AWSへのマイグレーションに向けて、オンプレミスとセキュリティ面で比較する

AWSへのマイグレーションを考えたときに、オンプレミスと比較してセキュリティレベルが低下するのではないか？という不安を抱えているかたも多いかと思います。またそのような上長を説得しなければいけないケースもあります。この記事では、オンプレミスとAWSをセキュリティ面で比較します。オンプレミスと一言で言ってもシステムや運用レベルは様々です。AWSへのマイグレーションに向けた説得材料という観点で記載します。

公的認証・第三者評価

オンプレミスは個別の事情によります。

AWSではISO 27001をはじめ各種公的認証・第三者評価を取得しています

参考： https://aws.amazon.com/jp/compliance/programs/

以前勤めていた会社ではよくデータセンターに行っていました。ラック単位で貸し出しているようなデータセンターの場合、他の顧客のラックの前まで行けてしまうケースが多いかと思います。AWSの場合はデータセンターの詳細な場所は公開されてません。ユーザーは希望してもデータセンターには行けませんし、所在地は教えてもらえません。

経営状況・事業継続性

データセンターやクラウド事業者の経営状況・事業継続性を考慮する必要があります。経営状況の悪いデータセンターやクラウドは事業を停止してしまうリスクがあります。オンプレミスは個別の事情によります。AWSについては、個人的には心配していません。

新しいセキュリティサービスの導入

オンプレミスは個別の事情によりますが、本番稼働中のサービスに新しい製品を導入するハードルは高いかと思います。AWSでは比較的容易に新しいサービスを導入できます。AWSではセキュリティを含め新サービスや新機能アップデートが日々リリースされているため、最新のセキュリティサービスを活用できます。また、オンプレミスではコスト面で利用できなかったWAFやCDNがAWSでは現実的な選択肢として十分検討できます。

マネージドサービス

オンプレミスでは、すべてのリソースについてアップデートを運用担当者の責任のもと遂行していく必要があります。例としてサーバーのファームウェア、ネットワーク製品のファームウェア、OSやミドルウェアのバージョンアップなどがあげられます。

AWSでは各種マネージドサービスがあり、マネージドサービスについてはAWSがセキュリティに責任を持ちます。例としてELBやS3といったサービスはファームウェアアップデートを考慮する必要がありません。なお、ELBやS3の設定の責任はユーザーが負いますが、設定誤りを防ぐための機能や検出するサービスは用意されています。

ファイアウォール

オンプレミスでは、OSのファイアウォールやNWファイアウォールを利用しているケースが多いかと思います。AWSではOSのファイアウォールはもちろん、セキュリティグループやNetwork ACLを利用できます。NWファイアウォール製品を継続して使いたい場合は、AWS Marketplaceから同じアプライアンスを利用できないか確認します。アプライアンスをEC2として利用できます。

IPS

オンプレミスとAWSでほぼ同様に考えられるかと思います。オンプレミスでネットワークアプライアンスとしてのIPSを利用している場合、AWS Marketplaceから同じアプライアンスを利用できないか確認します。サーバーにインストールして使うDeep Securityのような製品の場合は、同様に利用できます。

ネットワークログ

オンプレミスではNW機器でネットワークログを取得しているケースが多いでしょうか。AWSの場合は、VPCフローログが手軽かと思います。S3にためたVPCフローログはAthenaを使って、SQLクエリにより膨大なログを集計できます。

参考： https://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/logs/AnalyzingLogData.html

操作ログ

オンプレミスの場合、操作ログは個別の機器に記録されるかと思います。ケーブルのつけかえのような物理的な変更は記録が難しいケースもあるかと思います。AWSでは、AWSコンソールの操作ログはCloudTrailに記録されます。IAMユーザーを個別に発行することで、誰がいつなにを行ったのか追跡できます。OS上のログに関しては、CloudWatch LogsエージェントやFluentdを使ってS3にエクスポートできます。

MFA

AWSでは、IAMユーザーにMFAを設定できます。AWSコンソールへのログイン時にパスワードに加えて、30秒に一度変更されるワンタイムパスワードの入力を強制します。

脅威検出

GuardDutyはAWSの操作ログ（CloudTrail）、ネットワークログ（VPCフローログ）を監視し、不審なアクティビティを検出します。AWSのアカウントが漏洩したり、サーバーがのっとられ外部への攻撃に悪用されると行ったことを検出します。オンプレミスで同様のことを実施しようとすると、高額な製品が必要になるかと思います。

バックアップ

AWSでは、マシンイメージ（AMI）をS3に保管できます。また、サーバーにあるログをCloudWatch Logsを使ってクラウド（CloudWatch）にアップロードできます。アップロードしたログを解析したり、ログを安全に保管できます。

不正侵入後のリカバリ

サーバーが不正侵入された場合、オンプレミスの場合はネットワークからの切り離しや新規にサーバーを手配するなど、再構築、復旧、調査に時間がかかります。AWSの場合は、セキュリティグループをつかった隔離が容易にできるほか、クリーンなマシンイメージ（AMI）からすぐにリストアできます。

DDoS攻撃からの防御

AWSの場合、AWS Shieldにより、追加費用なしでレイヤー3および4のDDoS攻撃から保護されます。オンプレミスの場合は個別の事情によりますが、AWSと同様のことを実現するには多額の費用がかかるかと思います。

参考： https://aws.amazon.com/jp/shield/

自動的な設定確認

導入時に適切な設定を行っていても、運用フェーズで脆弱な設定変更が行われる可能性があります。AWS Configは設定変更の履歴を記録し、誰がいつどのような変更をしたのか記録します。また、Configルールを使うとリソースがルール通りに設定されているかを確認し、変更時に通知できます。

サーバーの脆弱性スキャン

Amazon Inspectorを利用することで、仮想サーバーのOSやミドルウェアの脆弱性をスキャンし脆弱性管理に役立てられます。

データ保存時の暗号化

AWSはKey Management Service (KMS) を利用した暗号化キーの作成や管理を利用できます。オンプレミスの場合、個別の事情によります。

コードによる構成管理

AWSの場合、VPC（仮想ネットワーク）やEC2（仮想サーバー）などのリソース情報をCloudFormationなどコードとして管理できます。必要に応じて、コードをスキャンし安全な設定であることを確認してから適用するといった運用が可能です。

高度なプライベートネットワーク

AWSの場合、VPC同士をピアリング接続したり、オンプレミスとDirect Connectで接続するなど高度なプライベートネットワークを比較的簡単に構築できます。

終わりに

オンプレミスとAWSをセキュリティ面で比較しました。オンプレミスで高度な運用が行われているケースもありますし、AWSでもユーザーが適切な運用を行っていなければ安全とは言えません。本記事が消極的な理由でクラウドへのマイグレーションに踏み切れない組織が踏み出すきっかけになると幸いです。