これで安心! セキュリティとネットワーク ~ Getting Started with AWS Security and Networking ~ アマゾンウェブサービスジャパン株式会社 セキュリティソリューションアーキテクト 桐山隼人
自己紹介 氏名 : 桐山隼人 略歴 組み込み / セキュリティ系開発エンジニア @IT 企業ソフトウェア開発研究所 技術営業 @ セキュリティ企業 ソリューションアーキテクト @AWS 好きな AWS サービス Amazon Inspector @hkiriyam1 2
本日は AWS 移行を促進した 2 つの安心 についてお話します 利用者の認証とアクセスポリシー管理 AWS Identity and Access Management (IAM) 仮想プライベートクラウド Amazon Virtual Private Cloud (VPC)
AWS Identity and Access Management (IAM) AWS Cloud Roadshow 2016 AWS 操作をよりセキュアに行うための認証 認可の仕組み AWS 利用者の認証と アクセスポリシーを管理 AWS 操作のためのグループ ユーザー ロールの作成が可能 グループ ユーザーごとに 実行出来る操作を規定できる ユーザーごとに認証情報の設定が可能 開発チーム 運用チーム
IAM の主機能 権限設定 : 必要な権限を必要な人 グループだけに 監査 : 証拠保全と追跡支援 認証 : 様々な利用者認証方法
IAM 動作イメージ API やマネジメントコンソールからのアクセスに対して 権限をチェック AWS Cloud Roadshow 2016 全操作可能 S3 はすべて操作可能 S3 参照だけ
IAM ポリシーの記述 AWS Cloud Roadshow 2016 { "Effect": "Allow", "Action": [ " s3:listbuckets ", " s3:get * " ], "Resource": [ "arn:aws:s3:::mybucket" ], "Condition": { "IpAddress": { "aws:sourceip": [ 176.32.92.49/32 ] } } } Effect: 許可の設定なら Allow 拒否の設定なら Deny Action: 対象となる AWS 操作を指定 Resource: 対象となる AWS リソースを指定 Condition: このアクセス制御が有効になる条件の設定 この例の場合 アクセス元 IP が 176.32.92.49 だったら S3 の ListBuckets と Get 系の操作を許可する という意味
AWS CloudTrail による API コール記録 ユーザによる API の発行 各リージョンの AWS リソースの呼び出し CloudTrail が API コールをロギング ユーザの操作を管理
AWS Config による変更履歴 構成変更を管理 確認 AWS Cloud Roadshow 2016
IAM 認証情報レポート (Credential Report) AWS Cloud Roadshow 2016 ユーザーの作成日時最後にパスワードが使われた日時最後にパスワードが変更された日時 MFAを利用しているか Access KeyがActiveか Access Keyのローテートした日時 Access Keyを最後に使用した日時 Access Keyを最後に利用したAWSサービス証明書はActiveか証明書のローテートした日時
IAM による認証 AWS Cloud Roadshow 2016
AWS ルートアカウントは利用せず IAM ユーザを利用 AWS ルートアカウントは IAM で設定するアクセスポリシーが適用されない強力なアカウント 十分に強度の強いパスワードを設定した上 通常は極力利用しないような運用を IAMユーザーはAWS 操作用のユーザーと心得る 強力なパスワードポリシーを強制可能 AWSサービスへのアクセスポリシー管理可能 IAMユーザをまとめるIAMグループ
強力なパスワードポリシーの利用 AWS の管理コンソールにログインするために必要となる IAM ユーザーのパスワードには以下のようなパスワードポリシーを持たせることが可能 パスワードの最小文字数 大文字英字の要求 小文字英字の要求 数字を含めることの要求 特殊文字の要求 ユーザー自身によるパスワード変更の許可 パスワードの有効期限の設定 パスワードの再利用の制限 パスワードが期限切れになった場合管理者によるリセットの有無 AWS ルートアカウントには適用されないことに注意
MFA によるアカウントの保護 ハードウェア ソフトウェア ( 認証情報コピー不可 ) ソフトウェア ( 認証情報コピー可能 ) 製品 Gemalto Google Authenticator Authy N/A SMS( プレビュー ) 形式トークン型 /( カード型 ) スマホアプリスマホアプリモバイルデバイスの SMS コスト有料 (2,000 円程度 ) 無料無料 SMS 料金 / データ料金 保管 交換 ルートアカウント IAM ユーザー 持ち歩くことも可能だし 金庫などに厳重に保管も可能 紛失 / 故障時は 再登録交換時のために予備の準備が必要 常に持ち歩く常に持ち歩く常に持ち歩く 紛失 / 機種変更時は 再登録 機種交換時に認証情報を引き継げる 同じ電話番号を持つ新しいモバイルフォンを取得する場合支障なし サポートサポートサポートサポートしていない サポートサポートサポートサポート
認証情報の定期的なローテーション IAM ユーザーのパスワードや Access Key/Secret Access Key は定期的にローテーションすることを推奨 認証情報の利用状況は IAM の Credential Report 機能で確認可能 ユーザーの作成日時 最後にパスワードが使われた日時 最後にパスワードが変更された日時 MFA を利用しているか Access Key が Active か Access Key のローテートした日時 Access Key を最後に使用した日時 Access Key を最後に利用した AWS サービス 証明書は Active か 証明書のローテートした日時
https://blogs.aws.amazon.com/security/post/tx1gzchqc7lr3ut/new-in-iam-quickly-identify- When-an-Access-Key-Was-Last-Used IAM 認証情報レポート (Credential Report) AWS Cloud Roadshow 2016 パスワードやアクセスキーのローテーションなど 認証情報ライフサイクルの要件の結果を監査可能 認証情報レポートは カンマ区切り値 (CSV) ファイルとしてダウンロード可能 Credential Report レポートは 4 時間毎に一回生成可能
IAM ユーザーのパスワードローテーション IAM のパスワードポリシーでユーザーがパスワードを変更できるように設定 パスワードに有効期限を設けることで利用者が自分で定期的にパスワードをローテーションできるようにする
OpenID Connect または SAML 2.0 のサポート Enterprise (Identity Provider) AWS (Service Provider) 2 Active Directory IdP に認証情報のリクエスト Identity provider 1 3 認証応答の受け取り AssumeRoleWithSAML の呼び出し 4 5 一時的な認証情報の受け渡し S3 Bucket with Objects Amazon DynamoDB AWS Resources Amazon EC2 Client Application APP 6 認証情報を用いた API の呼び出し SAML2.0 の例 https://docs.aws.amazon.com/ja_jp/iam/latest/userguide/id_roles_providers_saml.html
Federation/SSO を提供するパートナーソリューション http://aws.amazon.com/jp/iam/partners/
仮想プライベートクラウド (VPC) AWS Cloud Roadshow 2016
Amazon VPC AWS Cloud Roadshow 2016 AWS 上にプライベートネットワーク空間を構築 社内から VPN 接続して閉域網で AWS 利用 仮想ネットワーキング オンプレミスとのハイブリッドが簡単に実現 AWS が社内インフラの一部に見える 社内システム ソフトウェアの移行がより容易に
AWS 上にプライベートのアドレス空間を作成し お客様のインフラを AWS 上に延長する VPN 接続専用線 リージョン EC2 VPC 内に分離したサブネットを自由に作成 イントラ VPC プライベートサブネット パブリックサブネット ゲートウェイ Internet VPN DX
VPC を利用した Web システム構成例 DC/ 社内からのみアクセス可能 インターネットからもアクセス可能 Availability Zone - A Private Subnet 10.0.1.0/24 Public Subnet 10.0.0.0/24 VPN 接続専用線 Amazon RDS DB EC2 Instance Web 10.0.0.7 Anyone Internet DB Amazon RDS Private Subnet 10.0.3.0/24 Web 10.0.2.7 EC2 Instance Public Subnet 10.0.2.0/24 Internet Gateway Corporate data center Availability Zone - B VPC 10.0.0.0/16
目的別に VPC を使ったシステム例 AWS Cloud Roadshow 2016 V G W 1 VPC WIN Oracle 人事 既存環境 監視ソフト V G W 1 VPC WIN 営業支援 I G W 管理者 利用者 SSO DNS AD F W NTP Router#1 Router#2 V G W 1 VPC WIN Oracle 会計 1 VPC BI V G W BI DB V G W 1 VPC WIN Proxy 文書管理 I G W
ネットワークアクセスコントロールリスト (NACL) VPC Subnet with ACL VPC Subnet with ACL アベイラビリティゾーン A アベイラビリティゾーン B ステートレスなのでinに対するout, outに対するinも設定が必要 NACL-in サブネット毎に設定するフィルタ機能 インバウンド アウトバウンドをサブネット毎に制御 ステートレス デフォルトはすべて許可 NACL-out http://docs.aws.amazon.com/ja_jp/amazonvpc/latest/userguide/vpc_acls.html
セキュリティグループ (SG) Subnet: 10.0.1.0/24 アベイラビリティゾーン A Subnet: 10.0.10.0/24 アベイラビリティゾーン B VPC CIDR: 10.0.0.0/16 EC2 インスタンスの仮想ファイアウォールとして機能 ステートフル デフォルトですべての通信は禁止 複数の EC2 インスタンスをグルーピング可能 ステートフルなので in に対する out, out に対する in は設定しなくて OK SG-in SG-out http://docs.aws.amazon.com/ja_jp/amazonvpc/latest/userguide/vpc_securitygroups.html
VPC セキュリティコントロール AWS Cloud Roadshow 2016 VPC 10.1.0.0/16 Route Table インターネットゲートウェイ Virtual Router Route Table バーチャルプライベートゲートウェイ
ネットワーク ACL vs セキュリティグループ ネットワーク ACL サブネットレベルで効果 Allow/Deny を IN OUT で指定可能 ( ブラックリスト型 ) ステートレスなので 戻りのトラフィックも明示的に許可設定する 番号の順序通りに適用 サブネット内のすべてのインスタンスが ACL の管理下に入る セキュリティグループ サーバレベルで効果 Allow のみを IN OUT で指定可能 ( ホワイトリスト型 ) ステートフルなので 戻りのトラフィックを考慮しなくてよい 全てのルールを適用 インスタンス管理者がセキュリティグループを適用すればその管理下になる
その他のセキュリティ対策例 ホスト型の IDS/IPS (TrendMicro DeepSecurity, etc ) AWS WAF WAF on EC2 (Imperva, SOPHOS, etc ) VPC 以外のサービスはパートナー製品を利用 29
AWS Direct Connect AWS Cloud Roadshow 2016
AWS Direct Connect とは? AWS とお客様設備 ( データセンター オフィス またはコロケーション ) の間に専用線を利用したプライベート接続を提供するサービス 専用線サービス 相互接続ポイント AWS Cloud EC2, S3 などの Public サービス お客様 Amazon VPC
インターネット VPN vs 専用線 コスト インターネット VPN 安価なベストエフォート回線も利用可能 専用線 リードタイム即時 ~ 数週間 ~ 帯域暗号化のオーバーヘッドにより制限あり ~10Gbps AWS Cloud Roadshow 2016 キャリアの専用線サービスの契約が必要 品質 障害時の切り分け インターネットベースのため経路上のネットワーク状態の影響を受ける インターネットベースのため自社で保持している範囲以外での切り分けが難しい キャリアにより高い品質が保証されている エンドツーエンドでどの経路を利用しているか把握できているため比較的容易
まとめ AWS Cloud Roadshow 2016
オンプレミスと同等以上の環境を構築可能 従来オンプレミス環境と同様にプライベート IP のみで接続外部からのアクセスはネットワークレベルで遮断 IAM による認証 権限設定 監査 東京リージョン 社内 NW ( オンプレ ) Internet VPN Direct Connect Virtual GW EC2 Instance プライベートサブネット EC2 Instance NAT パブリックサブネット EC2 Instance Internet GW 従来と同等のセキュリティ対策 Internet
2 つの安心 AWS Cloud Roadshow 2016 利用者の認証とアクセスポリシー管理 仮想プライベートクラウド AWS Identity and Access Management (IAM) Amazon Virtual Private Cloud (VPC)
ありがとうございました AWS Cloud Roadshow 2016