PacnetでAPACをカバーする アマゾンのクラウドサービス

Similar documents
そこが知りたい!AWSクラウドのセキュリティ

PowerPoint プレゼンテーション

仮想化,クラウドとセキュリティ

AWS のネットワーク設計入門

SIOS Protection Suite for Linux v9.3.2 AWS Direct Connect 接続クイックスタートガイド 2019 年 4 月

PowerPoint Presentation

How to Use the PowerPoint Template

PowerPoint Presentation

Slide 1

アジェンダ AWS Management Consoleの概要 セキュリティベストプラクティス Management Consoleの管理方法 その他のAWS 管理ポータル まとめ

FUJITSU Cloud Service K5 認証サービス サービス仕様書

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

AWSマイスターシリーズ ~CloudFront & Route53~

D. Amazon EC2 のインスタンスストアボリュームへ 1 時間ごとに DB のバックアップ取得を行うと共に Amazon S3 に 5 分ごとのトランザクションログを保管する 正解 = C 会社のマーケティング担当ディレクターから " 何気ない親切 " と思われる善行を目にしたら 80 文字

製品概要

PowerPoint Presentation

10年オンプレで運用したmixiをAWSに移行した10の理由

PowerPoint Presentation

エンタープライズ向けAWSクラウドデザインパターンのご紹介(ネットワーク編)

CA Federation ご紹介資料

AWS におけるマルチアカウント管理の手法とベストプラクティス

IBM 次世代クラウド・プラットフォーム コードネーム “BlueMix”ご紹介

Mobile Access簡易設定ガイド

InterSecVM/MWc V1.0 for Linux (Amazon EC2 用 ) セットアップ手順説明書 2015 年 9 月第 1 版

Microsoft Word - AWSBlueprint final.docx

PowerPoint Presentation


PowerPoint プレゼンテーション

PowerPoint Presentation

PowerPoint Presentation

オープンソース・ソリューション・テクノロジ株式会社 会社紹介

Amazon Web Services 向け先進のセキュリティ! Amazon パブリック クラウド用仮想アプライアンス Public Cloud チェック ポイントの Software Blade が Amazon Public Cloud 上で展開可能となりました 2014 Check Poin

ムの共有アドレス帳 インスタント メッセージングの宛先に活用することも考えられる 統合アカウント管理 認証 認可 ( アクセス制御 ) の機能 サービス機能 サービス定義統合アカウント管理利用者の認証情報 ( ユーザ ID パスワード) と属性情報 ( グループ 所属部門等 ) を一元的に管理する機

PowerPoint プレゼンテーション

_EMS概要_クラウドを使う上で考慮すべきこと(セキュリティ視点で60分語るv4)_E5まで

R76/Gaia ブリッジ構成設定ガイド

问题集 ITEXAMPASS 1 年で無料進級することに提供する

Microsoft PowerPoint - 3_PI System最新セキュリティについて

PowerPoint プレゼンテーション

よくある問題を解決する~ 5 分でそのままつかえるソリューション by AWS ソリューションズビルダチーム

4. 本オプションで提供する機能 基本機能 Microsoft Office 365 マイクロソフト社 Microsoft Office 365 の機能をそのまま利用できます アクティブディレクトリ連携サービス (Active Directory Federation Service: 以下 ADF

SAMBA Remote(Mac) 編 PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP

(Microsoft PowerPoint - \221\346\216O\225\224.ppt)

PowerPoint プレゼンテーション

Hundreds of Thousands of Customers in 190 Countries

Active Directory フェデレーションサービスとの認証連携

Leveraging Cloud Computing to launch Python apps

構築例 お客様構築 IoT デバイス DynamoDB IoT デバイスで計測した値を出力させ データを API で DynamoDB に送信させるために IAM Access Key を IAM で取得します IoT.kyoto は DynamoDB から IoT デバイスで計測したデータを取得し

Microsoft PowerPoint - SSO.pptx[読み取り専用]

2

R80.10_FireWall_Config_Guide_Rev1

2. 機能 ( 標準サポートプロトコル ) SECURITY for Biz 対応スマートフォンでは標準で対応している VPN プロトコルがあります 本章では NTT ドコモで動作確認を実施している PPTP L2TP/IPSec IPSec Xauth について記載します PPTP(Point-t

AWS によるマイクロソフトアーキテクチャの最適化

2011年11月10日 クラウドサービスのためのSINET 学認説明会 九州地区説明会 九州大学キャンパス クラウドシステムの導入 伊東栄典 情報基盤研究開発センター 1

FUJITSU Cloud Service for OSS 「ログ監査サービス」 ご紹介資料

Presentation Title Here

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

Amazon Web Servicesによる 仮想デスクトップサービス ~デスクトップも、クラウドで~

_AWS-Blackbelt-Organizations

Microsoft PowerPoint - ã…Šã…¬ã…fiㅥㅼ盋_MVISONCloud製åfi†ç´¹ä»‰.pptx

内容についての注意点 本資料料では 2016 年年 9 月 21 日時点のサービス内容および価格についてご説明しています 最新の情報は AWS 公式ウェブサイト ( にてご確認ください 資料料作成には 十分注意しておりますが 資料料内の価格と AWS 公式

Windows Server 2016 Active Directory環境へのドメイン移行の考え方

クラウドネイティブにセキュリティを 活用する!API を連携して実装する方法

LINE WORKS 管理者トレーニング 4. セキュリティ管理 Ver 年 6 月版

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

ログインおよび設定

InfoPrint SP 8200使用説明書(6. セキュリティ強化機能を設定する)

Windows Server 2016 ライセンス体系に関するデータシート 製品の概要 Windows Server 2016 は 準備が整った時点でクラウドコンピューティングへ簡単に移行できる新しいテクノロジを導入すると同時に 現在のワークロードをサポートするクラウドレディのオペレーティングシステ

設定画面から ネットワーク設定 をタップします 管理者パスワード をタップします 管理者パスワードを入力して管理者としてログインします 管理者パスワードを入力して管理者としてログインします IPv4 設定 の IPv4 アドレス の値を確認します ネットワーク設定 をタップします もしくは ホーム画

WebSAM MCOperations Amazon Web Services 向け構築ガイド 2015 年 5 月 日本電気株式会社

Enterprise Cloud + 紹介資料

McAfee Web Gateway Cloud Service インストール ガイド

Microsoft Word - ID32.doc

_mokuji_2nd.indd

SSL サムプリントの検証 SSL サムプリントの検証はリモートユーザーがホストの信頼性を検証するために使用します この検証はリモートとホスト間の接続の安全性を確立して MITM 攻撃から保護するために実行する必要があります デフォルトで リモートユーザーが TCP/IP を使用してホストに接続しよ

2ACL DC NTMobile ID ACL(Access Control List) DC Direction Request DC ID Access Check Request DC ACL Access Check Access Check Access Check Response DC

InfoFrame Relational Store V2.2 構築ガイド for Amazon Web Services RS J

スライド 1

自 己紹介 名前 渡邉源太 所属 アマゾンウェブサービスジャパン株式会社 技術本部レディネスソリューション部 ソリューションアーキテクト (Windows Specialist) 好きな AWS サービス Amazon WorkSpaces

McAfee Web Gateway Cloud Service インストール ガイド

久原本家グループ本社

2. 機能 ( 標準サポートプロトコル ) NTT ドコモの Android スマートフォン / タブレットでは標準で対応している VPN プロトコルがあります 本章では 動作確認を実施している PPTP L2TP/IPSec IPSec Xauth について記載します PPTP(Point-to-

サインズホスティングサービス  簡易ユーザーマニュアル 「管理者編」

学認とOffice 365 の 認証連携

ソニー銀行におけるクラウドの活用状況と今後の展望

Fujitsu Standard Tool

_BlackBelt_ApplicationAuthPatterns

目次 1. はじめに 2 2. インターネットからの不正アクセス防止セキュリティ対策と注意点 3 対策 1 : プライベート IPアドレスの使用対策 2 : 管理者パスワード変更対策 3 : ユーザー認証の設定対策 4 : IPアドレスのフィルタリング 3. シャープデジタル複合機のセキュリティ設定

目次 本書の概要... 3 QNAP で AD 環境を構築するネットワーク環境... 3 Active Directory ドメインコントローラ構築... 5 AD ユーザ作成 AD ユーザ単独作成 AD ユーザ複数作成 共有フォルダアクセス許可追加

PowerPoint Presentation

Powered BLUE メールプラス

プロダクト仕様書 ECS

オープンソース・ソリューション・テクノロジ株式会社 会社紹介

VPN ユーザを管理し、RV016、RV042、RV042G および RV082 VPN ルータの速い VPN を設定して下さい

ROBOTID_LINEWORKS_guide

統合 ID 管理システム SECUREMASTER/EnterpriseIdentityManager(EIM) 連携先システム : AD 1, 業務サーバ 3 監査オプション : あり ユーザ ID 情報を一元管理し 業務システム (CSV インポートが可能なシステム ) や AD などの ID

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

PowerPoint プレゼンテーション

自己紹介 八幡孝 ( やはたたかし ) 株式会社オージス総研 ThemiStruct ソリューション開発リードアーキテクト ThemiStruct 関連サービスの東日本エリア責任者 OpenAM コンソーシアム活動メンバー OpenID ファウンデーション ジャパン Enterprise Ident

Transcription:

これで安心! セキュリティとネットワーク ~ Getting Started with AWS Security and Networking ~ アマゾンウェブサービスジャパン株式会社 セキュリティソリューションアーキテクト 桐山隼人

自己紹介 氏名 : 桐山隼人 略歴 組み込み / セキュリティ系開発エンジニア @IT 企業ソフトウェア開発研究所 技術営業 @ セキュリティ企業 ソリューションアーキテクト @AWS 好きな AWS サービス Amazon Inspector @hkiriyam1 2

本日は AWS 移行を促進した 2 つの安心 についてお話します 利用者の認証とアクセスポリシー管理 AWS Identity and Access Management (IAM) 仮想プライベートクラウド Amazon Virtual Private Cloud (VPC)

AWS Identity and Access Management (IAM) AWS Cloud Roadshow 2016 AWS 操作をよりセキュアに行うための認証 認可の仕組み AWS 利用者の認証と アクセスポリシーを管理 AWS 操作のためのグループ ユーザー ロールの作成が可能 グループ ユーザーごとに 実行出来る操作を規定できる ユーザーごとに認証情報の設定が可能 開発チーム 運用チーム

IAM の主機能 権限設定 : 必要な権限を必要な人 グループだけに 監査 : 証拠保全と追跡支援 認証 : 様々な利用者認証方法

IAM 動作イメージ API やマネジメントコンソールからのアクセスに対して 権限をチェック AWS Cloud Roadshow 2016 全操作可能 S3 はすべて操作可能 S3 参照だけ

IAM ポリシーの記述 AWS Cloud Roadshow 2016 { "Effect": "Allow", "Action": [ " s3:listbuckets ", " s3:get * " ], "Resource": [ "arn:aws:s3:::mybucket" ], "Condition": { "IpAddress": { "aws:sourceip": [ 176.32.92.49/32 ] } } } Effect: 許可の設定なら Allow 拒否の設定なら Deny Action: 対象となる AWS 操作を指定 Resource: 対象となる AWS リソースを指定 Condition: このアクセス制御が有効になる条件の設定 この例の場合 アクセス元 IP が 176.32.92.49 だったら S3 の ListBuckets と Get 系の操作を許可する という意味

AWS CloudTrail による API コール記録 ユーザによる API の発行 各リージョンの AWS リソースの呼び出し CloudTrail が API コールをロギング ユーザの操作を管理

AWS Config による変更履歴 構成変更を管理 確認 AWS Cloud Roadshow 2016

IAM 認証情報レポート (Credential Report) AWS Cloud Roadshow 2016 ユーザーの作成日時最後にパスワードが使われた日時最後にパスワードが変更された日時 MFAを利用しているか Access KeyがActiveか Access Keyのローテートした日時 Access Keyを最後に使用した日時 Access Keyを最後に利用したAWSサービス証明書はActiveか証明書のローテートした日時

IAM による認証 AWS Cloud Roadshow 2016

AWS ルートアカウントは利用せず IAM ユーザを利用 AWS ルートアカウントは IAM で設定するアクセスポリシーが適用されない強力なアカウント 十分に強度の強いパスワードを設定した上 通常は極力利用しないような運用を IAMユーザーはAWS 操作用のユーザーと心得る 強力なパスワードポリシーを強制可能 AWSサービスへのアクセスポリシー管理可能 IAMユーザをまとめるIAMグループ

強力なパスワードポリシーの利用 AWS の管理コンソールにログインするために必要となる IAM ユーザーのパスワードには以下のようなパスワードポリシーを持たせることが可能 パスワードの最小文字数 大文字英字の要求 小文字英字の要求 数字を含めることの要求 特殊文字の要求 ユーザー自身によるパスワード変更の許可 パスワードの有効期限の設定 パスワードの再利用の制限 パスワードが期限切れになった場合管理者によるリセットの有無 AWS ルートアカウントには適用されないことに注意

MFA によるアカウントの保護 ハードウェア ソフトウェア ( 認証情報コピー不可 ) ソフトウェア ( 認証情報コピー可能 ) 製品 Gemalto Google Authenticator Authy N/A SMS( プレビュー ) 形式トークン型 /( カード型 ) スマホアプリスマホアプリモバイルデバイスの SMS コスト有料 (2,000 円程度 ) 無料無料 SMS 料金 / データ料金 保管 交換 ルートアカウント IAM ユーザー 持ち歩くことも可能だし 金庫などに厳重に保管も可能 紛失 / 故障時は 再登録交換時のために予備の準備が必要 常に持ち歩く常に持ち歩く常に持ち歩く 紛失 / 機種変更時は 再登録 機種交換時に認証情報を引き継げる 同じ電話番号を持つ新しいモバイルフォンを取得する場合支障なし サポートサポートサポートサポートしていない サポートサポートサポートサポート

認証情報の定期的なローテーション IAM ユーザーのパスワードや Access Key/Secret Access Key は定期的にローテーションすることを推奨 認証情報の利用状況は IAM の Credential Report 機能で確認可能 ユーザーの作成日時 最後にパスワードが使われた日時 最後にパスワードが変更された日時 MFA を利用しているか Access Key が Active か Access Key のローテートした日時 Access Key を最後に使用した日時 Access Key を最後に利用した AWS サービス 証明書は Active か 証明書のローテートした日時

https://blogs.aws.amazon.com/security/post/tx1gzchqc7lr3ut/new-in-iam-quickly-identify- When-an-Access-Key-Was-Last-Used IAM 認証情報レポート (Credential Report) AWS Cloud Roadshow 2016 パスワードやアクセスキーのローテーションなど 認証情報ライフサイクルの要件の結果を監査可能 認証情報レポートは カンマ区切り値 (CSV) ファイルとしてダウンロード可能 Credential Report レポートは 4 時間毎に一回生成可能

IAM ユーザーのパスワードローテーション IAM のパスワードポリシーでユーザーがパスワードを変更できるように設定 パスワードに有効期限を設けることで利用者が自分で定期的にパスワードをローテーションできるようにする

OpenID Connect または SAML 2.0 のサポート Enterprise (Identity Provider) AWS (Service Provider) 2 Active Directory IdP に認証情報のリクエスト Identity provider 1 3 認証応答の受け取り AssumeRoleWithSAML の呼び出し 4 5 一時的な認証情報の受け渡し S3 Bucket with Objects Amazon DynamoDB AWS Resources Amazon EC2 Client Application APP 6 認証情報を用いた API の呼び出し SAML2.0 の例 https://docs.aws.amazon.com/ja_jp/iam/latest/userguide/id_roles_providers_saml.html

Federation/SSO を提供するパートナーソリューション http://aws.amazon.com/jp/iam/partners/

仮想プライベートクラウド (VPC) AWS Cloud Roadshow 2016

Amazon VPC AWS Cloud Roadshow 2016 AWS 上にプライベートネットワーク空間を構築 社内から VPN 接続して閉域網で AWS 利用 仮想ネットワーキング オンプレミスとのハイブリッドが簡単に実現 AWS が社内インフラの一部に見える 社内システム ソフトウェアの移行がより容易に

AWS 上にプライベートのアドレス空間を作成し お客様のインフラを AWS 上に延長する VPN 接続専用線 リージョン EC2 VPC 内に分離したサブネットを自由に作成 イントラ VPC プライベートサブネット パブリックサブネット ゲートウェイ Internet VPN DX

VPC を利用した Web システム構成例 DC/ 社内からのみアクセス可能 インターネットからもアクセス可能 Availability Zone - A Private Subnet 10.0.1.0/24 Public Subnet 10.0.0.0/24 VPN 接続専用線 Amazon RDS DB EC2 Instance Web 10.0.0.7 Anyone Internet DB Amazon RDS Private Subnet 10.0.3.0/24 Web 10.0.2.7 EC2 Instance Public Subnet 10.0.2.0/24 Internet Gateway Corporate data center Availability Zone - B VPC 10.0.0.0/16

目的別に VPC を使ったシステム例 AWS Cloud Roadshow 2016 V G W 1 VPC WIN Oracle 人事 既存環境 監視ソフト V G W 1 VPC WIN 営業支援 I G W 管理者 利用者 SSO DNS AD F W NTP Router#1 Router#2 V G W 1 VPC WIN Oracle 会計 1 VPC BI V G W BI DB V G W 1 VPC WIN Proxy 文書管理 I G W

ネットワークアクセスコントロールリスト (NACL) VPC Subnet with ACL VPC Subnet with ACL アベイラビリティゾーン A アベイラビリティゾーン B ステートレスなのでinに対するout, outに対するinも設定が必要 NACL-in サブネット毎に設定するフィルタ機能 インバウンド アウトバウンドをサブネット毎に制御 ステートレス デフォルトはすべて許可 NACL-out http://docs.aws.amazon.com/ja_jp/amazonvpc/latest/userguide/vpc_acls.html

セキュリティグループ (SG) Subnet: 10.0.1.0/24 アベイラビリティゾーン A Subnet: 10.0.10.0/24 アベイラビリティゾーン B VPC CIDR: 10.0.0.0/16 EC2 インスタンスの仮想ファイアウォールとして機能 ステートフル デフォルトですべての通信は禁止 複数の EC2 インスタンスをグルーピング可能 ステートフルなので in に対する out, out に対する in は設定しなくて OK SG-in SG-out http://docs.aws.amazon.com/ja_jp/amazonvpc/latest/userguide/vpc_securitygroups.html

VPC セキュリティコントロール AWS Cloud Roadshow 2016 VPC 10.1.0.0/16 Route Table インターネットゲートウェイ Virtual Router Route Table バーチャルプライベートゲートウェイ

ネットワーク ACL vs セキュリティグループ ネットワーク ACL サブネットレベルで効果 Allow/Deny を IN OUT で指定可能 ( ブラックリスト型 ) ステートレスなので 戻りのトラフィックも明示的に許可設定する 番号の順序通りに適用 サブネット内のすべてのインスタンスが ACL の管理下に入る セキュリティグループ サーバレベルで効果 Allow のみを IN OUT で指定可能 ( ホワイトリスト型 ) ステートフルなので 戻りのトラフィックを考慮しなくてよい 全てのルールを適用 インスタンス管理者がセキュリティグループを適用すればその管理下になる

その他のセキュリティ対策例 ホスト型の IDS/IPS (TrendMicro DeepSecurity, etc ) AWS WAF WAF on EC2 (Imperva, SOPHOS, etc ) VPC 以外のサービスはパートナー製品を利用 29

AWS Direct Connect AWS Cloud Roadshow 2016

AWS Direct Connect とは? AWS とお客様設備 ( データセンター オフィス またはコロケーション ) の間に専用線を利用したプライベート接続を提供するサービス 専用線サービス 相互接続ポイント AWS Cloud EC2, S3 などの Public サービス お客様 Amazon VPC

インターネット VPN vs 専用線 コスト インターネット VPN 安価なベストエフォート回線も利用可能 専用線 リードタイム即時 ~ 数週間 ~ 帯域暗号化のオーバーヘッドにより制限あり ~10Gbps AWS Cloud Roadshow 2016 キャリアの専用線サービスの契約が必要 品質 障害時の切り分け インターネットベースのため経路上のネットワーク状態の影響を受ける インターネットベースのため自社で保持している範囲以外での切り分けが難しい キャリアにより高い品質が保証されている エンドツーエンドでどの経路を利用しているか把握できているため比較的容易

まとめ AWS Cloud Roadshow 2016

オンプレミスと同等以上の環境を構築可能 従来オンプレミス環境と同様にプライベート IP のみで接続外部からのアクセスはネットワークレベルで遮断 IAM による認証 権限設定 監査 東京リージョン 社内 NW ( オンプレ ) Internet VPN Direct Connect Virtual GW EC2 Instance プライベートサブネット EC2 Instance NAT パブリックサブネット EC2 Instance Internet GW 従来と同等のセキュリティ対策 Internet

2 つの安心 AWS Cloud Roadshow 2016 利用者の認証とアクセスポリシー管理 仮想プライベートクラウド AWS Identity and Access Management (IAM) Amazon Virtual Private Cloud (VPC)

ありがとうございました AWS Cloud Roadshow 2016

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック