWWSSは場所を明かさない
- 46. 安心 < 安全
- 48. 反対する方に質問 11.. 会社存続に、必須の経営資源は 何ですか? 22.. それはどこにありますか?
- 51. なぜ大切なお金を銀行に預けるのか? • セキュリティ – 社内より銀行の方が安全 • 可用性 – 預けた支店が事故を起こしても口座情報は保持 • 利便性 – AATTMM+カードでどこでもアクセス
- 52. クラウドも、銀行と同じです • セキュリティ – 社内よりAAWWSSの方が堅牢な物理セキュリティを確保 • 可用性 – クラウド側で高い耐久性を維持 (SS33のファイル耐久性は9999..999999999999999999%%) • 利便性 – ネット越しにどこからでも簡単にアクセス
- 53. NASAと、御社とでは、 どちらがIITTインフラの セキュリティレベルを保つ 仕組みが整っていると思いますか?
- 54. AAWWSSで、われわれの組織内の インフラよりもはるかに高い セキュリティを保てるようになる NASA ジェット推進研究所(JPL)のシニア・ソリューション・アーキテクト カワジャ・シャムズ(Khawaja Shams)氏 h3p://www.atmarkit.co.jp/ait/ar>cles/1301/24/news087.html
- 55. セキュリティを高めるために、 銀行にお金を預けることと同様 システムもクラウドに預けた方が、 セキュリティレベルが上がる
- 56. セキュリティ
- 57. 考慮すべき事項 物理 ネットワーク • データセンター • 経路の安全確保 入�館 • 攻撃からの防御 • 物理アクセス • ログイン • 交換・廃棄�
- 58. AAWWSS特有の セキュリティ
- 59. ①経路
- 60. Amazon VPC – パブリッククラウドで プライベートクラウドが作れる! – 仮想プライベートクラウド
- 61. Amazon VPC 仮想サーバー VPN (IPsec) オフィス
- 62. Amazon VPC 仮想サーバー POI オフィス 専用線
- 63. 組み合わせ例
- 64. Amazon VPC DMZ DB用サブネット VPN オフィス
- 65. ②防御
- 67. 防御(アンチウイルス) • ホストベース – TrendMicro ServerProtect
- 68. 防御(L3/L4) • IPS/IDS – Snort – CheckPoint Virtual Applicance • DDoS, SYN Flood辺りは AAWWSSが防いでくれる!
- 69. 防御(L7) • WAF – FortiWeb – Citrix NetScaler – NEC InfoCage SiteShell
- 70. WAF運用の課題・・ • 24h365dの対応が必要 • 攻撃が来たときに素早く分析 – ゼロデイ攻撃へ対応できる体制
- 71. 当社の選択(WAF) • サービスとしてのWAFを利用 • キャッシュポイズニングなど、DNSの安 全性を高めるためにRoute 53を利用
- 72. Route53 メインコンテンツ Proxy WAF Service
- 73. 家に帰ってすぐやること • BINDは マジ犯罪!! • すぐにTerminateしてRoute53を使おう
- 74. ③ログイン
- 75. ログインセキュリティ • ホスト • AWS Management Console
- 76. ログインセキュリティ (ホスト) • 公開鍵認証 • SSH, RDPセッションの記録 – NRIセキュアテクノロジーズ SecureCube
- 77. ログインセキュリティ (マネジメントコンソール) 1. IAM 2. MFA 33.. アカウントをSalesforceに – 安全な共有 – 最小限のアクセス
- 78. ログインセキュリティ (マネジメントコンソール) • (評価中)シングルサインオン – OneLogin – okta
- 79. 最近「足りない」と言われます
- 80. Management Consoleに 足りないモノ • バージョンコントロール • IIPPアドレスによるアクセス制限 • 操作履歴・証跡
- 82. Cloudworks Dedicated Edition • 企業が、自社のVPC内に専用の Cloudworks(コンソール)を 立ち上げ可能 • RDS, ELB, S3の操作 • 操作ログの詳細な記録
- 83. Cloudworks Dedicated Edition • 自社の都合でマネジメントコンソールの バージョンアップタイミングを管理可能 • AWSの操作ログを記録できるので、 間違ってインスタンスを消し た犯人を見つけやすい企業のコン プライアンス要求に適合可能 • 今春登場!
- 84. AAWWSSのセキュリティモデル 特権 アクセス 外部 VVPPNN 一般ユーザー IIAAMM,, MMFFAA アタック 仮想マシン 内部同士の共有も、 明示しない限り禁止 仮想マシン 物理的 AAWWSSが 内部 防御 アクセス
- 85. なぜプロダクトの話をしたのか?
- 86. 調達モデルの変化!
- 87. 今までのSI のどが 渇いた! ○×○×○×○×○ ○×○×○×○×○ ×○×○×○×○× ×○×○×○×○× ○×○×○×○× ○×○×○×○× 調達チーム 品質チーム ○×○×○×○×○ ○×○×○×○×○ ○×○×○×○×○ ○×○×○×○×○ ×○×○×○×○× ×○×○×○×○× ×○×○×○×○× ×○×○×○×○× ○×○×○×○× ○×○×○×○× ○×○×○×○× ○×○×○×○× バケツを 川から 水の量を 水の品質を 調達する係 水をくむ係 計る係 調べる係
- 88. これからのSI のどが 渇いた! どうぞ! H2O H H O アマゾン工場 (クラウド事業者)
- 89. 今までのSSII • 「人が多い」ことが前提だった • 「コミュニケーション」が重要なスキル だった • 下請け企業の役割は、技術では無く 「人材バッファ」だった
- 90. クラウド型SSIIでは • 非常に小さいチーム • スピーディーなデリバリー • つくらない技術≒使う技術 が重要に! – 「組み合わせる」分子式の知識 • AWSのCDP • EC2+TrendMicro • AWS+NetScaler WAF+GSLB
- 92. 本日のまとめ
- 93. まとめ ①AWSによって物理層のセキュリティを対策す る必要がなくなり、セキュリティレベル向上 ②AWSのサービス(VPC, IAM, SG)とサード パーティーのサービスを組み合わせることで、 オンプレミスと同等の防御が可能 ③クラウド時代の構築は、組み合わせ知識が重 要に!CDPや製品の情報を積極的に覚えて、 クラウド時代に合ったセキュリティを実現
- 94. 切腹しろ という方は お申し出下さい
- 95. そうでない方は・・・
- 97. ありがとうございました @@ooooiisshhii