そこが知りたい！AWSクラウドのセキュリティ

そこが知りたい! AWS クラウドのセキュリティ #AWSRoadshow 1

Twitter で AWS Cloud Roadshow に参加しよう! #AWSRoadshow 皆さんのご意見聞かせてください! 公式アカウント @awscloud_jp 最新技術情報イベント情報お得なクーポン情報など日々更新中! 2

自己紹介名前:鈴木宏昌スズキヒロアキ所属:AWSテクニカルトレーナー好きなAWSのサービス:Amazon CloudWatch 前職:国内SIerでクラウドサービスの企画運営を担当 3

Agenda AWS でのネットワークアクセス制御 VPC( 仮想プライベートクラウド ) サブネットセキュリティグループネットワーク ACL AWS リソースのアクセス制御 IAM ユーザ IAM ロール AWS 監査機能 CloudTrail AWS Config Amazon Inspector 4

ネットワーク制御と AWS リソース制御不要なトラフィックを遮断してセキュアな環境を構築 VPC やセキュリティグループによりネットワークを制御 EC2 インスタンス ( 仮想サーバ ) へのアクセスを遮断することはできる EC2 インスタンスの起動や停止などの AWS リソース操作を制御する機能ではないセキュアな運用には AWS リソースの制御も重要 AWS Identity and Access Management (IAM) EC2 の起動や停止などの AWS リソース操作の制御が可能 AWS リソースの操作には API が利用される 5

AWS 利用におけるセキュリティ確保の全体像マネジメントコンソールコマンドライン / SDK IAM ユーザ ID Password による認証 SSL SSL アクセスキー ID シークレットキーによる API の認証マネジメントコンソール AWS API IAM EC2 (Linux) EBS EC2 (Windows) EBS セキュリティグループによるインスタンスの通信保護 SSH RDP ターミナルキーペアによる認証 VPC サブネットによるネットワークの通信保護仮想デスクトップ 6

ネットワーク制御によるセキュリティ確保の全体像セキュリティグループによるインスタンスの通信保護 EC2 (Linux) SSH EBS ターミナルキーペアによる認証 VPC サブネットによるネットワークの通信保護 EC2 (Windows) EBS RDP 仮想デスクトップ 7

Amazon Virtual Private Cloud (VPC) AWS 上に仮想的なプライベートネットワーク空間を構築 EC2 や RDS などのサービスは VPC 内で起動 VPC は他の仮想ネットワークなどからも論理的に隔離 VPN の利用より社内からの閉域網で AWS を利用可能社内インフラの拡張として利用できる従来のネットワーク環境と同様の環境を構築できる 8

VPC の構成概要インターネットゲートウェイ VPN ゲートウェイ Amazon VPC ルートテーブルルートテーブルネットワーク ACL ネットワーク ACL サブネットセキュリティグループサブネットセキュリティグループインスタンスインスタンスインスタンスインスタンス 9

サブネット VPC 内は大きく次の 2 つの領域に分割可能パブリックサブネットインターネットからアクセス可能な領域ロードバランサーなどのサービスを配置プライベートサブネットインターネットから直接アクセスができない領域インターネットから直接アクセスする必要がないリソースを配置し保護ロードバランサーを利用した場合 Web サーバーもプライベートサブネットに配置可能 10

VPC 構成例 1:Web3 層システムインターネットゲートウェイ Internet Amazon VPC Web 踏み台 Web NAT パブリックサブネット AP AP プライベートサブネットアベイラビリティゾーン A アベイラビリティゾーン B 11

VPC 構成例 2: オンプレミス環境との連携 Amazon VPC VPN 接続専用線アベイラビリティゾーン A 仮想プライベートゲートウェイ (VGW) 自社データセンターアベイラビリティゾーン B 12

VPC 構成例 3: ワークロードごとの VPC 分割 VPC1 人事 VPC2 営業自社ネットワーク VPC3 会計社外ネットワーク ( インターネット ) 13

VPC エンドポイントによるアクセス Internet Amazon VPC Web 踏み台 Web NAT パブリックサブネット S3 AP AP VPC エンドポイントプライベートサブネット DynamoDB アベイラビリティゾーン A アベイラビリティゾーン B 14

VPC エンドポイント VPC と AWS サービスをプライベートに接続 VPC エンドポイントがない場合はインターネット経由でアクセスプライベートサブネットからもアクセス可能以下のサービスに対応 (2017/09/27 時点 ) S3 DynamoDB 15

セキュリティグループとネットワーク ACL Internet Amazon VPC サブネットネットワーク ACL ( サブネットの境界を保護 ) EC2 セキュリティグループ ( インスタンスを保護 ) 16

セキュリティグループインスタンスの仮想ファイアウォールとして機能複数のインスタンスをグルーピング可能デフォルトですべてのインバウンド通信は禁止ステートフル Web サーバーセキュリティグループ Web Web Web 17

多層セキュリティグループタイプ :HTTP ソース :0.0.0.0/0 タイプ :HTTP ソース :sg-00000001 sg-00000001 からの HTTP 通信を許可タイプ :HTTP ソース :sg-00000003 sg-0000001 sg-00000002 sg-00000003 sg-00000004 セキュリティグループ ID Web Web AP AP ロードバランサー Web サーバー内部ロードバランサー AP サーバー 18

ネットワーク ACL サブネット毎に設定するパケットフィルタ機能サブネット毎にインバウンドアウトバウンド通信を制御デフォルトはすべて許可ステートレス 19

セキュリティグループとネットワーク ACL セキュリティグループネットワーク ACL 対象サーバレベルで効果サブネットレベルで効果タイプステート制御ホワイトリスト型 Allow のみを IN OUT で指定可能ステートフルなので戻りのトラフィックを考慮しなくてよいブラックリスト型 Allow/Deny を IN OUT で指定可能ステートレスなので戻りのトラフィックも明示的に許可設定する適用順全てのルールを適用番号の順序通りに適用適用範囲インスタンス管理者がセキュリティグループを適用すればその管理下になるサブネット内のすべてのインスタンスが ACL の管理下に入る 20

IAM によるセキュリティ確保の全体像マネジメントコンソールコマンドライン / SDK IAM ユーザ ID Password による認証 SSL SSL アクセスキー ID シークレットキーによる API の認証マネジメントコンソール AWS API IAM EC2 (Linux) EBS EC2 (Windows) EBS 22

AWS Identity and Access Management (IAM) AWS リソースの操作をセキュアに行うための認証認可の仕組み AWS 利用者の認証とアクセスポリシーを管理 AWS 操作のためのユーザーグループロールの作成が可能グループユーザーごとに実行出来る操作を規定できるユーザーごとに認証情報の設定が可能 23

AWS における認証の種類種類メールアドレス & パスワード説明 root ユーザとして AWS にアクセス IAM ユーザ名 & パスワードアクセスキー ID & シークレットアクセスキー root ユーザアカウント取得時に作成されるユーザ AWS リソースのフルアクセス権を持つユーザ日々の運用業務などには使用しないことを強く推奨 IAM ユーザとして AWS マネージメントコンソールにアクセス CLI や API などのプログラムによる AWS へのアクセスに利用 24

IAM ユーザ / グループ IAM ユーザ AWS 管理などを行うユーザアプリケーションからの接続用など必ずしも人の操作用とは限らない IAM グループ IAM ユーザーの集合グループ全体の権限を指定する AWS アカウント管理者グループ TAKAHASHI root ユーザ開発グループ WATANABE TANAKA IAM ユーザ KURODA IAM ユーザ 25

IAM ポリシー権限を記述している JSON ドキュメント IAM ユーザグループなどに割り当てる IAM ポリシー { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "s3:listbucket", "Resource": "arn:aws:s3:::example_bucket" } } 開発グループ 26

IAM 動作イメージ TAKAHASHI TANAKA 管理者グループ AWSの全操作権限 IAMポリシー開発グループマネジメントコンソール AWS API IAM EC2 WATANABE KURODA S3 の全操作権限 IAM ポリシー S3 27

IAM ポリシー例 { } "Version": "2012-10-17", "Statement": [ { "Action": "ec2:*", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ec2:region": "<REGION>" } } ] } 特定のリージョン内でのみ EC2 アクセスを許可 { ] } "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:terminateinstances" ], "Resource": [ "*" ] }, { "Effect": "Deny", "Action": [ "ec2:terminateinstances" ], "Condition": {"NotIpAddress": {"aws:sourceip": [ "192.0.2.0/24", } "203.0.113.0/24" ]}}, "Resource": [ "*" ] EC2 の終了権限を特定の IP 範囲のユーザに制限 28

IAM ロール AWS リソースへのアクセスを委任するために使用ロールを引き受けることでロールにアタッチされた権限を使用できる第三者へアクセス権を付与する際にも利用可能 AWS アカウント A の S3 へのアクセス権 IAM ポリシーロール AWS アカウント B がロールを引き受けアクセス AWS アカウント A の S3 クロスアカウントアクセス 29

IAM ロールによるセキュアなアプリケーション開発 EC2にロールをアタッチすることでEC2 上で動作するアプリケーションに権限を付与できるアクセスキー / シークレットアクセスキーをソースコードに埋め込む必要がないインスタンスプロファイル S3FullAccess AmazonDynamoDB FullAccess IAM ポリシーロール AP EC2 インスタンス S3 DynamoDB 30

AWS IAM のベストプラクティス AWS アカウントの (rootユーザ) アクセスキーの削除個々の IAM ユーザーの作成グループを使用して IAM ユーザーに権限を割り当てる最小権限を付与強力なパスワードポリシーを設定する権限のあるユーザーに対して MFA を有効にする IAM ベストプラクティスの詳細は以下を参照 http://docs.aws.amazon.com/ja_jp/iam/latest/userguide/best-practices.html 31

その他セキュアな環境構築のポイントトラブル発生時にはログ記録の確認も重要 AWS CloudTrail AWS Config 定期的な脆弱性の存在の有無のチェックなどのセキュリティ評価 Amazon Inspector 32

AWS CloudTrail AWS アカウントのすべてのリソースに対する AWS API 呼び出しを記録し監視することができる Amazon EC2 Amazon RDS AWS CloudTrail 管理コンソール CLI 他 Amazon VPC Amazon Redshift 33

AWS Config AWS の詳細なリソース設定履歴を確認でき設定を評価監査審査できるようにするサービス Amazon EC2 AWS Config 停止起動 34

Amazon Inspector AWS にデプロイしたアプリケーションのセキュリティとコンプライアンスを向上させるための自動セキュリティ評価サービス脆弱性やベストプラクティスからの逸脱をチェック重要度や改善ステップを載せた詳細レポートを作成 35

まとめ AWS でのネットワークアクセス制御 VPC( 仮想プライベートクラウド ) サブネットセキュリティグループネットワーク ACL AWS リソースのアクセス制御 IAM ユーザ IAM ロール AWS 監査機能 CloudTrail AWS Config Amazon Inspector 36

ご清聴ありがとうございました! #AWSRoadshow 37