[レポート] Get the Big picture for security service on AWS #reinvent #reinvent22 #GEO015
こんにちは!AWS事業本部コンサルティング部のたかくに(@takakuni_)です。
本エントリは、re:Invent 2022で開催されたである「Get the Big picture for security service on AWS」のセッションレポートになります。
セッション概要
AWS management and governance services are built to manage highly dynamic cloud resources. In the past, organizations have had to choose between innovating faster and maintaining control over cost, compliance, and security. With AWS management and governance services, you don’t have to choose between innovation and control—you can have both. With AWS, you can enable, provision, and operate your environment for both business agility and governance control. In this talk, get the big picture for management and governance services on AWS. Understanding the various options that you can choose from based on your requirements will help you with architecting your systems. This talk is delivered in Japanese.
登壇者
Harunobu Kameda, Sr. Developer Advocate, AWSJ
内容
クラウドサービスの利用は継続して増加している。
増加はしているものの、クラウドを未利用企業がクラウドを利用できない抱える課題として「情報漏えい」がよく挙がる。
対して、クラウドを利用している企業はクラウド利用の優位点として「セキュリティ」を高く評価している。
AWSは2006年からサービスを提供しているが、セキュリティ的なインシデントは発生していない。今後発生しないとはお約束できないものの、次のような対応を積極的にすすめている。
- 第三者認定の取得
- セキュリティベストプラクティス集の提供
AWSでは次の4つのステップでセキュリティを保護し、各ステップに応じたサービスの提供をしている。
IDとアクセス管理
オンプレミスの場合、サーバーを購入した時点では特にセキュリティが対策されていない。
AWSではどのサービスもAWSの管理基盤につながるのが最大の違いである。AWSでは初期時点から抑制を行える点が異なる。
発見的統制
AWSではリアルタイムで監視することができる。サービスによっては機械学習でアクティビティを監視している。
また、逸脱した動きをルールベースで検知することもできる。
インフラストラクチャ保護
SSMなどでパッチの実行等を強制することもできる。
WAFやNetwork Firewallも提供されて保護する層やリソースによってサービスを豊富に提供している。
データ保護
通常の場合、高額になるケースが多い。
暗号化のために専用のアプライアンスなどを利用する場合、非常に高額になるケースもある。
開発環境はセキュリティレベルを下げるなどもあるため、本番環境に移行する際に漏れが発生する可能性もある。
クラウドは従量課金制のため、デフォルトからオンにした状態で、不要ならオフにするオンプレミスとは逆の考え方になる。
インシデント対応
Config Ruleを利用して、あるべき姿に準拠しているかどうかを確認する。
Lambdaなどを利用してあるべき状態へ戻す動きを自動化することができる。
感想
オンプレミスとの違いやAWSでどのような取り組みがなされ散るのか大変勉強になりました。
初めて利用されるお客様への説明どのような違いあるのか自分でも説明できるようにしていきたいです。
以上、AWS事業本部コンサルティング部のたかくに(@takakuni_)でした!