PowerPoint Presentation

Transcription

1 アプリケーションのセキュリティ向上のための Edge Service の戦略とベスト プラクティス Prasad Kalyanaraman, VP Edge Services June , Amazon Web Services, Inc. or its Affiliates. All rights reserved.

2 このセッションの目的 なぜセキュリティが重要か セキュリティの 3 つの重要な側面 どのように AWS の Edge のインフラを活用できるか アプリケーションのセキュリティ向上のため何ができるか

3 概要 : なぜセキュリティが重要か 顧客の信頼 企業コンプライアンス データ プライバシー 保護

4 プレゼンテーションの目的は不安を煽ることではありません むしろご安心下さい : 1) AWS 側で実施されるセキュリティ対策がたくさんあります 2) 簡単なベスト プラクティスを守るだけでも結果が得られます

5 一例として 2015 年の DDoS 攻撃の下位 90% は 30Gbps 以下でアタックの平均サイズは 15.8Gbps でした DDoS 攻撃の大半は シンプルなテクニックを幾つか守ることで簡単に緩和できます

6 DDoS 攻撃の測定データ インフラへの攻撃 (Layer 3 / 4) 攻撃の平均サイズは 900Mbps (50% は 500Mbps 以下 ) 攻撃の78% は インフラが対象 ( 実行が簡単なため ) この種類の攻撃はAWSが緩和します アプリケーションへの攻撃 (Layer 7) 攻撃の 22% は ポート 80 と 443 が対象 ( 攻撃が複雑 ) マルチベクター 同時に複数種類の攻撃 増幅型 (Amp) (NTP, SSDP, DNS, Chargen, SNMP) Hit and Run DDoS (91% が1 時間以内 ) 煙幕型 (16-18%)

7 セキュリティの 3 つの側面 クラウドのセキュリティは責任共有モデルがベース SOC 1,2,3 ISO 27001/2 Certification PCI DSS 2.0 Level 1-5 HIPAA/SOX Compliance FedRAMP, FISMA & DIACAP ITAR AWS が提供するインフラをどのように守っているか インフラストラクチャセキュリティ アプリケーションセキュリティ Encrypt data in transit Encrypt data at rest Protect your AWS Credentials Rotate your keys Secure your application, OS, Stack and AMIs どのようにアプリケーションを守るか サービスセキュリティ AWS のお客様が利用可能なセキュリティのオプションや機能 Enforce IAM policies Use MFA, VPC, Leverage S3 bucket policies EC2 Security groups EFS in EC2, ACM, etc.

8 インフラストラクチャセキュリティ アプリケーションセキュリティ インフラストラクチャのセキュリティ サービスセキュリティ AWS は どのようにインフラを保護しているか

9 インフラストラクチャのセキュリティ AWS ユーザの責任は? 施設 設備物理セキュリティ + キャッシュインフラネットワークインフラ Layer 3&4 DDoS 対策 = セキュアなアプリケーション

10 インフラストラクチャのセキュリティ メンテナンス用の踏み台 (bastion) サーバ 二要素認証 暗号化 x 隔離をより有効にするための分離 テストや指標の監視

11 インフラストラクチャのセキュリティ ISO 9001/27001/27017/27018

12 AWS インフラの DDoS 緩和 DDoS 攻撃 AWS DDoS 緩和 ユーザ AWS DDoS 緩和 AWS global infrastructure

13 DDoS 緩和のテクニック 基本的な確認 トラフィックの優先順位付け Distribution のシグネチャー 高度なトラフィックエンジニアリング IP チェックサム 有効な TCP フラグ UDP ペイロードの長さ DNS リクエストの認証 ソース IP ソース ASN トラフィック量 認証済みの送信元 個別の Distribution を区別する 自動的に攻撃のトラフィックを検知 攻撃と通常トラフィックのルーティングを別ける

14 AWS API Gateway CloudFront は 自社製の DDoS 対策のインフラで API Gateway を守り TLS の終端をプロキシー側で行うことによりレスポンスタイムを短縮 グローバル 55 箇所の Edge Location 健全なリクエスト 健全なリクエスト 通常のリクエスト ユーザに近い場所で TLS の終端 Amazon API Gateway Amazon EC2 DDoS 攻撃 悪意のあるリクエスト

15 インフラストラクチャセキュリティ アプリケーションセキュリティ サービスのセキュリティ サービスセキュリティ エッジサービスで利用可能なセキュリティのオプションと機能 (CloudFront & Route53)

16 サービスのセキュリティ AWS ユーザの責任は? 強度の高い暗号化 PFS OCSP Stapling セッションチケット DDoS 対策 SSL/TLS オプション プライベートコンテンツ + = 信頼された署名者 Web Application Firewall AWS CloudTrail AWS Certificate Manager セキュアなアプリケーション

17 CloudFront は 転送中のデータ を保護できる

18 CloudFront による転送データの保護 転送中のデータを保護するためにコンテンツは HTTPS で配信 HTTPS でユーザは CloudFront を認証する Origin Edge Location HTTPS は CloudFront はオリジンを認証する User Request A

19 CloudFront は 高度な SSL の機能を自動的に有効化

20 高度な SSL/TLS 機能 セキュリティの向上 High security ciphers Perfect Forward Secrecy SSL パフォーマンス Online Certificate Status Protocol (OSCP Stapling) Session Tickets

21 ですが やるべき事がいくつかあります

22 HTTPS を使ったコンテンツ配信 CloudFront で簡単に実現 一つの distribution 設定で HTTP/HTTPS の両方のコンテンツを配信 以下の選択肢もあります Strict HTTPS HTTP を HTTPS へリダイレクト

23 CloudFront TLS Options デフォルトの CloudFront SSL CloudFront の共有証明書 どのようなケース? 例 : dxxx.cloudfront.net SNI 独自 SSL 自前で SSL 証明書を用意 または AWS Certificate Manager で発行 TLS の SNI extension を利用 どのようなケース? 例 : SNI extension に非対応の古いブラウザー /OS が一部あります 専用 IP 独自 SSL 自前で SSL 証明書を用意 または AWS Certificate Manager で発行 CloudFront で SSL コンテンツの配信用に専用の IP を割り当てます どのようなケース? 例 : すべてのブラウザー /OS が対応

24 AWS Certificate Manager との連携 ACM 導入前 ( 複雑で時間がかかる ) ACM 導入後 ( 簡潔で素早く 自動化 ) 3-5 日 第三者の認証局 (CA) AWS CLI を使って IAM にアップロード AWS Certificate Manager 数分ですべてのプロセスが完了 管理コンソール上で数クリックで実行 AWS CLI を使って CloudFront に接続

25 MapBox

26 MapBox: SNI Custom SSLを利用 専用ドメインでの配信を希望 xxxxx.mapbox.com クライアントはすべて TLSに対応 経済的な選択肢を検討

27 HTTPS の利用パターン ハーフブリッジ型 TLS 終端 フルブリッジ型 TLS 終端

28 フルブリッジ型 TLS 終端 オリジンまでのコネクションをすべて HTTPS 化 CloudFront 設定の [Match Viewer] を選択 Amazon CloudFront HTTPS

29 MapBox はオリジンを複数利用 複数のAPIのオリジンを使用 1つ目はハーフブリッジ型 : Edge オリジン間はHTTP 2つ目はフルブリッジ型 : Edge オリジン間もHTTPS

30 まだ終わっていません 次は アプリケーションの保護が必要です

31 アクセス制御 もし以下のことをしたい場合 一部の限られたお客様にだけコンテンツを配信 決められた時間までにだけコンテンツを公開したい 特定のIPのみコンテンツへのアクセスを許可

32 アクセス制御 : プライベートコンテンツ 署名付き URL URL のクエリストリングに署名を追加 URL が署名の箇所で変わる 署名付き Cookies Cookie に署名を追加 URL は変わらない どのよな時に使うべきか? 個別のファイルへのアクセスを制限する Cookieに対応しないクライアントがある RTMP ディストリビューションを使いたい どのような時に使うべきか? 複数のファイルへのアクセスを同時に制限したい URL を変更したくない

33 アクセス制御 : プライベートコンテンツ アプリケーションはまだ開発中ですか? CloudFront へのアクセスを Internal の IP アドレス のみに制限してください

34 まだ終わっていません リクエストのパラメータをもとにアクセスを制限したい場合はどうすべきでしょうか?

35 不必要なリクエストへの応答はお金がかかります Host: User-Agent: badbot Accept: image/png,image/*;q=0.8,*/*;q=0.5 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip, deflate Referer: Connection: keep-alive スクレイパー ボット AWS WAF Host: User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64).. Accept: image/png,image/*;q=0.8,*/*;q=0.5 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip, deflate Referer: Connection: keep-alive

36 アクセス制御 : Web Application Firewall Host: User-Agent: badbot Accept: image/png,image/*;q=0.8,*/*;q=0.5 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip, deflate Referer: Connection: keep-alive スクレイパー ボット AWS WAF Host: User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64).. Accept: image/png,image/*;q=0.8,*/*;q=0.5 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip, deflate Referer: Connection: keep-alive

37 MapBox WAF を Bot をブロックしています 一般ユーザ ログ サーバ 分析 悪意のあるユーザ ルール アップデータ

38 防御に自動化が必要な攻撃 Attackers IP reputation lists HTTP floods Scans & probes Bots & scrapers

39 AWS CloudTrail CloudFront API コールの履歴を記録 : セキュリティ分析 リソースの変更管理 コンプライアンスの監査

40 インフラストラクチャセキュリティ アプリケーションセキュリティ アプリケーションのセキュリティ サービスセキュリティ どのようにアプリケーションとオリジンを守るか

41 Application Security AWS ユーザの責任は? IAM ポリシー Origin Protection + = OAI 鍵のロテーション 証明書のロテーション セキュアなコンテンツ配信

42 ハッカーは CloudFront を迂回して直接オリジンにアクセスできます

43 アクセス制御 : オリジンの Access 制限 Amazon S3 Origin Access Identify (OAI) Amazon S3 バケットへの直接のアクセスを防ぐ すべてのお客様にとってパフォーマンス面での利点がある カスタム Origin IP アドレスのブロック Pre-shared Secret Header CloudFront だけをホワイトリストに追加 オリジンをオーバーロードから保護 すべてのお客様にとってパフォーマンス面での利点がある

44 オリジンのベスト プラクティス 1. Match Viewer Origin Protocol ポリシー オリジンでは TLS 1.1 か 1.2 のみを許可 オリジンへのコネクションは HTTPS を強制 フルブリッジの HTTPS を必ず利用 2. セキュリティグループや Shared Secret をつかってアクセスを制限 3. SHA256 の証明書を利用

45 オリジンのベスト プラクティス 4. ELB で独自証明書を利用する 5. ELB 事前定義ポリシーを利用 6. HSTS ヘッダーを送る *Strict-Transport-Security: maxage= ; *X-Frame-Options: SAMEORIGIN *X-XSS-Protection: 1; mode=block Options AWS Certificate Manager から証明書を発行できます

46 現在の設定内容を検証する方法

47 セキュリティの設定を検証する方法

48