読者です 読者をやめる 読者になる 読者になる

akiyoko blog

akiyoko の IT技術系ブログです

「【AWS 初心者向け Webinar Dec】 利用者が実施する AWS 上でのセキュリティ対策」に参加しました

AWS クラウド 勉強会

12/17 に AWS Webinar があったので、聴講してみました。


aws.typepad.com

主催: アマゾン ウェブ サービス ジャパン株式会社
対象: 技術者向け
セミナー概要:
Amazon Web Services(AWS)は、お客様が資産とデータを安全に管理、運用して いくための様々なサービスや機能を提供しています。 お客様は AWS の基盤上にシステムを構築しますので、セキュリティ上の責任は 分担されることになります。基盤となるインフラストラクチャのセキュリティは AWS が確保していますが、そのインフラストラクチャにお客様が構築・接続する もののセキュリティは、お客様が保護する必要があります。 本 Webinar では AWS が提供するセキュリティに関する機能を紹介し、その典型的な 使い方やベストプラクティスについて紹介いたします。AWS 上でお客様が行う セキュリティ対策にご興味のある方は、是非ご参加ください。




いつものように、気になったことをメモ。

  • AWSのポリシーは、シェアード・レスポンシビリティ・モデル(責任共有モデル)
    • Webサイト/アプリケーションはお客様・SIでセキュリティ確保、インフラのセキュリティはAWSが提供
  • データ等は、全世界で11リージョンで配置される。AWS側からは勝手に移さない
    • それぞれのリージョンで個人情報保護のポリシーが違う
    • データセンターの場所は秘匿している(テロ・セキュリティ事故対策)
  • DDoS、中間者攻撃、IPなりすましにも対策をしている
  • AWSセキュリティセンター
  • AWSコンプライアンス
  • ネットワークセキュリティ
    • VPC内部にプライベートなサブネットを作る
    • セキュリティグループによるアクセスコントロール
    • ネットワークACLによるアクセスコントロール(サブネット単位のフィルタ)
  • 論理サクセス管理
    • IAM
      • ユーザー、グループ管理
      • セキュリティクレデンシャル(認証情報)
        • アクセスキー
        • ログイン・パスワード
        • 多要素認証(MFA)
    • AWSルートアカウントは極力使用しない
    • AWSルートアカウントやIAMユーザーアカウントにはMFAを利用する
    • 強度の高いパスワードポリシーを設定する(ただし、このポリシーはAWSルートアカウントには適用されない)
    • EC2インスタンスにはIAM Roleを利用する(クレデンシャルを静的に書かないようにする)
    • IAMベストプラクティス
  • データの保護
    • 暗号化
    • 鍵の保管、鍵の管理をAWSですることが可能
      • Key Management Service (KMS) や CloudHSM を使う
    • AWSのサーバサイド暗号化(SSE)
      • S3 だとボタン一発
  • ログ・監視
    • CloudWatch/API/SDK, Alarm
    • CloudWatch では各AWSサービスのメトリクス監視が可能
      • 各メトリクスに対してアラームを設定可能
    • CloudTrail(監査)を全リージョンで有効化することを推奨
      • まだ対応していないサービス(S3等)もある