(レポート) SEC201: AWSのセキュリティについてどのように考えるべきか? #reinvent

aws-reinvent2015

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

AWSの考えるセキュリティ

本セッションの当初の名前は、「AWSにおけるセキュリティの一般教書演説」でしたw。200系のセッションですが、非常によくまとまっていて必見かと思います。以下のような問に答える内容となっています。

Q:なぜセキュリティはホットなトピックなの? A:重要で難しいからさ

Q:なぜ従来からエンタープライズのセキュリティは難しいの? A:しっかりした計画が必要だからさ

Q:なぜそんなに計画に時間が掛かるの? A:たくさんのプロセスがあるからさ

Q:なぜそんなに多くのプロセスがあるの? A:間違うのは簡単で、正すのは難しいからさ

Q:なぜ間違いを正すのは難しいの? A:見つけにくくて、自動化レベルが低いからさ

 

んで、AWSはどうしてくれんの?

AWSは、セキュリティをアジャイルに、そして、より早く安全を保てるようにします。

セキュリティを加速する新サービス

AWSが満を持して出してきたサービスが、Amazon Inspector、AWS WAF、AWS Config Rulesです。

screenshot 2015-10-11 12.53.05

OWASP TOP 10を見ても分かるように、セキュリティの脅威は、外部からの攻撃だけではなく、正しい設定にしていない管理者の問題や、脆弱性のあるソフトウェアの利用によるところも大きいです。

セキュリティとアジリティをORではなく、ANDで実現するというメッセージは、Amazon CTOのWernerも言っていましたね。

Amazon Inspector

Amazon Inspectorは、継続的に脆弱性検査をするサービスです。正しい設定を行なっているか、不備はないか確認をすることができます。具体的には、コンフィグをスキャンするエンジン、活動モニタリング、ビルトインのライブラリー、APIによる自動化支援、監査機能などです。

screenshot 2015-10-11 12.57.05

Inspectorが持っているルールセットには、CVE、ネットワークセキュリティベストプラクティス、認証ベストプラクティス、OSベストプラクティス、アプリケーションベストプラクティス、PCI DSS 3.0対応などがあります。

screenshot 2015-10-11 12.57.13

Amazon Inspectorを採用することで得られるメリットは、アジリティの向上、ノウハウの活用、セキュリティ姿勢の向上、コンプライアンス整備などが挙げられます。

screenshot 2015-10-11 12.57.21

AWS WAF

AWS WAFは、ウェブアプリケーションファイアウォールのサービスです。主な機能は、Webフィルタリング、CloudFront統合、ルール管理、リアルタイム可視化、APIによる自動化です。

screenshot 2015-10-11 12.57.38AWS WAFを採用することで得られるメリットは、Web攻撃からの防御、デプロイとメンテナンスの簡易化、開発プロセスにセキュリティを埋め込むなどです。 screenshot 2015-10-11 12.57.44

AWS WAFは、単体で利用することもできますが、パートナー製品との連携によってより効果を発揮します。Alert Logic、Imperva、Trend Microなどです。動的にルールセットを更新することを考えるとパートナー製品は必須になるかと思います。

screenshot 2015-10-11 12.58.30

 

 

AWS Config Rules

AWS Config Rulesは、組織のセキュリティガイドラインや、ポリシーを満たしているかルールを設定し、定期的にチェックすることができます。繰り返しのチェックを自動化できるのがポイントです。主な機能は、ルールを継続的またはさかのぼって自由に評価、共通ゴール向けにダッシュボードとレポートを用意、改良方法のカスタマイズ、APIによる自動化などです。

screenshot 2015-10-11 12.58.39

ルールセットは、Telos、splunk、evident.ioなどのエコシステムソリューションによって提供されています。

screenshot 2015-10-11 12.58.46

Amazon Config Rulesによるメリットは、予期しない変更の継続的なモニタリング、組織横断的なコンプライアンスの共有、コンフィグ変更のシンプルな管理などが挙げられます。

screenshot 2015-10-11 12.58.55

 

セキュリティの設計について

AWSを用いたセキュリティは、IAM、KMS、CloudTrail、Config、CloudHSM、IAMなどの利用をはじめ、AWSアカウント管理、セキュリティコントロールの自動化、監査の効率化などを考えて設計します。

screenshot 2015-10-11 13.00.02

CloudFormationテンプレートの利用は、PCI、HIPPA、FFIEC、FISMA、CJISなどのコンプライアンス管理の面で有効です。

screenshot 2015-10-11 13.00.16

まとめ

最後に、ポイントをまとめています。

セキュリティの設計とデプロイのために、理にかなったデフォルト値を定義し、コンプライアンスのコントロールを受け継ぎ、使用可能なセキュリティ機能を利用してください。

screenshot 2015-10-11 13.01.14

セキュリティの運用と向上のために、利用者のロールを削減し、特権アカウントを削減し、何が起こったかに集中してください。

screenshot 2015-10-11 13.01.22

最後に、セキュリティは重要で、より簡単にするためにツールを作り、ワールドクラスのチーム作りを支援し、利用者が早くそして安全にビジネスをドライブできるように支援していきます。

screenshot 2015-10-11 13.01.28

心強いですね!

参考資料

(SEC201) AWS Security State Of The Union Slideshare

AWS re:Invent 2015 | (SEC201) AWS Security State of the Union youtube