[レポート]NET202 クラウド内の仮想データセンターを保護する #reinvent

このページではAWS re:Invent2018で行われたセッション「NET202 - Securing Your Virtual Data Center in the Cloud」についてのレポートを行います。

In this introductory session, we cover how to secure your resources in the cloud for common AWS workloads such as Amazon EC2 computing, database, and serverless. We cover security best practices recommended by AWS for each workload using simple and effective identity and networking techniques. Learn how and why these controls do what they do, and come away with the ability to interpret and apply AWS identity and network access controls.

AWSの基本であるネットワークとアイデンティティとアクセス管理について、全くの素人でもわかるように解説されたセッションでした。

レポート

アジェンダ

• • AWSのネットワークとアデンティティベースのセキュリティコントロールについての知識をサクッと得る。

• AWSリソースを保護するための繰り返し実行可能なパターンを理解する。

AWSネットワークの基礎について

リージョン、アベイラブルゾーン(AZ)およびバーチャルプライベートクラウド(VPC)、VPCサブネットについて概説がなされました。

次に、AWSの各サービスがどこで利用できるかについての説明がありました。

特に、dig コマンドにてリソースのIPアドレスの具体例を提示することで実際にどのレイヤーになるかを解説しています。

Amazon VPCによる実用的なネットワークセキュリティ

まずはVPCに利用できるセキュリティ施策の提示がありました。

セキュリティグループ

ステートフルなネットワークファイアウォールであるセキュリテイグループについて、具体例をマネジメントコンソールでの設定が例示されました。

ルーティング

決められた宛先のみにデータが流れるようにするルーティングでは、外部接続しないサブネットやインターネット接続するサブネットのパターンの例示がありました。

ゲートウェイ

特定のアクセス範囲から接続できるポイントを作成するゲートウェイでは、AWSサービスへのプライベートな接続を提供するVPCエンドポイントについて例示がありました。

AWSのIAMよる実用的な権限管理

基本中の基本であるIAMが何の略語から始まり、IAMユーザ・ロールと関係についての説明が行われました。

次に、最初はとっつきにくい IAM Principal と IAM Policy についても解説がなされました。

また、IAM Policy については 具体的なコードの具体例が提示されました。

また途中で用語説明のスライドも入りまだAWSがよく分からない人についての配慮もありました。

これらのIAMとネットワークを連携することで、ネットワークとアクセス管理が一体管理できることが説明されました。

最後に

レポートに書いた以外にも例示が多く非常に平易な内容でしたが「基本中の基本」をよく抑えたセッションで、AWSを始めたいと思う方や認定資格のクラウドプラクティショナーを取得したいと思う方に最適な内容だと感じました。