aws cloud roadshow 2016 今こそクラウド、あなたの都市で。 これで安心!...
TRANSCRIPT
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
これで安心!セキュリティとネットワーク
~ Getting Started with AWS Security and
Networking ~アマゾン ウェブ サービス ジャパン 株式会社
セキュリティ ソリューション アーキテクト
桐山 隼人
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
自己紹介
2
• 氏名: 桐山 隼人
• 略歴
– 組み込み/セキュリティ系開発エンジニア@IT企業ソフトウェア開発研究所
– 技術営業@セキュリティ企業
– ソリューションアーキテクト@AWS
• 好きなAWSサービス
– Amazon Inspector@hkiriyam1
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
本日は、AWS移行を促進した“2つの安心”についてお話します
仮想プライベートクラウドAmazon Virtual
Private Cloud(VPC)
利用者の認証とアクセスポリシー管理
AWSIdentity and Access Management (IAM)
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
AWS Identity and Access Management (IAM)AWS操作をよりセキュアに行うための認証・認可の仕組み
AWS利用者の認証と、アクセスポリシーを管理AWS操作のためのグループ・ユーザー・ロールの作成が可能
グループ、ユーザーごとに、実行出来る操作を規定できる
ユーザーごとに認証情報の設定が可能
開発チーム 運用チーム
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
IAMの主機能
権限設定:◦必要な権限を必要な人・グループだけに
監査:◦証拠保全と追跡支援
認証:◦様々な利用者認証方法
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
IAM動作イメージAPIやマネジメントコンソールからのアクセスに対して、権限をチェック
全操作可能
S3はすべて操作可能
S3参照だけ
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
IAMポリシーの記述
{"Effect": "Allow","Action": [" s3:ListBuckets "," s3:Get * "
], "Resource": ["arn:aws:s3:::mybucket"
],"Condition": {"IpAddress": {"aws:SourceIP": [“176.32.92.49/32“]
}}
}
Effect:許可の設定なら”Allow”拒否の設定なら”Deny”
Action:対象となるAWS操作を指定
Resource:対象となるAWSリソースを指定
Condition:このアクセス制御が有効になる条件の設定
この例の場合、「アクセス元IPが176.32.92.49だったら、S3のListBucketsとGet系の操作を許可する」という意味
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
AWS CloudTrailによるAPIコール記録
ユーザによるAPIの発行
各リージョンのAWSリソースの呼び出し
CloudTrailがAPIコールをロ
ギング
ユーザの操作を管理
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
AWS Configによる変更履歴、構成変更を管理・確認
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
IAM認証情報レポート(Credential Report)
ユーザーの作成日時
最後にパスワードが使われた日時
最後にパスワードが変更された日時
MFAを利用しているか
Access KeyがActiveか
Access Keyのローテートした日時
Access Keyを最後に使用した日時
Access Keyを最後に利用したAWSサービス
証明書はActiveか
証明書のローテートした日時
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
IAMによる認証
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
AWSルートアカウントは利用せずIAMユーザを利用
AWSルートアカウントはIAMで設定するアクセスポリシーが適用されない強力なアカウント
十分に強度の強いパスワードを設定した上、通常は極力利用しないような運用を
IAMユーザーはAWS操作用のユーザーと心得る
強力なパスワードポリシーを強制可能
AWSサービスへのアクセスポリシー管理可能
IAMユーザをまとめるIAMグループ
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
強力なパスワードポリシーの利用AWSの管理コンソールにログインするために必要となるIAMユーザーのパスワードには以下のようなパスワードポリシーを持たせることが可能
• パスワードの最小文字数
• 大文字英字の要求
• 小文字英字の要求
• 数字を含めることの要求
• 特殊文字の要求
• ユーザー自身によるパスワード変更の許可
• パスワードの有効期限の設定
• パスワードの再利用の制限
• パスワードが期限切れになった場合管理者によるリセットの有無
AWSルートアカウントには適用されないことに注意
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
MFAによるアカウントの保護
ハードウェア ソフトウェア(認証情報コピー不可)
ソフトウェア(認証情報コピー可能)
SMS(プレビュー)
製品 Gemalto Google Authenticator Authy N/A
形式 トークン型/(カード型) スマホアプリ スマホアプリ モバイルデバイスのSMS
コスト 有料(2,000円程度) 無料 無料 SMS料金/データ料金
保管 持ち歩くことも可能だし、金庫などに厳重に保管も可能
常に持ち歩く 常に持ち歩く 常に持ち歩く
交換 紛失/故障時は、再登録交換時のために予備の準備が必要
紛失/機種変更時は、再登録 機種交換時に認証情報を引き継げる
同じ電話番号を持つ新しいモバイルフォンを取得する場合支障なし
ルートアカウント
サポート サポート サポート サポートしていない
IAMユーザー
サポート サポート サポート サポート
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
認証情報の定期的なローテーション IAMユーザーのパスワードやAccess Key/Secret
Access Keyは定期的にローテーションすることを推奨
認証情報の利用状況はIAMのCredential Report機能で確認可能 ユーザーの作成日時
最後にパスワードが使われた日時
最後にパスワードが変更された日時
MFAを利用しているか
Access KeyがActiveか
Access Keyのローテートした日時
Access Keyを最後に使用した日時
Access Keyを最後に利用したAWSサービス
証明書はActiveか
証明書のローテートした日時
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
IAM認証情報レポート(Credential Report)
パスワードやアクセスキーのローテーションなど、認証情報ライフサイクルの要件の結果を監査可能
認証情報レポートは、カンマ区切り値(CSV)ファイルとしてダウンロード可能
Credential Report
https://blogs.aws.amazon.com/security/post/Tx1GZCHQC7LR3UT/New-in-IAM-Quickly-Identify-When-an-Access-Key-Was-Last-Used
レポートは4時間毎に一回生成可能
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
IAMユーザーのパスワードローテーション
• IAMのパスワードポリシーでユーザーがパスワードを変更できるように設定
• パスワードに有効期限を設けることで利用者が自分で定期的にパスワードをローテーションできるようにする
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
5
OpenID Connect または SAML 2.0 のサポート
Enterprise (Identity Provider) AWS (Service Provider)
AWS Resources
Client Application
Active Directory
Identityprovider
4
AssumeRoleWithSAMLの呼び出し
2
S3 Bucket with Objects
Amazon DynamoDB
Amazon EC2
IdPに認証情報のリクエスト
1
認証応答の受け取り
3
APP認証情報を用いたAPIの呼び出し
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_providers_saml.html
一時的な認証情報の受け渡し
6
SAML2.0の例
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
Federation/SSOを提供するパートナーソリューション
http://aws.amazon.com/jp/iam/partners/
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
仮想プライベートクラウド(VPC)
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
Amazon VPC
AWS上にプライベートネットワーク空間を構築◦社内からVPN接続して閉域網でAWS利用
◦仮想ネットワーキング
オンプレミスとのハイブリッドが簡単に実現◦AWSが社内インフラの一部に見える
社内システム、ソフトウェアの移行がより容易に
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
AWS上にプライベートのアドレス空間を作成し、お客様のインフラをAWS上に延長する
リージョン
EC2
VPCイントラ
プライベートサブネット
パブリックサブネット
Internet
VPC内に分離したサブネットを自由に作成
VPN接続専用線
ゲートウェイ
VPN
DX
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
VPCを利用したWebシステム構成例
VPC 10.0.0.0/16
Availability Zone - B
Availability Zone - A
Internet
Anyone
Internet Gateway
Public Subnet 10.0.0.0/24
Public Subnet 10.0.2.0/24
Private Subnet 10.0.1.0/24
Private Subnet 10.0.3.0/24
Amazon RDS
Amazon RDS
Web10.0.0.7
EC2 Instance
EC2 Instance
Web10.0.2.7
Corporate data
center
DB
DB
インターネットからもアクセス可能
DC/社内からのみアクセス可能
VPN接続専用線
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。目的別にVPCを使ったシステム例
営業支援
会計
BI
文書管理
利用者
管理者
AD
監視ソフト
DNS
1 VPC
1 VPC
1 VPC
1 VPC
1 VPC
IGW
VGW
VGW
VGW
IGW
VGW
VGW
Router#1
Router#2
FW
SSO
NTP
既存環境
OracleWIN
人事
WIN
WIN Oracle
BI DB
WIN Proxy
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
ネットワークアクセスコントロールリスト(NACL)
アベイラビリティゾーン A アベイラビリティゾーン B
VPC Subnet with ACL VPC Subnet with ACL
• サブネット毎に設定するフィルタ機能
• インバウンド、アウトバウンドをサブネット毎に制御
• ステートレス
• デフォルトはすべて許可
http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_ACLs.html
NACL-in
NACL-out
ステートレスなのでinに対するout, outに対するinも設定が必要
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
セキュリティグループ(SG)
アベイラビリティゾーン A アベイラビリティゾーン B
Subnet: 10.0.1.0/24
VPC CIDR: 10.0.0.0/16
Subnet: 10.0.10.0/24
• EC2インスタンスの仮想ファイアウォールとして機能
• ステートフル
• デフォルトですべての通信は禁止
• 複数のEC2インスタンスをグルーピング可能
http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html
SG-in
SG-out
ステートフルなのでinに対するout, outに対するinは設定しなくてOK
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
VPCセキュリティコントロール
Route Table
Route Table
インターネットゲートウェイ
バーチャルプライベートゲートウェイ
Virtual Router
VPC 10.1.0.0/16
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
ネットワークACL vs セキュリティグループネットワークACL セキュリティグループ
サブネットレベルで効果 サーバレベルで効果
Allow/DenyをIN・OUTで指定可能(ブラックリスト型)
AllowのみをIN・OUTで指定可能(ホワイトリスト型)
ステートレスなので、戻りのトラフィックも明示的に許可設定する
ステートフルなので、戻りのトラフィックを考慮しなくてよい
番号の順序通りに適用 全てのルールを適用
サブネット内のすべてのインスタンスがACLの管理下に入る
インスタンス管理者がセキュリティグループを適用すればその管理下になる
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
その他のセキュリティ対策例
29
ホスト型のIDS/IPS(TrendMicro DeepSecurity, etc…)
WAF on EC2(Imperva, SOPHOS, etc…)AWS WAF
VPC以外のサービスはパートナー製品を利用
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
AWS Direct Connect
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
AWS Direct Connectとは?
お客様
AWS CloudEC2, S3などのPublic サービス
Amazon VPC
相互接続ポイント
専用線サービス
AWSとお客様設備(データセンター、オフィス、またはコロケーション)
の間に専用線を利用したプライベート接続を提供するサービス
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
インターネットVPN 専用線
コスト 安価なベストエフォート回線も利用可能
キャリアの専用線サービスの契約が必要
リードタイム 即時~ 数週間~
帯域 暗号化のオーバーヘッドにより制限あり ~10Gbps
品質 インターネットベースのため経路上のネットワーク状態の影響を受ける
キャリアにより高い品質が保証されている
障害時の切り分け
インターネットベースのため自社で保持している範囲以外での切り分けが難しい
エンドツーエンドでどの経路を利用しているか把握できているため比較的容易
インターネットVPN vs 専用線
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
まとめ
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
オンプレミスと同等以上の環境を構築可能
東京リージョン
EC2 Instance
EC2 Instance
社内NW(オンプレ)
プライベートサブネット
パブリックサブネット
NAT
InternetGWDirect
Connect
Internet
VPN
VirtualGW
Internet
EC2 Instance 従来と同等の
セキュリティ対策
従来オンプレミス環境と同様にプライベートIPのみで接続外部からのアクセスはネットワークレベルで遮断
IAMによる認証、権限設定、監査
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
“2つの安心”
仮想プライベートクラウドAmazon Virtual
Private Cloud(VPC)
利用者の認証とアクセスポリシー管理
AWSIdentity and Access Management (IAM)
AWS Cloud Roadshow 2016今こそクラウド、あなたの都市で。
ありがとうございました