AWSホワイトペーパー「Introduction to AWS Security」の紹介

こんにちは、虎塚です。

「Introduction to AWS Security」は、2015年7月にAWSが発行したホワイトペーパーです。網羅的な観点で各セキュリティ機能が定義されているため、AWSに現状どんなセキュリティ機能があるかのthat's allを知りたい時に役に立つと思います。

この記事では、補足を交えつつ、概要をざっくりとご紹介します。

目次

ホワイトペーパーの内容は次のとおりです。非常に簡潔にまとまっています。

• 序
• AWSインフラのセキュリティ
• セキュリティ製品と機能
  • ネットワークセキュリティ
  • 構成管理、設定管理
  • データ暗号化
  • アクセス制御
  • 監視とロギング
  • AWS Marketplace
• セキュリティガイダンス
• コンプライアンス
• より詳しく学ぶには (参考資料)

AWSインフラのセキュリティ

この章で大事なのは、AWSでセキュリティの話をすると必ず出てくる責任分担モデルについて理解することです。これは、AWSとユーザが連携してセキュリティを担保するという考え方です。

AWSは、クラウドインフラのセキュリティを担保する責任を負います。AWSのユーザは、AWS上にデプロイしたシステムのセキュリティを担保する責任を負います。

AWSユーザが管理することになっている「クラウドの中のセキュリティ」には、デプロイしたアプリケーションをセキュアに保つことはもちろん、ネットワーク設定やAWS上に保存するデータの暗号化などを適切におこなうことも含まれています。

セキュリティ製品と機能

この章では、どのようなセキュリティ保護を提供するか、という観点で分類して、AWS提供の機能が紹介されています。

このホワイトペーパーでは、AWSが提供するセキュリティ関連サービスを「機能」という抽象度で紹介しています。そのため、セキュリティ要件に関するチェックリストを企業や組織で準備されている場合に、AWSでの対応の有無を照合しやすいかと思います。

一方で、抽象度が高いため、各機能に対応する具体的なAWSサービス名が明記されていない部分があります。この記事では、具体的なサービス名を推測で補ってご紹介します。

ネットワークセキュリティ

この節は、AWSが提供するネットワークアクセスに関するサービスの紹介です。

• 組み込みのファイアウォール: AWSでプライベートのネットワークを作成したり、インスタンスやサブネットへのネットワークアクセスをコントロールできます
  • プライベートのネットワークを作成できるのは、Amazon VPCの特長です
  • インスタンス単位でネットワークアクセスをコントロールできるのは、Amazon EC2 セキュリティグループです
  • VPCサブネット単位でネットワークアクセスをコントロールできるのは、ネットワーク ACLです
• すべてのサービス内のデータ転送をTLSで暗号化
• ネットワークアクセスを、プライベート、専有 (dedicated)、オフィス拠点やオンプレミス環境からの接続に絞るオプション
• オートスケーリングやCDN戦略によるDDoS緩和技術
  • Auto Scalingによってより多くのアクセスを捌き、正規ユーザのアクセスを妨害させないようにできます（もっとも、利用費もその分かかってしまいますが……）
  • Amazon CloudFrontで、トラフィックを複数拠点に分散できます。また、CloudFrontには、SYNフラッドやUDPフラッドを意図しているとみなされるトラフィックをフィルタする性質があるとされています。
  • 2015年10月にCloudFrontと組み合わせて利用できるAWS WAFがリリースされました。

構成管理、設定管理

構築したリソースが組織の標準やベストプラクティスに沿っていることを保証するための様々なツールがあります。

• 組織の標準にしたがってAWSリソースの作成/閉塞を管理するためのデプロイツール
  • 組織でAWS Service Catalogを使うと、承認したAMIやミドルウェア、アプリケーションだけを従業員に利用させることができるので、組織のガバナンスに役立ちます
• AWSリソースを特定、変更の追跡と管理をおこなう構成管理、設定管理のツール
  • これはAWS Configで実現できます。さらに、AWS Config Rulesを使うことで、変更を検知してアラート送信などのイベントを発生させることもできます。
• 標準にしたがって事前定義された堅牢なEC2を作成するためのテンプレート定義と管理用のツール
  • AWS CloudFormationのことですね

データ暗号化

AWSを使うと、クラウドに保存するデータに階層化されたセキュリティが提供されます。

• EBS、S3、Glacier、各種RDS、RedshiftなどのAWSストレージやデータベースで利用できるデータ暗号化
  • これらのAWSサービスの多くで、サーバサイド暗号化およびクライアントサイド暗号化のオプションを利用できます
• AWSが管理する暗号化鍵を使うか、ユーザの暗号化鍵を管理するかを選べる、柔軟なキー管理オプション
  • AWS KMSでは、AWSサービスと統合されたユーザが管理不要の鍵と、ユーザが作成から削除までを管理できる鍵の2種類が選択できます
• ユーザのコンプライアンス要件を満たす、専有されたハードウェアベースの暗号化キーストレージ
  • AWS CloudHSMというハードウェアベースのキーストレージがあります

アクセス制御

この節は、AWSサービスへのアクセス管理を提供する機能の紹介です。

• 個別ユーザアカウントのAWSリソースへのパーミッションを定義する機能
  • AWS IAMを使用します
• ハードウェアベースの認証を含む多要素認証の仕組み
  • Multi-Factor Authenticationで実現できます
• 社内のディレクトリサーバと連携することで、管理のオーバーヘッドを減らし、エンドユーザ体験を向上します
  • AWS IAMには、既存のActiveDirectoryなどで管理されているAWS外部のユーザIDに、AWSリソースへのアクセス権を付与する便利な機能があります
  • この機能を使ってシングルサインオンも提供できるため、エンドユーザにとって使い勝手がよくなるでしょう
  • 参考: ID プロバイダーとフェデレーション - AWS Identity and Access Management

監視とロギング

この節は、AWSに存在する監視とロギング機能の紹介です。

• AWS APIを誰が/何を/いつ/どこから呼び出したか (呼び出し元IPアドレス) 記録する機能
  • これはAWS CloudTrailのことですね
• ログの集約とストリームを検査してアラートを上げる機能
  • Amazon CloudWatch Logsによるログ転送のことだと思います
  • 参考: ログファイルのモニタリング - Amazon CloudWatch
• 特定のイベントが起きたり閾値を超えたりした時のアラート
  • CloudWatchやCloudWatch Logsは、Amazon SNSと連携することでアラートを送信することができます

日頃からこれらの機能を活用することで、何かが起きる前に問題を発見したり、AWS環境のセキュリティ状態を改善したりできるでしょう。

AWS Marketplace

AWS Marketplaceで企業から公式に提供されているAMIを使ってシステムを構築することで、従来のオンプレミス環境と同等の管理されたセキュリティ機能を手にいれることができます。

セキュリティガイダンス

この章は、AWSやAWSパートナー企業から提供されるガイダンスと専門知識についての紹介です。

• AWS Trusted Advisor
  • AWS Trusted Advisorは、AWS環境を自動的に検査して、ユーザがベストプラクティスに則った設定をするようにアドバイスを与えてくれるサービスです。
• AWSアカウントチーム
  • AWSアカウントチームは、ユーザのデプロイや実装についてのガイドをしたり、セキュリティ面の課題を解決するためのリソースの正しい使い方について教えてくれたりします。
• AWSエンタープライズサポート
  • 24時間365日の電話、チャット、Eメールでのサポートが提供されるサポートプランです。また、非常事態には15分以内の応答が保証されています。
• AWS プロフェッショナルサービス
  • クラウド移行のためのガイダンスとベストプラクティスである「AWS Cloud Adoption Framework」にしたがって、お客様にコンサルティングを提供するサービスです。
• AWS パートナーネットワーク
  • AWSから認証を受けた世界中の数百のパートナー企業が、お客様がセキュリティやコンプライアンスを確保するためのお手伝いをします（もちろんクラスメソッドもその中の1社です）。
• セキュリティ情報と速報
  • Security Bulletinsでは、AWS環境に影響するセキュリティ脆弱性や脅威などの情報をユーザ向けに配信しています。RSSフィードもあります。

AWSのエキスパートから提供するサービス群に混じって、AWS Trusted Advisorが入っているのが面白いですね。AWS Trusted Advisorは、機械的にチェックとアドバイスを提示するツールですが、これまでのAWSのノウハウを凝縮して実装されたといわれているだけあって的確な指摘をしてくれますので、設定のチューニングに役立ちます。

コンプライアンス

この章では4つの話題に触れられています。特に、オンプレミス環境からクラウド環境への移行を検討中の人にとって、有用な情報だと思います。

• AWS環境が受けている認証と、AWSが準拠している標準
  • AWSは、ISO 27001, FedRAMP, DoD CSM, PCI DSSなどの認証を受けています
  • さらに、ユーザがコンプライアンスに則ってシステムを構築できるように、AWSは20以上の標準に準拠しています
  • HIPAA, CESG (UK), Singapore Multi-tier Cloud Security (MTCS)など
• AWSは、EUデータ保護指令に認証を受けています
  • EUとUKは、欧州経済領域 (EEA) 居住者の個人情報を十分なデータ保護のない第三国へ移動することを禁止しています。USや日本も対象ですが、Amazonは独自に認証を受けています
  • 参考: Whitepaper on EU Data Protection
• AWSは、自分たちのハードウェアやデータセンターに対して監査を実施し続けています
  • そのおかげで、AWSのユーザは黙っていてもその恩恵を受けられます
• 従来のデータセンター上のシステムでは、コンプライアンスを遵守するために、手動による定期的なチェックに頼っていました
  • AWSではコンプライアンスを遵守しているかどうかのチェックを、AWS ConfigやAWS CloudTrailで自動化できます

より詳しく学ぶには

この章では、参考資料が列挙されています。この記事では、日本語版ホワイトペーパーをあわせてご紹介しておきます。

• Amazon Web Services: Overview of Security Processes
  • 日本語版: アマゾン ウェブ サービス: セキュリティプロセスの概要
• Amazon Web Services: Risk and Compliance
  • アマゾン ウェブ サービス:リスクおよびコンプライアンス
• AWS Security Best Practices
  • AWS セキュリティのベストプラクティス

英語版の更新日付が日本語版より新しい場合、改訂内容が日本語版にまだ反映されていませんので、ご注意ください。

おわりに

AWSが提供するセキュリティサービスの概要ホワイトペーパーのご紹介でした。

なお、このドキュメントでは、今年のre:Invent 2015で発表されたAWS WAFとAmazon Inspectorが提供するサービスがまだカバーされていません。これらを加えた内容に、今後アップデートされていくのではないかと思います。

それでは、また。