AWSのセキュリティ
3-1 AWSの責任共有レベル
「AWSはおいてセキュリティは最優先事項」とAWSは言い切っています。
AWSの責任共有レベル is AWS側で守る側と、ユーザ側で守るデータがそれぞれ違うので、それをまとめて責任共有レベルという。
AWSクラウド本体にあるセキュリティ
ハードウェアを始めとする、リージョンや、ストレージ、データベース。各ソフトウェアのセキュリティに関わるパッケージ更新などを担保する。
クラウド内のセキュリティ
主にAWS 利用ユーザが担保する場所。
ユーザデータの扱い
従来のデータセンターの場合と同じようにゲストや権限の管理。WAFの設定などが含まれます
アプリケーションとDBインスタンス間の接続暗号はユーザの責任になる
アプリケーション、オペレーションシステムの更新、メンテナンスはユーザの責任になる
AWSが提供するサービスを利用してユーザは適切にクラウド内のセキュリティを構築する。
3-2 AWSのクラウドセキュリティ
4つの利点があります。
データの保護
ユーザのプライバシーを保護する為の強力な安全策が用意されています。
コンプライアンスの要件に準拠
インフラストラクチャ内で数多くのコンプライアンスプログラムを管理できます。
セキュリティに関わるコスト削減
AWSデータセンターを利用する事で、コスト削減
迅速なスケーリング
AWSのクラウドの使用量に合わせてセキュリティをスケーリングできます。
AWSが責任をもつ範囲の考え方
物理的なセキュリティ
環境レイヤー
洪水などの環境リスクを軽減する為にAWSは設置場所を慎重に選んでいる。
物理的な境界防御レイヤー
AWSなどの物理的なセキュリティは境界防御レイヤーから開始され、監視カメラや防御壁などで守らている。
インフラストラクチャレイヤー
データセンターの建造物、各種機器、およびそれらの運用に関わるシステムが存在する。
データレイヤー
最もクリティカルなところなのでアクセスを制限して、各レイヤーで特権を設定している。
ものすごい厳重に管理されている事がわかった。
ハイパーバイザーのセキュリティ管理
仮想化を実現するハイパーバイザーのセキュリティもAWSが管理している。
管理プレーンの保護
IDやパスワード、APIのキーペアなどに関わるデータのセキュリティはユーザが担当します。
また、ルートアカウントを最初に作るが、ルートアカウントで操作するのではなく、適切な権限を持ったユーザを作成して使う。
キーペアの保護
現在は公開鍵認証方式を用いたキーペアによって。ログイン認証が可能
キーペアの秘密鍵の管理はユーザになります。
APIキーの管理
これもユーザの管理です。
アクセスキー、シークレットキーのペアの事を指す。
これを使ってAWS のCLIから操作が行える。
ルートアカウントのキーではなく、適切な管理権限を持ったユーザのキーで操作を行う
これ以外にも、AWS EC2やVPC、IaaSなどのマネージドでないサービスは、ユーザ側でセキュリティ設定を行う必要がある。
まとめると、AWSがクラウドのインフラストラクチャの保護とメンテナンスを行い、それ以外のクラウド上で保護するデータに関してはユーザ側であらゆるものを保護する責任を持ちます。
なにかおいた場合は破棄よりもID、PASSWORD、APIキーの変更を行う
明日ここから!!
2021/5/8
セキュリティのベストプラクティス
転送中データの保護
適切なプロトコルでデータを保護します。
SCPなどの暗号化された通信を使ってデータを保護します。
蓄積データの保護
DBのデータにもアクセス制限をかけてデータを保護します。
AWS 資格情報の保護
ルートアカウントを利用せず、IAMで作成したアカウントで適切に情報を管理します。
アプリケーションの安全性の確保
SQLインジェクション、OSコマンドインジェクション、XSSなどの既知の攻撃にも対応できるようにしましょう。
Amazon Inspectorなどが有効になりえる。
AWSは第三者委員会から厳しいチェックを受けて、レポートを AWS Artifactに提出している。
AWS Shield
DDoS攻撃に有効
AWS WAF
AWS Shield Advanceで無償で無制限に使える
Webアプリケーションにくる攻撃を防げる
基本料金は無料
Webセキュリティルールはユーザが管理
対象はCloudFront、Application Load Balancer、API Gateway
AWS Inspector
AWSのEC2上でデプロイされたアプリケーションのコンプライアンス向上を目指すためにレポートにを作成する
PCI DDS
クレジットカード会員情報の保護を目的に定められた、セキュリティ基準
AWS Artifact
コンプライアンスレポートにオンデマンドでアクセスできる。
AWS Key Manager
AWS Key Management Service (KMS) を使用することで、暗号化キーを簡単に作成して管理し、幅広い AWS のサービスやアプリケーションでの使用を制御できるようになります。AWS KMS はセキュアで弾力性の高いサービスで、キーを保護するために FIPS 140-2 の検証済みまたは検証段階のハードウェアセキュリティモジュールを使用します。AWS KMS は AWS CloudTrail と統合されており、すべてのキーの使用ログを表示できるため、規制およびコンプライアンスの要求に応えるために役立ちます。