12/17 に AWS Webinar があったので、聴講してみました。

aws.typepad.com

主催： アマゾン ウェブ サービス ジャパン株式会社
対象： 技術者向け
セミナー概要：
Amazon Web Services（AWS）は、お客様が資産とデータを安全に管理、運用して いくための様々なサービスや機能を提供しています。 お客様は AWS の基盤上にシステムを構築しますので、セキュリティ上の責任は 分担されることになります。基盤となるインフラストラクチャのセキュリティは AWS が確保していますが、そのインフラストラクチャにお客様が構築・接続する もののセキュリティは、お客様が保護する必要があります。 本 Webinar では AWS が提供するセキュリティに関する機能を紹介し、その典型的な 使い方やベストプラクティスについて紹介いたします。AWS 上でお客様が行う セキュリティ対策にご興味のある方は、是非ご参加ください。

いつものように、気になったことをメモ。

• AWSのポリシーは、シェアード・レスポンシビリティ・モデル（責任共有モデル）
  • Webサイト/アプリケーションはお客様・SIでセキュリティ確保、インフラのセキュリティはAWSが提供
• データ等は、全世界で11リージョンで配置される。AWS側からは勝手に移さない
  • それぞれのリージョンで個人情報保護のポリシーが違う
  • データセンターの場所は秘匿している（テロ・セキュリティ事故対策）
• DDoS、中間者攻撃、IPなりすましにも対策をしている
• AWSセキュリティセンター
• AWSコンプライアンス
• ネットワークセキュリティ
  • VPC内部にプライベートなサブネットを作る
  • セキュリティグループによるアクセスコントロール
  • ネットワークACLによるアクセスコントロール（サブネット単位のフィルタ）
• 論理サクセス管理
  • IAM
    • ユーザー、グループ管理
    • セキュリティクレデンシャル（認証情報）
      • アクセスキー
      • ログイン・パスワード
      • 多要素認証（MFA）
  • AWSルートアカウントは極力使用しない
  • AWSルートアカウントやIAMユーザーアカウントにはMFAを利用する
  • 強度の高いパスワードポリシーを設定する（ただし、このポリシーはAWSルートアカウントには適用されない）
  • EC2インスタンスにはIAM Roleを利用する（クレデンシャルを静的に書かないようにする）
  • IAMベストプラクティス
• データの保護
  • 暗号化
  • 鍵の保管、鍵の管理をAWSですることが可能
    • Key Management Service (KMS) や CloudHSM を使う
  • AWSのサーバサイド暗号化（SSE）
    • S3 だとボタン一発
• ログ・監視
  • CloudWatch/API/SDK, Alarm
  • CloudWatch では各AWSサービスのメトリクス監視が可能
    • 各メトリクスに対してアラームを設定可能
  • CloudTrail（監査）を全リージョンで有効化することを推奨
    • まだ対応していないサービス（S3等）もある