アカウントのセキュリティ (第13回jaws-ug札幌)
DESCRIPTION
2014年4月11日の勉強会で発表した資料です。TRANSCRIPT
![Page 1: アカウントのセキュリティ (第13回JAWS-UG札幌)](https://reader033.vdocuments.mx/reader033/viewer/2022052307/556f6873d8b42a9d338b494a/html5/thumbnails/1.jpg)
Copyright © 2014 AGREX INC.
第13回 JAWS-UG札幌 勉強会
意外と見落としがちな・・・
アカウントのセキュリティ
2014/04/11
札幌事業所 システム部 古山浩司
![Page 2: アカウントのセキュリティ (第13回JAWS-UG札幌)](https://reader033.vdocuments.mx/reader033/viewer/2022052307/556f6873d8b42a9d338b494a/html5/thumbnails/2.jpg)
Copyright © 2014 AGREX INC. 1
自己紹介
(株)アグレックス 札幌事業所
・クラウドグループ マネージャー
・AWS Certified Solution Architect
JAWS-UG札幌支部 代表
好きなサービス : RDS
こやま ひろし
古山 浩司
![Page 3: アカウントのセキュリティ (第13回JAWS-UG札幌)](https://reader033.vdocuments.mx/reader033/viewer/2022052307/556f6873d8b42a9d338b494a/html5/thumbnails/3.jpg)
AWSの セキュリティ方針 =共有責任
モデル
![Page 4: アカウントのセキュリティ (第13回JAWS-UG札幌)](https://reader033.vdocuments.mx/reader033/viewer/2022052307/556f6873d8b42a9d338b494a/html5/thumbnails/4.jpg)
共有責任モデル
・ファシリティ ・物理インフラ
・ネットワークインフラ ・仮想インフラ
・OS ・OSファイアウォール ・アプリケーション
・セキュリティグループ ・ネットワーク設定 ・アカウント管理
AWSと利用者の二者互いの協力でセキュリティを確保
![Page 5: アカウントのセキュリティ (第13回JAWS-UG札幌)](https://reader033.vdocuments.mx/reader033/viewer/2022052307/556f6873d8b42a9d338b494a/html5/thumbnails/5.jpg)
・OS ・OSファイアウォール ・アプリケーション ・セキュリティグループ ・ネットワーク設定 ・アカウント管理
利用者の責任
・User ・KeyPair
・iptables ・Windows Firewall
・Security Patch
・VPC ・Network ACLs
・Inbound Rule ・Outbound Rule
・IAM
![Page 6: アカウントのセキュリティ (第13回JAWS-UG札幌)](https://reader033.vdocuments.mx/reader033/viewer/2022052307/556f6873d8b42a9d338b494a/html5/thumbnails/6.jpg)
IAM (Identity and Access Management)
ルートアカウント
IAM User
![Page 7: アカウントのセキュリティ (第13回JAWS-UG札幌)](https://reader033.vdocuments.mx/reader033/viewer/2022052307/556f6873d8b42a9d338b494a/html5/thumbnails/7.jpg)
ルートアカウント・・・
これを自在に操れる恐ろしさ!
![Page 8: アカウントのセキュリティ (第13回JAWS-UG札幌)](https://reader033.vdocuments.mx/reader033/viewer/2022052307/556f6873d8b42a9d338b494a/html5/thumbnails/8.jpg)
ルートの権力を以ってすれば・・・
![Page 9: アカウントのセキュリティ (第13回JAWS-UG札幌)](https://reader033.vdocuments.mx/reader033/viewer/2022052307/556f6873d8b42a9d338b494a/html5/thumbnails/9.jpg)
こんなことや・・・
![Page 10: アカウントのセキュリティ (第13回JAWS-UG札幌)](https://reader033.vdocuments.mx/reader033/viewer/2022052307/556f6873d8b42a9d338b494a/html5/thumbnails/10.jpg)
こんなことまで・・・
![Page 11: アカウントのセキュリティ (第13回JAWS-UG札幌)](https://reader033.vdocuments.mx/reader033/viewer/2022052307/556f6873d8b42a9d338b494a/html5/thumbnails/11.jpg)
利用者にとっての最重要事項
=ルートアカウント死守!
![Page 12: アカウントのセキュリティ (第13回JAWS-UG札幌)](https://reader033.vdocuments.mx/reader033/viewer/2022052307/556f6873d8b42a9d338b494a/html5/thumbnails/12.jpg)
デフォルトのログイン
パスワードだけでホントに大丈夫?
![Page 13: アカウントのセキュリティ (第13回JAWS-UG札幌)](https://reader033.vdocuments.mx/reader033/viewer/2022052307/556f6873d8b42a9d338b494a/html5/thumbnails/13.jpg)
Multi-Factor Authentication
(多要素認証)
MFA
![Page 14: アカウントのセキュリティ (第13回JAWS-UG札幌)](https://reader033.vdocuments.mx/reader033/viewer/2022052307/556f6873d8b42a9d338b494a/html5/thumbnails/14.jpg)
1st Step ログインパスワード
2nd Step 30秒間だけ有効な、 6桁の認証コードを要求される
![Page 15: アカウントのセキュリティ (第13回JAWS-UG札幌)](https://reader033.vdocuments.mx/reader033/viewer/2022052307/556f6873d8b42a9d338b494a/html5/thumbnails/15.jpg)
ハードウェアMFAデバイス http://onlinenoram.gemalto.com/
- 1個 $12.99 - アカウント毎に1個必要
バーチャルMFA Google認証システム - 無料 - 複数アカウントOK
認証コードを生成する方法
![Page 16: アカウントのセキュリティ (第13回JAWS-UG札幌)](https://reader033.vdocuments.mx/reader033/viewer/2022052307/556f6873d8b42a9d338b494a/html5/thumbnails/16.jpg)
MFA有効化の手順 -1
IAMダッシュボード
![Page 17: アカウントのセキュリティ (第13回JAWS-UG札幌)](https://reader033.vdocuments.mx/reader033/viewer/2022052307/556f6873d8b42a9d338b494a/html5/thumbnails/17.jpg)
MFA有効化の手順 -2
![Page 18: アカウントのセキュリティ (第13回JAWS-UG札幌)](https://reader033.vdocuments.mx/reader033/viewer/2022052307/556f6873d8b42a9d338b494a/html5/thumbnails/18.jpg)
MFA有効化の手順 -3
①スキャン
②Code1に入力
③数字が有効なうちにContinue
147930
![Page 19: アカウントのセキュリティ (第13回JAWS-UG札幌)](https://reader033.vdocuments.mx/reader033/viewer/2022052307/556f6873d8b42a9d338b494a/html5/thumbnails/19.jpg)
④数字が変わったら、 Code2に入力
⑤数字が有効なうちにContinue
MFA有効化の手順 -4
093158
![Page 20: アカウントのセキュリティ (第13回JAWS-UG札幌)](https://reader033.vdocuments.mx/reader033/viewer/2022052307/556f6873d8b42a9d338b494a/html5/thumbnails/20.jpg)
MFA有効化の手順 -5
MFA Enabled になる ↓
![Page 21: アカウントのセキュリティ (第13回JAWS-UG札幌)](https://reader033.vdocuments.mx/reader033/viewer/2022052307/556f6873d8b42a9d338b494a/html5/thumbnails/21.jpg)
注意点
QRコードは安全な場所に 保管しておくこと! 再表示できないので、設定した端末が壊れたり紛失したりすると、ログイン不能! (AWSサポートに連絡すれば解除可能らしいが・・・)
安全な場所??
![Page 22: アカウントのセキュリティ (第13回JAWS-UG札幌)](https://reader033.vdocuments.mx/reader033/viewer/2022052307/556f6873d8b42a9d338b494a/html5/thumbnails/22.jpg)
・・・なわけないです。。
![Page 23: アカウントのセキュリティ (第13回JAWS-UG札幌)](https://reader033.vdocuments.mx/reader033/viewer/2022052307/556f6873d8b42a9d338b494a/html5/thumbnails/23.jpg)
アカウント情報は で一元管理 !
![Page 24: アカウントのセキュリティ (第13回JAWS-UG札幌)](https://reader033.vdocuments.mx/reader033/viewer/2022052307/556f6873d8b42a9d338b494a/html5/thumbnails/24.jpg)
Copyright © 2014 AGREX INC. 23
まとめ
アカウントのセキュリティは意外と盲点。 • アカウント管理が緩いと全てが台無し。 • ルートアカウントを乗っ取られたら被害は甚大。
万一の備えとしてMFAを積極的に活用すること。 • MFA無しでの業務利用は絶対NG! • ルートのみならず、IAMユーザも必須。
アカウント情報の保管場所にも細心の注意を。 • 保有アカウントが増えると雑になりがち。 • salesforceは使える!
![Page 25: アカウントのセキュリティ (第13回JAWS-UG札幌)](https://reader033.vdocuments.mx/reader033/viewer/2022052307/556f6873d8b42a9d338b494a/html5/thumbnails/25.jpg)