12/17 に AWS Webinar があったので、聴講してみました。
主催: アマゾン ウェブ サービス ジャパン株式会社
対象: 技術者向け
セミナー概要:
Amazon Web Services(AWS)は、お客様が資産とデータを安全に管理、運用して いくための様々なサービスや機能を提供しています。 お客様は AWS の基盤上にシステムを構築しますので、セキュリティ上の責任は 分担されることになります。基盤となるインフラストラクチャのセキュリティは AWS が確保していますが、そのインフラストラクチャにお客様が構築・接続する もののセキュリティは、お客様が保護する必要があります。 本 Webinar では AWS が提供するセキュリティに関する機能を紹介し、その典型的な 使い方やベストプラクティスについて紹介いたします。AWS 上でお客様が行う セキュリティ対策にご興味のある方は、是非ご参加ください。
いつものように、気になったことをメモ。
- AWSのポリシーは、シェアード・レスポンシビリティ・モデル(責任共有モデル)
- Webサイト/アプリケーションはお客様・SIでセキュリティ確保、インフラのセキュリティはAWSが提供
- データ等は、全世界で11リージョンで配置される。AWS側からは勝手に移さない
- それぞれのリージョンで個人情報保護のポリシーが違う
- データセンターの場所は秘匿している(テロ・セキュリティ事故対策)
- DDoS、中間者攻撃、IPなりすましにも対策をしている
- AWSセキュリティセンター
- AWSコンプライアンス
- ネットワークセキュリティ
- VPC内部にプライベートなサブネットを作る
- セキュリティグループによるアクセスコントロール
- ネットワークACLによるアクセスコントロール(サブネット単位のフィルタ)
- 論理サクセス管理
- IAM
- ユーザー、グループ管理
- セキュリティクレデンシャル(認証情報)
- アクセスキー
- ログイン・パスワード
- 多要素認証(MFA)
- AWSルートアカウントは極力使用しない
- AWSルートアカウントやIAMユーザーアカウントにはMFAを利用する
- 強度の高いパスワードポリシーを設定する(ただし、このポリシーはAWSルートアカウントには適用されない)
- EC2インスタンスにはIAM Roleを利用する(クレデンシャルを静的に書かないようにする)
- IAMベストプラクティス
- IAM
- データの保護
- 暗号化
- 鍵の保管、鍵の管理をAWSですることが可能
- Key Management Service (KMS) や CloudHSM を使う
- AWSのサーバサイド暗号化(SSE)
- S3 だとボタン一発
- ログ・監視
- CloudWatch/API/SDK, Alarm
- CloudWatch では各AWSサービスのメトリクス監視が可能
- 各メトリクスに対してアラームを設定可能
- CloudTrail(監査)を全リージョンで有効化することを推奨
- まだ対応していないサービス(S3等)もある