[レポート]AWS 環境で重要データを保護するセキュリティモデル：データ境界 (Data Perimeter) を学ぶ – AWS Security Roadshow Japan 2021 #awscloud #AWSSecurityRoadshow

こんにちは、臼田です。

本日はAWS Security Roadshow Japan 2021で行われた以下の講演のレポートです。

AWS 環境で重要データを保護するセキュリティモデル：データ境界 (Data Perimeter) を学ぶ

クラウド移行が進むに伴い、ビジネスにとって重要なデータがクラウド上で扱われることが多くなってきています。本セッションでは、重要データを保護するセキュリティモデルとなるデータ境界 (Data Perimeter) の概念を紹介し、AWS サービスを用いた実現例を説明します。最後に、その学習機会として Day2 で実施する Zero Trust Workshop や Security GameDay をご紹介します。

アマゾン ウェブ サービス ジャパン合同会社 技術統括本部 シニアセキュリティソリューションアーキテクト　桐山 隼人

レポート

• AWS環境における重要データの保護
  • 多くのお客様がますますAWSを利用するようになっている
  • 例えば規制業界、厳しいところでも重要データのクラウド移行が進んでいる
  • 機密情報・個人情報・研究開発データなど
  • 重要なデータ保護の予防的対策
    • データ暗号化
      • 従来から行われている
      • アルゴリズム
      • 鍵管理
      • AWSではKMSやHSMなどで実現できる
    • データ処理環境
      • コンフィデンシャルコンピューティング
      • AWS Nitro Enclaves
    • データアクセス管理
      • Zero Trust
      • データ境界(Data Perimeter)
      • これをどう実現するかを詳しく説明
  • Zero Trustとは
    • ここではデータ保護のセキュリティ管理策を提供するためのコンセプトモデル
    • それに関連する一連のメカニズム
    • アイデンティティ中心のセキュリティとネットワーク中心のセキュリティを共存させるだけではなく拡張する
  • 二者択一ではなく相互拡張
    • 従来はネットワーク中心のセキュリティ
    • それだけでは守れないのでアイデンティティ中心のものがでてきた
    • 片方ではなくお互い拡張するものと考えるべき
    • 例えばEC2からIAM Roleを利用してAssume
      • ネットワーク側ではVPCとSecurity Group
      • 組み合わさって同時に実現
  • Zero Trustのユースケース
    • Machine-to-machine
      • 例えばEC2からのアクセス
    • Human-to-application
      • 社員が社内アプリケーションにアクセスする
      • 今まではVPNを使っていた
    • Digital-transformation
      • IoTのデバイスからデータを収集して機械学習する
      • データ処理でサードパーティのSaaSを利用するなど
      • すべてのデータが社内ではない、社外から始まるものもある
    • ユースケースは異なるが技術的な原理原則は同じ
• データ境界(Data Perimeter)によるセキュリティ実現
  • 重要企業資産に社員だけアクセスできるようにするにはどうすればいいだろう？
  • 社員が重要情報を社外へ持ち出さないようにするにはどうすればいいだろう？
  • Security Guardrailのコンセプト
    • 昔はセキュリティ部門はポジティブな評価を受けなかった事が多いのでは
    • これは歩みを止める門番のような役割であったから
    • ガードレールの範囲の中で自由にやってもらうというコンセプト
    • セキュリティ部門は道を示す
  • データ境界
    • 信頼されたアイデンティティが
    • 想定されたネットワーク場所から
    • 信頼されたリソースにアクセス
    • するためのガードレール ← これがデータ境界
  • シナリオ1
    • オンプレミス環境からのデータアクセス
    • 会社ネットワークからAWS上のS3へアクセス
    • 正規の従業員が
    • 正しい場所から
    • 信頼されたリソースにアクセスしているか
    • 信頼されたアイデンティティで別のAWSアカウントへの通信は止めたい
    • 同じ会社にいても別の従業員でS3にアクセスできない人であれば、これを止める
    • コーヒーショップから従業員がアクセスしてきても、想定していないネットワークなので拒否する
  • シナリオ2
    • AWS環境上でのデータアクセス
    • EC2インスタンス
    • ポリシーに準拠したIAMを持っているものと持っていないもの
    • 正しいEC2からの通信は許可される
    • 接続先S3が正しくない場合は止める
  • データ境界の種類と設定場所
    • データ境界の種類
      • アイデンティティ境界
      • ネットワーク境界
      • リソース境界
    • 設定場所
      • アイデンティティポリシー
      • ネットワークポリシー
      • リソースポリシー
  • アイデンティティ境界 on リソースポリシー
    • 組織のAWS Organizations IDのプリンシパルからの通信を許可する
    • aws:PrincipalOrgIDのConditionを設定する
  • アイデンティティ境界 on ネットワークポリシー
    • VPCエンドポイントのポリシー
    • ここでも同じようにaws:PrincipalOrgIDを適用
  • ネットワーク境界 on アイデンティティポリシー
    • SCP/IAMやリソースポリシーでSourceIPまたはSourceVpce制限を実装
  • ネットワーク境界 on リソースポリシー
    • 想定されたVPCからS3へのアクセスを許可
    • aws:CalledVia条件でAthenaからのアクセスを許可
  • リソース境界 on アイデンティティポリシー
    • SCP/IAMポリシー上でリソースレベルで許可
    • リソース名を直接許可
  • リソース境界 on ネットワークポリシー
    • 同じようにVPCエンドポイントポリシーでResourceを絞る
• AWS環境におけるデータ保護を学ぶ
  • AWS Zero Trustワークショップ
    • サービス感のコミュニケーションユースケースについて設計原則を考える
    • API GatewayのREST APIアクセスをセキュアに実装する
    • 実際に触りながら理解できる
  • AWS GameDay
    • チームで協力しながらソリューションを実装して課題を解く学習体験
    • ゲーム感覚で自由に取り組める
    • ミッションがでる
    • 適切なガードレールになるように修正するなど
• まとめ
  • 重要データを保護するためにデータ暗号化や処理環境に加えて、データ境界(Data Perimeter)を導入する
  • アイデンティティ、ネットワーク、リソースの3つの要素で構成される
  • ワークショップやGame Dayで学ぶ

感想

データを保護するための考え方をしっかり学習できました。

最小権限の原則はよく言われますが、AWSではアクセス制御に元々Zero Trustの考え方を実践していくための仕組みが整っていますね。

しっかりと権限を定義して適切に最小権限を維持しましょう！