この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは、菅野です。
本日(2016年10月12日)に開催しています「AWS Cloud Roadshow 2016 札幌」に来ています。
14時00分からの AWS セッション「これで安心!セキュリティとネットワークの A to Z ~ Getting Started with AWS Security and Networking ~」を聴講してきましたのでそのレポートです。(写真撮影はできませんでした)
スピーカー
AWSJ 技術本部 ソリューションアーキテクト
桐山 隼人 氏
トピックは二つの安心について
- 利用者の認証とアクセスポリシー管理
- AWS IAM
- 仮想プライベートクラウド
- VPC
AWS IAM
認証と認可の仕組み
- ユーザー単位、グループ単位での管理が可能
主機能
- 権限設定
- 必要な権限を必要な人・グループに対して
- 監査
- 証拠保全・作業追跡
IAM ポリシーの記述(構造)
- 許可・拒否の設定
- 対象とする捜査
- 対象とする AWS リソース
- これらアクセス制限を有効にする条件の設定
AWS CloudTrail
- 監査の仕組み
- 各種捜査のログを残す事が重要
- 各リージョンの AWS リソースの呼び出しがログに残る
- API コールも同様
- クラウドはそれらログを自動で残す
AWS Config
- 構成変更を管理・確認する仕組み
- AWS リソースに対する変更が履歴として残る
AWS IAM を使う上でのポイント
- AWS ルートアカウントは利用しない
- 普段使うユーザーをまず最初に作成する
- ルートアカウントは極力利用しない
- パスワードポリシーを設定しよう
- 簡単なパスワードは危険
- ルールは自分で決めれる
- MFA によるアカウントの保護
- パスワードだけの管理では不安
- トークンやソフトウェアを利用する
- 認証情報の定期的なローテーション
- Access Key や Seacret Access Key
- パスワード
- IAM 認証情報レポート
- 監査が可能
- OpenID Connect または SAML2.0をサポートしている
- AD と STS を組み合わせる事でユーザーは一元管理できる
- STS の AssumeRoleWithSAML を利用
仮想プライベートクラウド(VPC)
VPC とは?
- AWS 上にプライベート空間を構築
- 社内からVPN接続して閉域網で AWS を利用できる
- オンプレミスとのハイブリッドが簡単に実現
- AWS が社内インフラの一部に見える
- 社内システム、ソフトウェアの移行がより容易になる
- オンプレミス環境(イントラ)との接続方法は二つ
- DX
- VPN
- VPC の中にプライベートサブネットとパブリックサブネットを構築する
- セキュリティレベルの違うサブネットを作成する
- インターネットに公開するサブネット
- オンプレミスと接続するサブネット
- DB には重要な情報が含まれている事が多いのでプライベートサブネットへ
ネットワークアクセスコントロールリスト(NACL)
- サブネットごとに設定するフィルタ機能
- インバウンド・アウトバウンドのルールをサブネットごとに管理
- ブラックリスト
- ステートレスなので戻りのトラフィックも明示的に許可する必要がある
セキュリティグループ(SG)
- EC2 インスタンスの仮想ファイアウォール機能
- ホワイトリスト
VPCセキュリティコントロール
- NACL、SGを組み合わせる
その他のセキュリティ対策
- TrendMicro DeepSecurity 等
- AWS WAF
AWS Direct Connect(DX)
専用線を利用したプライベート接続を提供するサービス
- VPN
- 安価
- 専用線(DX)
- より大きな帯域が必要な場合に選択
まとめ
- これらサービスを提供することで、オンプレミスと同等以上の安心を提供している
感想
AWS を利用する上で重要なセキュリティと、それがどのサービスによって確保されているかを
簡単な例を交えて説明していただきました。
これから AWS を始める方には、まずすべき事や環境構築時に考える必要がある事がわかり、
現在利用されている方には改めて自分の環境の改良すべき点が見えたのではないでしょうか。
基本的な内容のセッションとはいいつつも重要な内容だったと思います。
2
