[レポート]SEC325:データ保護のための暗号化、可用性、復旧性、永続性 #reinvent

こんにちは、坂巻です。

本記事はAWS re:Invent 2018のセッション「Data Protection: Encryption, Availability, Resiliency, and Durability」のレポートです。

概要

Protecting data means ensuring confidentiality, integrity, and availability. In this session, we discuss the full range of data protection capabilities provided by AWS along with a deep dive into AWS Key Management Service (AWS KMS). Learn about data protection strategies for ensuring data integrity and availability using AWS native services that provide durability, recoverability, and resiliency for customer data on AWS. In addition, learn how to define an encryption strategy to protect data cryptographically, including managing KMS permissions, defining key rotation, and best practices for using the AWS Encryption SDK with KMS for custom software development.

スピーカー

スピーカーは以下の二名です。

  • Ken Beer - General Manager - Key Management Service, AWS
  • Peter M. O'Donnell - Solutions Architect, AWS

レポート

Data Protection: Encryption,Availability,Resiliency,and Durability

Confidentiality,Integrity,Availability

  • 制御された、認可されたアクセス
  • エクスポージャー、リーク、盗難の防止
    • Integrity
  • 信頼できるコヒーレントなデータ
    • 腐敗防止と無許可の防止
    • Availability
  • 信頼性の高いタイムリーなアクセス
  • 日付レイヤーでのサスペンスの拒否の防止

Least Privilege

  • セキュリティのベストプラクティス
    • 最小限の権限セットから開始する
    • 必要に応じてグランドの追加権限
  • 必要な権限セットのみを定義
    • 特定のサービスがサポートするアクション
    • 特定のタスクに必要なAPIアクションの収集
    • 操作を実行するために必要なアクセス許可

Access control of resource vs data

  • AWS IAMによるリソースアクションの管理
  • リージョン内耐久性のスナップショット
  • 分離を最大限にするために、別々のAWSアカウントにデータのコピーを保持する
  • データベースによって管理されるデータ自体へのアクセス。 MySQLとPostgresSQLはAWS IAMと統合して認証情報を生成できます
  • データベースの資格情報を慎重に管理するために不可欠なローテーション

AWS Secret Manager

  • AWS IAMとサービスとの統合
    • 秘密へのアクセスを制御することは、しばしばデータへのアクセスを制御することと同じです
    • 秘密を扱う人が多すぎるとリスクと脆弱性が生じる
    • セキュリティと可用性を提供する自動的回転

AWS Secret Managerの特徴

01

AWSストレージサービスのデータ

  • Amazon S3
  • Amazon Elastic Block Store
  • Amazon Glacier
  • Amazon Elastic File System

AWSストレージサービスでのデータ保護

  • Amazon Elastic Block Store
    • 機密保持:タグベースのIAMポリシー
    • 耐久性:アカウント間でスナップショットを共有し、AWSリージョン間でコピー
    • 誠実:ブロックの整合性が自動的に提供される
  • Amazon Elastic Block Store
    • 機密保持:IAMポリシーの付与、ファイル/ディレクトリに対するPOSIX権限
    • 耐久性:アカウント間でスナップショットを共有し、AWSリージョン間でコピー
    • 誠実:ブロックの整合性が自動的に提供される
  • Amazon S3
    • 機密保持:読み取り/書き込みオブジェクトのアクセス許可
    • 耐久性:S3クロスリージョンレプリケーション、バージョン管理により、削除されたオブジェクトの回復が可能
    • 誠実:オブジェクトの完全性が自動的に提供される

VPCエンドポイントで強化されたAmazon S3セキュリティ

(手ブレしてしまい、写真が傾いていますがご了承ください) - Amazon S3でのIAMポリシ- - 対象のリソースに操作を許可する権限を付与する(Effect Allow) 02

  • using bucket resource with Amazon S3
    • 対象のリソースに権限を付与しない(Effect Deny)

03

  • VPCエンドポイントポリシー
    • 全てのアクションを拒否し、対象リソースのみアクセスを許可

04

Encryption as a data protection mechanism

なぜクラウドで暗号化が必要なのか?

  • What everyone says
    • コンプライアンス
    • セキュリティベストプラクティス
    • クラウドプロバイダの他の顧客から自分自身を保護する
    • クラウドプロバイダーから自分自身を保護する
  • What everyone means
    • 解読に必要な鍵を管理している
    • 平文データへの不正アクセスを防止する

必要な平文キーはどこに存在しますか?

  • HSMのオンプレミス
    • メリット:デバイスの制御、認証、承認
    • メリット:監査人に似ている
    • デメリット:遅延、アベイラビリティ、耐久性、スケーラビリティはユーザの責任
    • デメリット:クラウド管理サービスとの限定された統合

必要な平文キーはどこにありますか?

  • HSMのCloud(AWS CloudHSM等)
    • メリット:認証、認可を制御
    • メリット:クラウド内のアプリへの遅延時間を短縮
    • メリット:高い可用性、耐久性、スケーラビリティを簡単に実現
    • メリット:監査人に似ている
    • デメリット:クラウド管理サービスとの限定的な統合

クライアントサイド暗号化

  • AWSサービスにデータを渡す前にデータを暗号化する

05

サーバサイド暗号化

  • AWSサービスに、アップロードしたデータを暗号化するよう依頼する

06

さいごに

前半はAWSでのセキュリティ対策について実際のjsonポリシーをベースに解説があり、後半は暗号化について(主にKMS)のアーキテクチャを解説するようなセッションでした!