AWS FinTech リファレンス・アーキテクチャー 日本版 の話
1 like804 views
2018/6/9 JAWS-UG 大分支部 クラウドのチャンスに出会おう! 登壇資料
AWS FinTech リファレンス・アーキテクチャー 日本版 の話
- 1. JAWS-UG 大分支部 クラウドのチャンスに出会おう! 2018/6/9 Kenkichi Okazaki AWS FinTech リファレンス・アーキテクチャー 日本版の話
- 2. 名前 - 岡崎 賢吉 所属 - 旅人。~いつかは旅人CTO~ - 今年からクラウド始めた初心者です 好きなAWSのサービス - Direct Connect , EFS, SnowBall JAWSの活動 - Fin-JAWS発起人 六本木一丁目支部元支部長 - JAWS-UG 情シス支部運営 異次元ガールズの推しメン - べっちゃん 自己紹介 ※異次元ガールズ:会いに行けるアイドルことイジゲン女子グループを勝手に命名したもの
- 4. AWS FinTechリファレンス・アーキテクチャ日本版とは 3部構成になっている - リファレンス・アーキテクチャー (利用にあたっての文書) - リファレンス・ガイド (検討事項と対応内容の対照表) - リファレンス・テンプレート (CloudFormationファイル) SOC1、SOC2、PCI DSS、ISO27001、ISO27017、ISO27018等の國際標準 だけでなく、FISC安対基準、FISC API接続チェックリスト等の 日本特有の事情も網羅的されている。 単なる日本語訳でなく日本の環境に適合した「日本版」
- 5. AWS FinTechリファレンス・アーキテクチャ日本版とは クラウド事業者の選定から書かれており、AWSに限らず他のク ラウドを含めたクラウド利用のための資料になっている。 FinTechと名前に付いているが、全てのクラウド利用者の参考 になる内容になっている。 入手方法 アーキテクチャ・ガイドはAWS FinTech ページから。 テンプレートは担当営業へ連絡して入手。 (担当営業が付いていない場合は問い合わせフォームから申し込むことができます) これらの資料の内容について解説していきます。
- 6. AWS FinTech リファレンス・アーキテクチャー 日本版 最初に読む読み物。 3つの資料の概要と使い方に始まり、 AWS責任共有モデル(後述)、 AWSの責任範囲と利用者の責任範囲、 AWSが提供する監査レポート・証明書、 コンプライアンスとセキュリティを実装 するためのアーキテクチャ。 といったことが文書で書かれています。 これは非技術者に理解してもらうのにも 役立ちます。
- 9. リファレンス・ガイド の内容 項番 必要とされる実施事項(大/中/小項目) AWSの該当事項 お客様の該当事項 推奨される追加の実施事項 AWSアーキテクチャのリファレンス 対象/非対象 AWS Arch ダイアグラム上の該当箇所 AWS CloudFormation テンプレートにおける実装の概要 AWS リソースタイプ AWS CloudFormation テンプレート名(スタック) 概要からだんだんと技術的な内容になっていくのがわかると思います。 これらの内容について「14. システムのアクセス管理」を例に解説していきます。
- 11. AWSの該当事項 AWSは、内部者による不適切なアクセスの脅威に対処するための統制を提供していま す。取得している認証とサードパーティーによる証明で、論理 アクセスの予防統制と発 見的統制が評価されています。さらに、定期的なリスク評価時に、内部者によるアクセス の統制および監視方法を評価して います。 AWSは、所定の統制によってシステムとデータのアクセスを制限し、システムまたは データに対するアクセスを制限および監視可能にしています。特 権のあるユーザーアク セス制御は、AWS SOC 1、ISO27001、PCI、ITAR、およびFedRAMPsmの監査中に 独立監査人によって確認されます。ま た、内部者による不適切なアクセスの脅威に対処 するために特定のSOC 1 統制を規定しています。 詳細については、「AWSリスクとコン プライアン スの概要」の「詳細情報」にある「主要なコンプライアンスに関する質問と AWSの回答」を参照してください。(https://aws.amazon. com/jp/compliance/resources/) AWS SOC レポートには、 AWS が実行している具体的な統制活動に関する詳細情報 が記載されています。 また、AWS は、Payment Card Industry (PCI) データセキュリティ基準(Data Security Standard/DSS)のレベル1に準拠しています。詳細については、AWS Artifact (https: //console.aws.amazon.com/artifact) を使用して、PCI DSS Attestation of Compliance (AOC) と Responsibility Summary をリクエストしてください。 「AWSの該当事項」には、AWSの取り組みが書かれています。 AWS責任共有モデルにおいて、AWSの当該項目となるシステムのア クセス管理は内部者による不適切なアクセスの脅威への対処等で、 その内容と第三者による客観的な証明として SOC1, ISO 27001, PCI 等の監査を受けコンプライアンスレポートを提供することが書かれ ています。
- 12. お客様の該当事項 AWSのサービスに関係するIDや、AWS環境上に構築したアプリケーションのIDに関する適切な管理はお客様の責任で実施していただくことになります。 AWS環境においては、AWS IAMが利用可能です。Identity and Access Management(IAM)では、使用してユーザーIDの管理、セキュリティ認証情報の割り 当て、ユーザーのグループ化による整理、ユーザーのアクセス許可の管理を一元的に行うことができます。認証情報には、パスワード、暗号キー、デジタル署 名、および証明書が含まれます。また、AWSアカウントまたはIAMユーザーアカウントへのログインに多要素認証(MFA)を要求するオプションもあります。 IAMを利用してIDのフェデレーションによるID管理も可能です。 IAMの詳細については、下記のURLを参照ください。 https://aws.amazon.com/iam/ IAMのベストプラクティスについては、下記のURLを参照してください http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/best-practices.html 「お客様の該当事項」には、対処すべき課題が書かれています。 AWS IAM というAWSリソースへのアクセスを制御するサービスを利 用して適切なID管理等を行わなければならないこと、多要素認証 (MFA)を設定すべきであること等が書かれています。 また、IDのフェデレーションが可能と書かれており、既存のActive Directory等と連携する事が出来ます。IDは一元管理が原則ですから IAMユーザを作成することは避けフェデレーションを推奨します。
- 13. 推奨される追加の実施事項 個々の作業者に割り当てるIAMユーザについては別途作成するか、またはIAMのフェデレーションを用いて外部のIDプロバイダ(Active Directoryなど)と連携するな どして別途管理する必要があります。IAMでユーザを管理する場合、パスワードの条件やMFAなどの要件をIAMで設定できます。その他のIAMの設計、運用に関す るベストプラクティスは下記のURLを参照ください。 http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/best-practices.html プログラムやスクリプト内でID・パスワードなどの認証情報を扱う場合、AWS Systems ManagerのParameter Storeを用いることで安全に情報を管理することができ、 ソースコードや設定ファイル内にそれらの情報をハードコーディングする必要がなくなります。Parameter Storeについては下記のURLを参照してください。 https://aws.amazon.com/jp/ec2/systems-manager/parameter-store/ また、AWSリソースへのアクセス時に必要な認証情報(Access Key や Secret Access Key)については、.aws/credentials ファイルや環境変数を用いる方法の他に、 EC2のインスタンスプロファイルやAWS STS、Amazon Cognitoを用いることで一時的な認証情報をその都度払い出すことができ、やはりハードコーディングを避ける ことができるようになります。一時的な認証情報の取得や活用方法については、下記のURLを参照してください。 http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_temp.html これらの認証情報をソースコードに含めてバージョン管理ツール(Gitなど)にコミットしないように注意してください。AWSでは、誤った認証情報の公開を防ぐための ツールを提供しています。関連情報については、下記のURLを参照ください。 https://github.com/awslabs/git-secrets 「推奨される追加の実施事項」の内容も対処すべき課題が書かれています。 WebサイトでDB接続用のID等をスクリプトへ直接記述する事は危険で、そうせずと も機能を実現するためにAWS Systems ManagerのParameter Storeを使用して認証情 報は安全に管理べきと書かれています。最近Secrets Managerという新サービスが登 場しこちらは内容が自動的に暗号化されるので認証情報の管理に適しています。 Githubへ認証情報入りのプログラムを掲載して不正アクセスを受ける人が後を絶ち ません。安全に情報を管理しましょう。
- 14. 対象/ 非対 象 AWS Arch. ダイアグラ ム上の 該当箇所 AWS CloudFormation テンプレートにおける実装の概要 AWS リソースタ イプ AWS CloudFormation テンプレート名 (スタック) 補足説明 Y 2, 17, 18, 19 EC2運用のためのポリシーや請求情報の確認のみが可能なポリ シーなど、必要 性が想定される数種類のIAMポリシーが定義、作 成されます。 また、IAM Profileによって、各種データおよびデータ保管場所へ のアクセス権限 は必要最小限のインスタンスに絞って与えられて おり、SecurityGroupおよびNetworkAclによって、ネットワーク的 にも必要最小限 の疎通のみを許可しています。 AWS::IAM::Role AWS::IAM:: InstanceProfile AWS::IAM:: Policy AWS::IAM:: ManagedPolicy AWS::EC2:: SecurityGroup AWS::EC2:: NetworkAcl AWS::EC2:: NetworkAclEntr y AWS::EC2:: VPC main application config-rules iam vpc-management vpc-production logging N/A AWS アーキテクチャのリファレンス 「AWSアーキテクチャのリファレンス」はテンプレートとの対応表。 テンプレート付属ダイアグラムのどの箇所に該当するのか、 このテンプレートでどのような機能が実装がされているのか、 使用しているリソース一覧、テンプレートの中のどのファイルを使用す るかが書かれています。 これらを参考にテンプレートを要件に合わせてカスタマイズできます。
- 17. まとめ AWS FinTech リファレンス・ガイド【日本版】は金融 と関係なくてもクラウドでシステムを構築するならば 読んでおくべき内容。 今回覚えて帰る言葉 AWS 責任共有モデル AWS Artifact 質問は懇親会で。