(レポート) SEC201: AWSのセキュリティについてどのように考えるべきか? #reinvent
AWSの考えるセキュリティ
本セッションの当初の名前は、「AWSにおけるセキュリティの一般教書演説」でしたw。200系のセッションですが、非常によくまとまっていて必見かと思います。以下のような問に答える内容となっています。
Q:なぜセキュリティはホットなトピックなの? A:重要で難しいからさ
Q:なぜ従来からエンタープライズのセキュリティは難しいの? A:しっかりした計画が必要だからさ
Q:なぜそんなに計画に時間が掛かるの? A:たくさんのプロセスがあるからさ
Q:なぜそんなに多くのプロセスがあるの? A:間違うのは簡単で、正すのは難しいからさ
Q:なぜ間違いを正すのは難しいの? A:見つけにくくて、自動化レベルが低いからさ
んで、AWSはどうしてくれんの?
AWSは、セキュリティをアジャイルに、そして、より早く安全を保てるようにします。
セキュリティを加速する新サービス
AWSが満を持して出してきたサービスが、Amazon Inspector、AWS WAF、AWS Config Rulesです。
OWASP TOP 10を見ても分かるように、セキュリティの脅威は、外部からの攻撃だけではなく、正しい設定にしていない管理者の問題や、脆弱性のあるソフトウェアの利用によるところも大きいです。
セキュリティとアジリティをORではなく、ANDで実現するというメッセージは、Amazon CTOのWernerも言っていましたね。
Amazon Inspector
Amazon Inspectorは、継続的に脆弱性検査をするサービスです。正しい設定を行なっているか、不備はないか確認をすることができます。具体的には、コンフィグをスキャンするエンジン、活動モニタリング、ビルトインのライブラリー、APIによる自動化支援、監査機能などです。
Inspectorが持っているルールセットには、CVE、ネットワークセキュリティベストプラクティス、認証ベストプラクティス、OSベストプラクティス、アプリケーションベストプラクティス、PCI DSS 3.0対応などがあります。
Amazon Inspectorを採用することで得られるメリットは、アジリティの向上、ノウハウの活用、セキュリティ姿勢の向上、コンプライアンス整備などが挙げられます。
AWS WAF
AWS WAFは、ウェブアプリケーションファイアウォールのサービスです。主な機能は、Webフィルタリング、CloudFront統合、ルール管理、リアルタイム可視化、APIによる自動化です。
AWS WAFを採用することで得られるメリットは、Web攻撃からの防御、デプロイとメンテナンスの簡易化、開発プロセスにセキュリティを埋め込むなどです。
AWS WAFは、単体で利用することもできますが、パートナー製品との連携によってより効果を発揮します。Alert Logic、Imperva、Trend Microなどです。動的にルールセットを更新することを考えるとパートナー製品は必須になるかと思います。
AWS Config Rules
AWS Config Rulesは、組織のセキュリティガイドラインや、ポリシーを満たしているかルールを設定し、定期的にチェックすることができます。繰り返しのチェックを自動化できるのがポイントです。主な機能は、ルールを継続的またはさかのぼって自由に評価、共通ゴール向けにダッシュボードとレポートを用意、改良方法のカスタマイズ、APIによる自動化などです。
ルールセットは、Telos、splunk、evident.ioなどのエコシステムソリューションによって提供されています。
Amazon Config Rulesによるメリットは、予期しない変更の継続的なモニタリング、組織横断的なコンプライアンスの共有、コンフィグ変更のシンプルな管理などが挙げられます。
セキュリティの設計について
AWSを用いたセキュリティは、IAM、KMS、CloudTrail、Config、CloudHSM、IAMなどの利用をはじめ、AWSアカウント管理、セキュリティコントロールの自動化、監査の効率化などを考えて設計します。
CloudFormationテンプレートの利用は、PCI、HIPPA、FFIEC、FISMA、CJISなどのコンプライアンス管理の面で有効です。
まとめ
最後に、ポイントをまとめています。
セキュリティの設計とデプロイのために、理にかなったデフォルト値を定義し、コンプライアンスのコントロールを受け継ぎ、使用可能なセキュリティ機能を利用してください。
セキュリティの運用と向上のために、利用者のロールを削減し、特権アカウントを削減し、何が起こったかに集中してください。
最後に、セキュリティは重要で、より簡単にするためにツールを作り、ワールドクラスのチーム作りを支援し、利用者が早くそして安全にビジネスをドライブできるように支援していきます。
心強いですね!
参考資料
(SEC201) AWS Security State Of The Union Slideshare
AWS re:Invent 2015 | (SEC201) AWS Security State of the Union youtube