AWS Black Belt Online Seminar AWS上の暗号化ソリューションアマゾンウェブサービスジャパン株式会社ソリューションアーキテクト布目拓也

Size: px

Start display at page:

Download "AWS Black Belt Online Seminar AWS上の暗号化ソリューションアマゾンウェブサービスジャパン株式会社ソリューションアーキテクト布目拓也"

こうざぶろうかたいわ
5 years ago
Views:

1 AWS Black Belt Online Seminar AWS上の暗号化ソリューションアマゾンウェブサービスジャパン株式会社ソリューションアーキテクト布目拓也

2 内容についての注意点本資料では 2016 年 5 月 24 日時点のサービス内容および価格についてご説明しています最新の情報は AWS 公式ウェブサイト ( にてご確認ください資料作成には十分注意しておりますが資料内の価格と AWS 公式ウェブサイト記載の価格に相違があった場合 AWS 公式ウェブサイトの価格を優先とさせていただきます価格は税抜表記となっています日本居住者のお客様がサービスを使用する場合別途消費税をご請求させていただきます AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided. Monthly charges will be based on your actual use of AWS services, and may vary from the estimates provided. 2

3 アジェンダ暗号化の基礎知識通信の暗号化とAWSサービス保管データの暗号化とAWSサービスまとめ 3

4 アジェンダ暗号化の基礎知識通信の暗号化とAWSサービス保管データの暗号化とAWSサービスまとめ 4

暗号化とは暗号あんごう cryptography cipher code あるいは暗号化あんごうか Encryption とは第三者に通信内容を知られないように行う特殊な通信秘匿通信方法のうち通信文を見ても特別な知識なしでは読めないように変換する表記法変換アルゴリズムのことである

5 暗号化とは暗号あんごう cryptography cipher code あるいは暗号化あんごうか Encryption とは第三者に通信内容を知られないように行う特殊な通信秘匿通信方法のうち通信文を見ても特別な知識なしでは読めないように変換する表記法変換アルゴリズムのことである通信だけでなく保管する文書等の内容を秘匿する方法としても用いることができる伝えたくない対象から情報を秘匿するための技術様々なセキュリティの問題対応に暗号技術が活用されている 5 機密性(盗聴防止,完全性(改竄防止), 正当性(なりすまし対策)

暗号化の方式アルゴリズム共通鍵暗号方式暗号化復号化に同じ鍵を利用対称鍵暗号方式秘密鍵暗号方式とも呼ばれる代表的な暗号アルゴリズム: 6 ブロック暗号 DES,TDES,AES ストリーム暗号 RC4 公開鍵暗号方式暗号化と復号に別々の鍵を利用暗号化に使う鍵を公開可能デジタル署名にも利用される

6 暗号化の方式アルゴリズム共通鍵暗号方式暗号化復号化に同じ鍵を利用対称鍵暗号方式秘密鍵暗号方式とも呼ばれる代表的な暗号アルゴリズム: 6 ブロック暗号 DES,TDES,AES ストリーム暗号 RC4 公開鍵暗号方式暗号化と復号に別々の鍵を利用暗号化に使う鍵を公開可能デジタル署名にも利用される一般的に共通鍵暗号に比べて処理が重い代表的な暗号アルゴリズム: RSA ElGamal 楕円曲線暗号化ハッシュ関数(可変長データから固定長のデータを生成)によりハッシュ値を生成不可逆性データの改竄や破損のチェックに利用される一般的に処理が軽い代表的なアルゴリズム: MD5, SHA-1. SHA-2 片方向暗号方式組み合わせて利用

Encryption at rest) 保管されたデータが意図しない第三者から読み出されるのを防ぐ

7 暗号化を利用したデータ保護通信の暗号化(Data encryption in transit) 通信路の盗聴からデータを守る SSL/TLS IPSec 無線LAN暗号化保管データの暗号化(Data Encryption at rest) 保管されたデータが意図しない第三者から読み出されるのを防ぐファイル暗号化暗号化ファイルシステムデータベース暗号化ブロックデバイス暗号化 in transit at rest 7

8 SSL/TLS SSL(Secure Socket Layer) Netscape Communicationsによって開発された通信の暗号化プロトコル TCP上でアプリケーション通信を暗号化する通信方式任意のプロトコルをプロトコル毎にトンネリング HTTPS, LDAPS, SMTPS等プロトコル仕様自体に脆弱性が発見されている(POODLE CVE ) TLS(Transport Layer Security) SSL v3を元にietfによって標準化された規格でsslの後継通信相手の認証通信内容の暗号化改竄検知現在の最新はTLS 1.2 TLS 1.1をベースとして UDP等その他のプロトコルの暗号化方式も開発されている SSLという名前がそのまま利用されている 8

9 SSL/TLSの仕組みとCipher Suite SSL/TLSの通信の流れ(RSA鍵交換での例) 1. アルゴリズムのネゴシエーション 2. 認証と鍵交換 3. Serverが証明書を送付し ClientはCAで証明書を検証して認証 Clientがプリマスターシークレットを生成証明書内の公開鍵で暗号化してサーバへ送信 ClientはMAC鍵共通鍵初期ベクトルを生成して準備完了を通知 Serverはプリマスターシークレットを復号化し Clientと同様に共通鍵を生成暗号化通信の開始 9 ClientからServerに利用可能なCipher Suiteを通知 ServerがClientのCipher Suiteから暗号化アルゴリズムを決定してクライアントに通知共通鍵を使って通信データを暗号化データ送信時にMAC(ハッシュ関数を利用して生成)を付与受信側はMAC値を検証し改竄が行われていない事を確認しデータを復号化 SSL Handshake

10 SSL/TLSの仕組みとCipher Suite Cipher Suite SSL/TLS通信の中で利用するアルゴリズムのセット鍵交換認証,ブロック暗号,改竄検知で利用するアルゴリズムの組み合わせ利用すべきでないCipher Suiteについてはサーバ側でオフにするクライアントとサーバ間のネゴシエーションで決定されるサーバ側で強制できる場合は強制を推奨 Ciper Suiteの例) TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 プロトコル 10 鍵交換認証データ暗号化 MAC

11 Perfect Forward Secrecy SSL/TLSでは送信データの暗号化に共通鍵を利用鍵が危殆化すると通信を解読される可能性鍵が危殆化した場合にも長期間にわたってデータを解読されないよう暗号鍵(共通鍵)の元になる情報を使い捨てる方式要件を満たす鍵交換アルゴリズム Perfect Forward Secrecy(PFS) DHE(Ephemeral Diffie-Hellman) ECDHE(楕円曲線 Ephemeral Diffie-Hellman) PFSを満たす組み合わせ通信相手の認証のためデジタル署名と組み合わせて利用される DHE-RSA ECDHE-RSA ECDHE-ECDSA Perfect Forward Secrecyに対応したAWSサービス全てのAWSサービスお客様がカスタマイズして利用できるサービス 11 Amazon Elastic Load Balancing Amazon CloudFront

12 保管データの暗号化レイヤー毎に暗号化ソリューションが存在上位層からみて透過的なものが多い Server アプリケーションA アプリケーションB ファイルレベルカラム/レコードレベルデータベース表レベル/DBレベル/TDE より下位層に対する脅威への対策意図した範囲での防御ができているかを確認して方式を選択する必要がある VFS Layer アルゴリズム鍵管理はそれぞれの実装に依存 AESが使われることが多いデータのライフサイクルが長いため in transitに比べて鍵管理がより重要に Filesystem Block/DM dm-crypt Storage Device Layer 12 ecryptfs 暗号化ボリューム

保管データの暗号化と防御範囲レイヤー種類対応できる脅威透過的にアクセスできる範囲アプリケーション出力データの暗号化鍵に対する権限を持たない対象からのデータの保護 - DB カラム暗号化該当カラムにアクセスする権限を持たない対象からの保護 - テーブルレベル暗号化該当テーブルに権限を持たない対象からの保護該当テーブルにアクセス権限があるユーザー DBレベル暗号化(TDE等)

13 保管データの暗号化と防御範囲レイヤー種類対応できる脅威透過的にアクセスできる範囲アプリケーション出力データの暗号化鍵に対する権限を持たない対象からのデータの保護 - DB カラム暗号化該当カラムにアクセスする権限を持たない対象からの保護 - テーブルレベル暗号化該当テーブルに権限を持たない対象からの保護該当テーブルにアクセス権限があるユーザー DBレベル暗号化(TDE等) 物理ディスクの持ち出しに対する防御 DBにアクセス権限があるユーザーディスク暗号化物理ディスクの持ち出しに対する防御 DBにアクセス権限があるユーザーファイルシステム暗号化ファイルシステムにアクセスできない対象からの防御該当OSにログインできるユーザーボリューム暗号化物理ディスクの持ち出しに対する防御該当OSにログインできるユーザーストレージ装置による暗号化物理ディスクの持ち出しに対する防御ストレージにアクセスできるユーザーストレージサービスでの暗号化オプション該当サービス内での物理ディスク持ち出しに対する防御ストレージサービスにアクセスできるユーザー OS ストレージレベル 13 権限の管理が重要

14 暗号化とシステムパフォーマンス暗号化処理は一般的に重い処理セキュリティとパフォーマンスのトレードオフ鍵長やアルゴリズムはパフォーマンスに直接影響並列処理が可能な暗号化形式やプロセッサーによる効率化等も考慮してアルゴリズムを選択するすべての現行世代の EC2 インスタンスでAES-NIが利用可能どこのリソースを利用しているのか理解しておく暗号化処理のオフロード守るべき対象を考えて敢えて暗号化しない選択 14

15 暗号化を利用したデータ保護のポイント暗号化によって何を守るのかを明確に把握しておくどことどこの通信を暗号化するのか誰が暗号化されたデータの中身を読み出せるのか要件に応じて暗号化アルゴリズムを正しく選択し定期的に見直す暗号化アルゴリズムは数学的な難しさを解読しにくさの根拠としている今安全なアルゴリズムもいつ安全でなくなるかわからない外部機関等の情報も参照 (例)CRYPTEC推奨暗号リスト電子政府推奨暗号リスト鍵の管理を適切に行う強固なアルゴリズムを利用していても鍵が危殆化すれば意味が無い 15

16 アジェンダ暗号化の基礎知識通信の暗号化とAWSサービス保管データの暗号化とAWSサービスまとめ 16

17 AWSのサービスにおける認証とTLSによるデータ保護データのアップロード/ダウンロードや構成の変更を保護するため AWSの全てのAPIにおいてTLSを利用可能以下のサービスではお客様独自の証明書を利用可能 17 Amazon Elastic Load Balancing Amazon CloudFront Amazon API Gateway AWS IoT

18 AWS Certificate Manager (ACM) AWSサービスで利用するためのSSL/TLS証明書を提供: Amazon Elastic Load Balancing Amazon CloudFront AWSが面倒な作業をハンドルキーペアとCSRの生成証明書の更新と配置によるDomain validation (DV) AWS Managementコンソール CLI APIから利用可能東京リージョンでも利用可能に 18

ACMが提供する証明書対応するドメイン名単一のドメイン名: www.example.

19 ACMが提供する証明書対応するドメイン名単一のドメイン名: ワイルドカード指定: *.example.com ワイルドカードとドメイン名の組み合わせ同じ証明書で複数のドメイン名に対応 (最大10) OV証明書やEV証明書の発行秘密鍵のダウンロードは出来ません ACMが提供する証明書はマネージド秘密鍵はサービス側で生成保護管理 AWSサービス(ELB CloudFront)で利用可能 ACMが提供する証明書は EC2インスタンスやオンプレミス環境では利用不可署名アルゴリズム RSA 2048 and SHA

20 ELBのSSLサポート TLS 1.2, 1.1, 1.0,SSLv3.0をサポート Perfect Forward Secrecy (PFS) のサポート Server Order Preference 定義済みのセキュリティポリシー新しく作ったELBではELBSecurity-Policy がデフォルト ELBに自身のサーバ証明書をアップロード SSL証明書のライセンスに関してはサーバ単位/ドメイン単位で発行などそれぞれ異なるので発行元に問い合わせの事複数ホスト名には別名ワイルドカードか複数ELBで対応 SNI未対応 ACMの証明書を利用する場合はアルゴリズムに注意 RSAを含むCipher Suiteを選択する必要があるサーバ証明書参照 20

21 CloudFrontのSSLサポート CloudFrontのSSL対応 HTTPS対応 (強制リダイレクト / HTTPSのみ許可 TLS 1.2, 1.1,1.0,SSL v3 事前定義済みポリシーでCipher Suiteが規定されている SSL証明書 (デフォルト / 独自証明書 / SNI / Certification Manager) ACMの証明書を利用する場合はRSAを含むCipher Suiteを選択する必要があるオリジン暗号化通信暗号化通信方式の指定が可能 HTTP/HTTPS カスタムオリジン標準でHTTPS クライアント CloudFront Edge 21 S3

22 CloudFrontでサポートするSSL証明書デフォルト証明書 cloudfront.netドメインのssl証明書は標準で利用可能独自SSL証明書 X.509 PEM形式かつ認証チェーンが含まれること鍵長は最大2048bit CloudFrontにて別途SSL証明書の利用課金がされる様々な証明書タイプをサポート Domain Validated, Extend Validated, Wildcard, Subject Alternative Name証明書など AWS Certification Managerで発行された証明書 SNI(Server Name Indication)独自SSL証明書 CloudFrontの独自SSL証明書費用を負担せず独自ドメインでのSSL通信が可能 API Gatewayもこの方法で独自ドメインをサポート一部古いブラウザーはSNI拡張をサポートしていないため注意が必要 Windows XPのIE, Android 2.2デフォルト, バージョン1.7以前のJavaブラウザなど 22

23 アプリケーションでのTLS利用 signal to noise 開発者がアプリケーションに通信セキュリティを実装するためのAWS提供ライブラリめったに利用されないTLSオプションの実装を避けることでコードを軽量化; ~6,000 lines of code 23

24 アジェンダ暗号化の基礎知識通信の暗号化とAWSサービス保管データの暗号化とAWSサービスまとめ 24

25 保管データ暗号化の基礎 Hardware/ software Symmetric data key Plaintext data? Encrypted data Encrypted data in storage? 25 Key hierarchy Symmetric data key Master key Encrypted data key

26 暗号化の鍵管理において考慮すべき問題鍵はどこに保管されるのか自身が所有するハードウェア? AWSのハードウェア鍵はどこで使われるのか自分で管理するクライアントソフトウェア上 AWSがコントロールを提供するサーバソフトウェア上誰が鍵を使えるのか許可をもつユーザーやアプリケーション? ユーザーが許可を与えたAWS上のアプリケーション鍵関連の確かなセキュリティを担保する仕組みがあるのか 26

Key Management Infrastructure(KMI) 意図されていないアクセスによって鍵が危殆化することは非常にクリティカル KMI(Key Management infrastructure)を利用して暗号鍵のセキュリティを管理する方式が一般的

27 Key Management Infrastructure(KMI) 意図されていないアクセスによって鍵が危殆化することは非常にクリティカル KMI(Key Management infrastructure)を利用して暗号鍵のセキュリティを管理する方式が一般的 KMIは２つのサブコンポーネントから成り立つ平文の鍵を保護するためのストレージレイヤー鍵の利用を認可する管理レイヤーハードウェアセキュリティモジュール(HSM)を利用するのが一般的 27 鍵保管のための占有ストレージ耐タンパー性認可の無いユーザーからの保護

28 AWSにおける暗号化モデル 28 暗号化方式暗号化方式暗号化方式鍵の保管鍵の保管鍵の保管鍵の管理鍵の管理鍵の管理 KMI KMI KMI モデルA モデルB モデルC お客様が管理 AWSが管理

29 AWSサービスでの暗号化の選択肢 Client-side encryption サービスに送信前にデータを暗号化独自の鍵もしくはAWSアカウント内の鍵を利用可能利用できるクライアント: Amazon S3, Amazon EMR File System (EMRFS), Amazon DynamoDB Server-side encryption サービスでデータが受信された後にAWSがデータを暗号化利用可能なサービス: 29 S3, Amazon Elastic Block Store (Amazon EBS), Amazon RDS, Amazon Redshift, Amazon WorkMail, Amazon WorkSpaces, AWS CloudTrail, Amazon Simple Service (Amazon SES), Amazon Elastic Transcoder, AWS Import/Export Snowball, Amazon Kinesis Firehose, Amazon EMR

30 Client-side encryption in AWS AWS SDKのencryption clinetを利用したデータ暗号化(s3/emr/dynamodb) 自社KMI EC2上のアプリケーション EC2上のKMI オンプレミスデータセンター内のデータ暗号化クライアントアプリケーション AWSサービス内に暗号化されたデータを保存 30

31 Server-side encryption in AWS S3 server-side encryption with customer-provided encryption keys (SSE-C) Customerprovided key Customerprovided key HTTPS Customer Data Amazon S3 Web Server Plaintext Data 鍵はS3 Webサーバ上で利用され削除される S3で復号をおこなうためダウンロード時に同じ鍵を渡す必要がある 31 Encrypted Data Amazon S3 Storage Fleet

32 暗号化モデルとAWSサービスで利用可能なソリューション例モデルA モデルC ユーザー管理の鍵によるクライアントサイドソリューションユーザーの鍵管理KMIを提供するクライアントサイドパートナーソリューション AWS CloudHSM内の鍵を利用するクライアントサイドソリューション AWSの鍵管理KMIを利用したサーバサイドソリューション Amazon S3 Bouncy Castle, OpenSSL,S3 Encryption client(aws SDK for Java) SafeNet ProtectApp for Java AWS Cloud HSM Clientを利用したEC2 上のカスタムアプリケーション S3 SSE with KMS or Customer Provided Key Amazon EBS ブロックレベル Loop-AES,dmcrypt+LUKS,TrueCrypt ファイルシステムレベル ecryptfs,encfs,bitlock er,efs Trend Micro SecureCloud, SafeNet ProtectV AWS Cloud HSM Clientを利用したEC2 上のカスタムアプリケーション EBS暗号化 Amazon RDS for Oracle Bouncy Castle, Open SSL CipherCloud Database Gateway and Voltage SecureData AWS Cloud HSM Clientを利用したEC2 上のカスタムアプリケーション TDE,NNE with Advanced Security license Amazon Redshift N/A N/A CloudHSMまたはオンプレミス HSMを利用したクラスター暗号化 KMSを利用したクラスター暗号化 AWSサービス 32 モデルB

33 AWS Key Management Service (AWS KMS) 暗号鍵の作成コントロールローテーション削除アプリケーションでの利用を簡単にするためのマネージドサービス AWSのサーバサイド暗号化とのインテグレーション AWS 上のクライアントサイド暗号化とのインテグレーション 33 S3, EBS, RDS, Amazon Aurora, Amazon Redshift, Amazon WorkMail, Amazon WorkSpaces, AWS CloudTrail, and Amazon Elastic Transcoder AWS SDKs, S3 encryption client, EMRFS client, DynamoDB encryption client CloudTrailとのインテグレーションにより規制やコンプライアンス対応のための監査に利用可能な鍵の利用ログを取得可能中国リージョンを除く全てのリージョンで利用可能

34 KMSとインテグレーションされているAWSサービスストレージ: EBS, S3, Snowball データベース: All RDS engines データアナリティクス: Amazon Redshift, EMR, Amazon Kinesis Firehose エンタープライズアプリケーション: WorkMail, WorkSpaces Developer Tools: AWS CodeCommit Management: CloudTrail アプリケーションサービス: Elastic Transcoder, Simple Service AWS IoT 34

35 AWSサービスとKMSのインテグレーション方式 KMS 35 エンベロープ暗号化を利用した2-Tier鍵階層ユニークなデータキーでデータを暗号 KMS マスターキーでデータキーを暗号化メリットデータキーの漏洩リスクを限定化ラージデータを暗号化する場合のパフォーマンスメリット少数のマスターキーを管理することで管理性を向上鍵利用に関する中央集中アクセスと監査 Customer master keys Data key 1 Data key 2 Data key 3 Data key 4 S3 object EBS volume Amazon Redshift cluster Custom application

AWSサービスによるKMSの利用方法暗号化されたデータ Data key Encrypted data key KMS + Your application or AWS service 1. 2. 3. 4. 5. 6.

36 AWSサービスによるKMSの利用方法暗号化されたデータ Data key Encrypted data key KMS + Your application or AWS service AWSアカウント内のマスターキークライアントは AWSアカウント内のKMSマスターキーのIDを渡してkms:GenerateDataKey をCall クライアントのリクエストは呼び出したユーザーの権限と鍵のアクセス権限の両方に基づき認証されるユニークなデータキーが生成され KMSマスターキーで暗号化される平文のデータキーと暗号化されたデータキーがクライアントに返される平文のデータキーはデータの暗号化に利用されその後削除される暗号化されたデータキーはデータとともに保存され復号化の際にKMSに送られる

37 KMSの鍵管理誰にいつどのように利用されるかをコントロールアクセス許可サンプル: 特定のアカウントのあるユーザー(またはロール)のみが暗号化と復号化を利用できるアプリケーションAだけがデータを暗号化できアプリケーションB だけがデータを復号化できる復号はサービスリソースがアクティブな場合かつそのリソースに関する追加のパラメーターが正しい場合のみ可能これらの条件を管理できるのは管理者ユーザーまたはロールのみ AWS Identity and Access Managementとのフルインテグレーション 37

38 KMSでのマスターキーローテーションコンソール (Key Summary Page) AWS CLI enable-key-rotation --key-id <value> KMSにおける鍵のローテーション: 新しいバージョンのマスターキーが作成されるが同じkey IDあるいはaliasにマッピングされる全ての新しい暗号化リクエストに対して新しいバージョンの鍵が利用される以前のバージョンの鍵はその鍵で暗号化したデータの復号のために保持されるローテーション後ユーザーやアプリケーションでの対応は不要同じkey IDもしくはaliasがそのまま利用可能 38

39 AWS CloudTrailによる鍵利用の監査 "EventName":"DecryptResult", このKMS APIが呼び出された "EventTiime":" T18:13:07Z", この時刻に "RequestParameters": "{\"keyid\":\"2b42x e3a-83216b ex }, 39 この鍵を利用して EncryptionContext":"volumeid-12345", このAWSリソースを保護するために "SourceIPAddress":" ", このIPアドレスから "UserIdentity": {\"arn\":\"arn:aws:iam:: :user/User123 } このAWSアカウントのこのユーザーによって

40 KMSを利用する理由平文の鍵は不揮発な記憶装置には保存されない物理的なキーマテリアルにアクセスするためのツールが無い誰が鍵の許可をもつかはユーザーが統制マスターキーを利用するシステムとデータキーを利用するシステム間には複数のコントロールを経た責務の分離がある全てのKMS API CallをCloudTrailでモニターでき証跡がとれる加えてこれらの統制は第三者認証を取得している: Service Organization Control (SOC 1) PCI-DSS 詳細はAWSコンプライアンスパッケージを参照 40

41 KMSの料金 $1/key version/月 $0.03 per 10,000 APIリクエスト (Gov Cloudを除く全てのリージョン) 20,000 req/月の無償利用枠価格は2016年5月現在のもの 41

42 KMS の代替手段 1. AWS CloudHSM 2. AWS パートナーソリューション 3. Do it yourself 42

43 AWS CloudHSM HSMアプライアンスに対する占有アクセスを提供 HSMはAWSのデータセンター内に配置されるアプライアンスはAWSが管理利用者だけが鍵にアクセスでき鍵に関するオペレーションを実行できる HSMは利用者のVPC内に配置され他のネットワークからは隔離される HSMはSafeNet Luna SA 43 AWS 管理者アプライアンスを管理 CloudHSM 利用者鍵と暗号化オペレーションを管理 Amazon VPC

44 AWS CloudHSM 以下のリージョンで利用可能 US East (N. Virginia), US West (Oregon), AWS GovCloud (US), EU (Ireland), EU (Frankfurt), Asia Pacific (Sydney), Asia Pacific (Singapore),Asia Pacific (Tokyo) コンプライアンス AWSのPCI DSSおよびSOC-1 コンプライアンスパッケージに含まれる FIPS level 2 (Gemalto/SafeNetによって維持されている) 典型的なユースケース Amazon RedshiftやRDS for Oracleで利用サードパーティソフトウェアから利用 (Oracle, Microsot SQL Server, Apache, SafeNet) カスタムアプリケーションの構築 44

in EC2 Your applications in EC2 SafeNet ProtectV client CloudHSM Your

45 CloudHSM と SafeNet Softwareを利用したEBS ボリュームの暗号化 SafeNet ProtectV with Virtual KeySecure CloudHSM はマスターキーを保管 SafeNet ProtectV manager and Virtual KeySecure in EC2 Your applications in EC2 SafeNet ProtectV client CloudHSM Your encrypted data in EBS 45 ProtectV client EC2インスタンスから EBSボリュームへのIO を暗号化 prebootの認証も含む

46 CloudHSMの価格 $5,000のone-time charge(全てのリージョンで共通の価格) セットアップ後の時間課金(東京リージョンでは2.82$/h) 時間課金レートはリージョンによって異なる初年度約$29,700; 次年度以降約$24,700 (東京リージョン) リクエスト課金は無し; デバイスのキャパシティが上限アルゴリズムと鍵長によって変化 46

47 CloudHSMと KMSの比較 CloudHSM 政府標準(FIPS 140-2やCommon Criteria)に適合するための1つもしくはそれ以上のHSMデバイスに対する占有アクセス鍵に対する全てのアクセスとそれを利用するアプリケーションを自分で統制サポートされるアプリケーション: 47 KMS カスタムソフトウェアサードパーティソフトウェア AWSサービス: Amazon Redshift, RDS for Oracle 高可用性高耐久性鍵ストレージ監査性を備えたマネージドサービスユーザー定義のポリシーに基づき AWS サービス上のデータとユーザーアプリケーションのデータを暗号化サポートされるアプリケーション: AWS SDK/CLIを利用したカスタムソフトウェア AWSサービス S3, EBS, RDS, Amazon Aurora, Amazon Redshift, WorkMail, WorkSpaces, CloudTrail, Elastic Transcoder等

48 AWSマーケットプレイスのパートナーソリュション 48 暗号化と鍵管理ソリューションの検索テスト購入が可能時間課金月額課金年間課金ソフトウェア料金はAWSから請求 Bring Your Own License

49 AWSでのDIY鍵管理クライアントサイドでデータを暗号化し暗号文をAWSのストレージサービスに保管 Your key management infrastructure Your application in EC2 Your key management infrastructure in EC2 Your applications in your data center Your encryption client application Your encrypted data in AWS services 49

50 鍵管理オプションの比較 KMS CloudHSM AWS Marketplace Partner Solutions DIY 鍵の生成と保管場所 AWS AWS 内のユーザーがコントロールする HSM 鍵の利用場所鍵のコントロール AWS サービスまたはユーザーアプリケーションユーザー定義ポリシーを AWS が適用 AWS またはユーザーアプリケーションカスタマーコード + SafeNet API オンプレミスまたは AWS 環境オンプレミスまたは EC2 インスタンスベンダー固有の管理オンプレミスまたは AWS 環境オンプレミスまたは EC2 インスタンス設定ファイルベンダー固有の管理パフォーマンス / スケールの管理 AWS サービスとのインテグレーション AWS ユーザーユーザーユーザー Yes 限定的限定的限定的価格モデル鍵とその利用時間課金時間 / 年額課金多様 50

AWS Encryption SDK AWSが提供するクライアントサイド暗号化のための暗号化ライブラリマスターキープロバイダーを定義して利用するためのAPIとトップレベルの鍵もしくはデータを暗号化するための複数の鍵へのインターフェースを提供データ暗号化キー(DEK)の追跡と保護鍵アクセスのための低レベルの暗号化処理をライブラリ内で実施トップレベルのマスターキーを指定すれば

51 AWS Encryption SDK AWSが提供するクライアントサイド暗号化のための暗号化ライブラリマスターキープロバイダーを定義して利用するためのAPIとトップレベルの鍵もしくはデータを暗号化するための複数の鍵へのインターフェースを提供データ暗号化キー(DEK)の追跡と保護鍵アクセスのための低レベルの暗号化処理をライブラリ内で実施トップレベルのマスターキーを指定すれば SDKが残りの作業を実施 SDKが低レベルの暗号化処理とトップレベルのマスターキーを結びつける鍵プロバイダーを抽象化複数の鍵を単一のマスターキープロバイダーにまとめて利用複数の鍵プロバイダーを利用した暗号化(AWS KMSとCloudHSMの同時利用など) Javaライブラリとして提供 51

52 AWS Encryption SDKによる暗号化鍵プロバイダを利用したEnvelope Encryptionコードを大幅に簡素化平文データ暗号化処理を呼び出す AWS Encryption SDK AwsCrypto.encryptData() MasterKeyProvider.getMasterKey() MasterKey.generateDataKey() encrypted data key 暗号化されたデータ暗号鍵 52 encrypted data アプリケーションコード plaintext data key 鍵関連の処理はSDK内で実施

53 アジェンダ暗号化の基礎知識通信の暗号化とAWSサービス保管データの暗号化とAWSサービスまとめ 53

54 暗号化を利用したデータ保護のポイント暗号化によって何を守るのかを明確に把握しておくその他のセキュリティ統制との組み合わせが必須 In transit at restを適切に組み合わせて利用する要件に応じてアルゴリズムを正しく選択し定期的に見直す鍵の管理を適切に行うマネージドサービスの活用を検討する 54

55 Ubiquitous encryption 保管データの暗号化アクセスコントロール S3 KMSで鍵管理通信の暗号化 EBS IAM RDS Amazon Redshift AWS CloudTrail 監査 Amazon Glacier 55

56 参考資料 AWS Key Management Service AWS Cloud HSM Protecting Your Data in AWS Securing Data at Rest with Encryption 56

オンラインセミナー資料の配置場所 AWS クラウドサービス活用資料集 http://aws.amazon.

57 オンラインセミナー資料の配置場所 AWS クラウドサービス活用資料集 AWS Solutions Architect ブログ最新の情報セミナー中のQ&A等が掲載されています 57

58 公式Twitter/Facebook AWSの最新情報をお届けしますもしくは最新技術情報イベント情報お役立ち情報お得なキャンペーン情報などを日々更新しています 58

59 AWSの導入お問い合わせのご相談 AWSクラウド導入に関するご質問お見積り資料請求をご希望のお客様は以下のリンクよりお気軽にご相談ください 59 AWS 問い合わせで検索してください

60 60 ご参加ありがとうございました

61 61

Presentation Title Here

Presentation Title Here AWS Black Belt Online Seminar Amazon Pinpoint 2017.04.26 アマゾンウェブサービスジャパン株式会社ソリューションアーキテクト清水崇之 0 自己紹介清水崇之ソリューションアーキテクト ( 西日本担当 ) 大阪から沖縄まで西日本のお客様にもプライム対応で参上します AWS 芸人 ( 詳しくは https://www.slideshare.net/shimy_net/)

AWS Black Belt Online Seminar AWS上の暗号化ソリューション アマゾンウェブサービスジャパン株式会社 ソリューションアーキテクト 布目 拓也

AWS Black Belt Online Seminar AWS上の暗号化ソリューションアマゾンウェブサービスジャパン株式会社ソリューションアーキテクト布目拓也