【AWS SAA対策 Udemy】セキュリティ

セキュリティの確保

基本方針

AWSのデータ/システム/アセットを保護して、モニタリングによりセキュリティを高める。

全てのレイヤーでのセキュリティを適用

AWS責任共有モデルの基づく対象範囲の保護に集中する

セキュリティベストプラクティスの適用

CloudHSM

AWS CloudHSM は、クラウドベースのハードウェアセキュリティモジュール (HSM) です。これにより、AWS クラウドで暗号化キーを簡単に生成して使用できるようになります。CloudHSM で、FIPS 140-2 のレベル 3 認証済みの HSM を使用して、暗号化キーを管理できます。CloudHSM によって、PKCS#11、Java Cryptography Extensions (JCE)、Microsoft CryptoNG (CNG) ライブラリといった業界標準の API を使用して、アプリケーションを柔軟に統合できます。ref:https://aws.amazon.com/jp/cloudhsm/

不正防止対策が取られている専用HWモジュールによる暗号化Keyを保護する。厳しい暗号化要件に対応する為に利用する。

S3の暗号化タイプ

サーバサイド暗号化

サーバーリソースを利用して格納データの暗号化を実施する

暗号化タイプ: SSE-S3、SSE-KMS、SSE-C

【AWS SAA対策 Udemy】S3#6151198bdac41e0000ac2bef

クライアントサイドの暗号化

AWS KMSで管理されたカスタマKeyで暗号化する

クライアントが管理するマスターkeyで暗号化する

RSDSの暗号化

RDSはセキュリティグループによる制御とデータ接続の暗号化を行っている

AWS責任共有モデル

IAMによるアカウント管理

セキュリティグループの設定

アプリケーションのロールベースのアクセス設定

ネットワーク/インスタンスオペレーションシステム(バッチ)などの設定

OS/ホストベースのファイヤーウォール設置

AWS Directory Service

ユーザに関わる各種情報を保管してユーザー認証を実現する仕組みを提供する

AWS STS

STSは一時的で限定的にセキュリティ認証情報を提供するサービス

Amazon Cognito

SNS認証などを実装する際に使える。

https://aws.amazon.com/jp/cognito/

めちゃ便利だ....!!

VPCアクセス制御

セキュリティグループ

インスタンス単位

ステートフル

ネットワークACL

サブネット単位

ステートレス

検出制御

CloudTrail

AWSのユーザーの行動ログを監視する

CloudWathc

AWSリソース、AWSで実行するアプリケーションに対して様々なメトリクスやログを収集・追跡するモニタリングサービス

AWS GuardDuty

AWS上での悪意のある操作や不正な動作を継続的にモニタリングする

AWS Inspector

自動的にアプリケーションを検証し、その露出、脆弱性、ベストプラクティスを考える

セキュリティ向上型

AWS WAF

ウェブの脆弱性からアプリケーションまたはAPIを保護する

AWS Shield

DDoS攻撃に対する保護サービス

CloudFrontではStandardで利用できる。

IAM Access Analyzer

AWS Security Hub

AWS KMS

ref:https://aws.amazon.com/jp/kms/

多くのDBサービスはKMSと統合できる

暗号鍵の作成、管理・運用を実施するマネージドサービスでAWSマネジメントコンソール、AWS SDKまたCLIを使用してKeyを作成して、インポート、ローテンション、作成・削除が可能

カスタマーマスターKey

暗号化を実施する上で最初に作成する暗号化Keyを暗号化する

ローテンションする

カスタマーkey

実際のデータの暗号化に利用されるKey

KMSで作成されてCMKで暗号化する

エンベロープ暗号化

マスターKeyでは暗号化せずに、暗号化したデータKeyを利用して暗号化する暗号化方式

データKeyとマスターkeyによる暗号化を実施して。

ACMの活用

CA証明書を使ってSSL通信ができる!!

AWS Certificate Manager は、AWS のサービスとお客様の内部接続リソースで使用するパブリックとプライベートの Secure Sockets Layer/Transport Layer Security (SSL/TLS) 証明書のプロビジョニング、管理、デプロイを簡単にします。SSL/TLS 証明書は、ネットワーク通信を保護し、プライベートネットワークのリソースと同様にインターネットで Wウェブサイトのアイデンティティを確立するために使用されます。AWS Certificate Manager を使用すれば、SSL/TLS 証明書の購入、アップロード、更新という時間のかかるプロセスを手動で行う必要がなくなります。ref:https://aws.amazon.com/jp/certificate-manager/

将来これに置き換えればトラブルも減るのかな...?

あとでみる

https://www.udemy.com/course/aws-associate/learn/lecture/20906268#overview

コスト最適化

基本方針

不必要なリソース削除

透明性のある費用効果

マネージド型サービスの利用によるコスト削減

Trusted Advidor

AWS Trusted Advisors は、お客様が AWS のベストプラクティスをフォローするためのアドバイスを提供いたします。Trusted Advisor は、チェックを使ってお客様のアカウントを評価します。これらのチェックは、お客様のAWS インフラストラクチャを最適化し、セキュリティとパフォーマンスを向上し、コストを削減し、サービスをモニタリングします。そしてチェックのアドバイスに従って、サービスやリソースを最適化することができます。ref:https://aws.amazon.com/jp/premiumsupport/technology/trusted-advisor/

#aws