この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
本記事は2015年12月18日(金)に開催された「AWS環境 セキュリティ実践セミナー ~ UTM Auto Scalingをやってみた ~」のレポートです。
会場はアマゾンウェブサービス株式会社様オフィス。
レポート
1.AWSにおけるセキュリティのベストプラクティス
講師はアマゾン ウェブ サービス ジャパン株式会社の松本 照吾氏。
クラウドを何のために使うか?企業の課題を解決するために。
初期投資が不要、ボタン一発で欲しいサービスが起動、使わないときはコストがかからない。
小売業であるAmazonの期待が作り出したのはAWS。
需要と供給のバランスが取れたITシステムを迅速に立ち上げられる。
Amazon Web Services
他のクラウドサービスと違うのは文化。AWSは小売業の文化で提供している。
使っている人が多くなれば多くなるほど安く提供。規模の経済。薄利多売。
世界中にAWSの拠点。今後はインドや韓国でもロケーション設立予定。
早いイノベーションリリースのペース。毎年倍々で増えている。
AWS責任共有モデル
AWSはクラウド基盤のセキュリティを担保する。
アプリケーションやサーバOSなど、お客様がコントロール可能な範囲は、お客様がセキュリティを担保する。
AWSのサービスやAWSパートナーが提供するソリューションを使うことで、よりセキュリティを高めることができる。
Security "OF" the Cloud
AWSの責任範囲。
AWSからセキュリティホワイトペーパーを提供。
多数のサードパーティ証明を取得。第三者がAWSのセキュリティを証明している。
AWSのグローバルインフラストラクチャー
世界中にリージョンを展開。
AWSがお客様システム内部の情報を見ることはない。責任分界としてAWSの範囲外。
アベイラビリティ・ゾーンによる可用性の確保。リージョンの中には必ず2つ以上のAZがある。
DCレベルの障害対策
物理的に離れたデータセンター群、電源分離。洪水や地盤沈下リスクも考慮。
セキュリティの担保。
物理セキュリティ。
場所の秘匿。住所は非公開、データセンター訪問も許可していない。
AWS社員でもデータセンターの場所はわからない。
情報を秘匿する代わりにSOCレポートを出している。
ネットワークセキュリティ。DDoSや中間者攻撃などに対処。
論理的なセキュリティ。
ハイパーバイザーは限られたAWS管理者のみがアクセス可能。全てロギング。
責任共有モデルに基づいて、AWSからゲストOSにはアクセス不可。
従業員・アカウントの管理。犯罪歴などが確認済みの人だけを採用。
データセキュリティ。最終的にはお客様の責任範囲。
法令尊守や政府機関の要請によりやむを得ない場合を除き、ユーザーコンテンツにはタッチしない。
ストレージの廃棄プロセス。物理的に細断。
主要な規制、標準、ベストプラクティスに準拠。第三者認証を取得。
Security "IN" the Cloud
ユーザーの責任範囲。そのための様々なサービスをAWSは提供。
AWSのパートナーも700以上のセキュリティソリューションを提供している。
サーバー(OS)のセキュリティ。
セキュリティ設定済みのAMIを用意することで、平準化することもできる。
AWS Inspector。セキュリティ診断をするためのサービス。
ネットワークのセキュリティ。
パブリッククラウドだが、お客様専用の仮想ネットワーク(VPC)を作成。
AWS WAF。お客様の選択肢の一つとして提供。
論理的アクセスコントロール。IAM。AWSのアクセス権限を管理するサービス。
監視・監督。CloudTrailでAWS操作を全て記録、一元管理。
データのセキュリティ。様々な暗号手段を使うことができる。
Security for the Cloud
AWSの責任範囲とユーザーの責任範囲を、様々なサービスやソリューションを組み合わせて、トータル的に担保。
2.オールインワン、シンプル、スケーラブル、三拍子そろった Sophos UTM 9 on AWS
講師はソフォス株式会社の小野 克浩氏。
AWSで利用できるSophos製品
Sophos UTM 9(時間課金とBYOL)
Sophos Secure OS
Sophos AntiVirusをIncludeしたCentOS。AntiVirusのライセンスフィーは無償。
Sophos UTM
元々はハードウェアのアプライアンス。
Astaro買収によりSophosから提供。
Gartner Magic QuadrantにてLeaderセグメントとして評価。
ネットワークセキュリティ機能を一通り持つ+エンドポイントセキュリティ機能を有している。
導入モデルはハードウェアアプライアンス、ソフトウェアアプライアンス
ソフトウェアアプライアンスはAWS上でそのまま動作可能
高いユーザビリティ。直感的な管理コンソールを提供。Webブラウザで全ての管理が可能。
優れた防御力。デュアルアンチウイルスエンジン。2つのエンジンが搭載されている。
Sophos UTM on AWS
AWS責任共有モデルのうちプラットフォーム、アプリケーション、ネットワークのセキュリティを高める。
ネットワークプロテクション
ファイアウォール。Web管理コンソールで直感的に設定可能。
IPS、VPNアクセス、サイト間VPN(REDを使ったVPNの拡張)
Webプロテクション
WAF、ハードニング、Cookie改竄保護、アンチウイルススキャン。SSLオフロードも可能。
UTM Architecture on AWS
UTM->EC2->RDSの三段構成だと、UTMが単一障害点になる。
UTMをAutoScalingすることで、UTMが単一障害点になることを回避。
UTM AutoScalingはAWS Marketplaceから利用可能。
CloudFormationで提供している。
Queenの設定をS3に複製、SwarmはS3上の設定ファイルを取得。
構築手順はSophosのナレッジベースに記載がある。
アドオン製品
Sophos RED。VPNを拡張する製品。
オンプレミスネットワークに配置するだけでSophos UTMとVPNネットワークを構築。
Sophos UTM Manager。UTMの集中管理ツール。無償で提供。
AWS利用時のライセンス形態。従量課金とBYOL。
従量課金はBYOLのみ。BYOLはプロテクションごとに選択可能。
従量課金は現在サポート無し。BYOLはサポート有り。
AWS環境向けプロテクション機能
ファイアウォールの国別ブロック機能。GeoIPロケーションで判断。
ATP機能も有している。
3.Sophos UTM 9のAutoscalingを試してみた
講師はクラスメソッドの森永 大志。
AutoScaling
AWSの機能の1つ。負荷に応じてサーバを増減させる。
懸念点。増えたサーバにどう設定を反映させるか。アクセスするサーバが変わる。
AutoScalingを自分で作ろうとするとかなり大変。
Sophos UTMのAutoScaling対応。
構成図(CloudCroutで作成)
Security Tier。Sophosが配置されている場所。
Application Tier。アプリケーションサーバが配置される場所。
AdminはControllerサーバに設定。Controllerサーバは1つだけ。
ControllerはAutoScalingで障害時には自動的に復旧。
Controllerに変更があった場合、S3に設定ファイルを投げる。合わせてSNSにプッシュ通知。
WorkerはSNSの通知がきたら、S3から設定ファイルをダウンロードして反映。
スケールアウトしても最新の設定ファイルをS3から取得する。
ユーザーはWorkerが接続されたELBにアクセス。
負荷が高まったらWorker増加。負荷が減ったらWorker削減。
UTMのAutoScaling構成を簡単に作ることができる。
CloudFormationで実現。JSONで記述したファイルからAWS環境を一発で起動。
(ここでデモ)
起動後、Controller1台(Queen)とWorker2台(Swarm)が起動。
AutoScalingの設定ではWorkerは100台まで起動する。
スケールの条件。CPU使用率70%超えたら増えて、40%を下回ったら減る。
Deployment TypeがAutoscaling、Instance TypeがControllerとなる。
Workerにもアクセスが可能。Instance TypeがWorkerになっている。
Controllerを日本語にすると、数秒でWorkerも日本語になる。
ゲートウェイがSPOFになってしまうのでAutoScalingのニーズはたくさんある。
簡単にSophos UTMのAutoScaling構成が立ち上がるので是非試してみて頂きたい。
まとめ
今回のイベントは、クラスメソッドとソフォス株式会社様で主催、アマゾンウェブサービス株式会社様が共催となって、開催させて頂きました。弊社ではSophos UTMを使った導入事例を多数公開しておりますので、ぜひご覧になってください。
ご参加頂いた皆さんありがとうございました!
3
