• 検索結果がありません。

これで安心!セキュリティとネットワーク ~ Getting Started with AWS Security and Networking ~

N/A
N/A
Info
ダウンロード
Protected

Academic year: 2021

シェア "これで安心!セキュリティとネットワーク ~ Getting Started with AWS Security and Networking ~"

Copied!
44
0
0

読み込み中.... (全文を見る)

今ダウンロードする ( 44 ページ )

全文

(1)

これで安⼼!

セキュリティとネットワーク

〜 Getting Started with AWS Security and Networking 〜

Amazon Web Services Japan

テクニカルトレーナー

⼤村 幸敬

(2)

本セッションの概要

AWS におけるクラウドセキュリティ確保の考え⽅を解

説します

Ø

AWSセキュリティの全体像

Ø

ネットワークセキュリティ

Ø

AWS APIの認証と認可

(3)
(4)

セキュリティの重要性

Ø

セキュリティは、以下からミッションクリティカルな情報を保

護するための中⼼的な機能要件である

盗⽤

漏洩

改ざん

Ø

お客様は、以下の責任を負う

データの機密性、完全性、および可⽤性の保護

特定の情報保護要件への適合

完全性

(5)

クラウドのセキュリティとは?

Ø

クラウドセキュリティはオンプレミスのデータセンターにおけ

るセキュリティと似ているが、物理的なサーバまたはストレー

ジ機器を管理する必要がない

Ø

ソフトウェアベースのセキュリティツールを使⽤して、クラウ

ドリソースを出⼊りする情報の流れを監視および保護する

(6)

責任共有モデル – AWS

AW

S

クライアント側のデータ暗号化と

データの整合性認証

(ファイルシステムおよびデータ)

サーバー側の暗号化

(暗号化/整合性/アイデンティティ)

ネットワークトラフィックの保護

プラットフォーム、アプリケーション、アイデンティティとアクセスの管理

オペレーティングシステム、ネットワーク、ファイアウォール設定

お客様のデータ

基盤サービス

コンピューティング

ストレージ

データベース

ネットワーク

AWS グローバルイン

フラストラクチャ

リージョン

アベイラビリティーゾーン

エッジロケーション

(7)

AWS のセキュリティ責任共有モデル

Ø

責任共有モデル (Shared Responsibility Model)

クラウドサービスプロバイダー (AWS) が実装および運⽤するセ

キュリティ対策 -「Security OF the Cloud」

AWS サービスを使⽤するお客様のコンテンツとアプリケーション

のセキュリティに関連する、お客様が実装および運⽤するセキュリ

ティ対策 -「Security IN the Cloud」

(8)

認証と認定

ISO 9001、ISO 27001、ISO 27017、ISO 27018、IRAP (オーストラリア)、

MLPS Level 3 (中国)、MTCS Tier 3 Certification (シンガポール) など

(9)

各種サービスの責任共有モデルによる区分

Ø

セキュリティとコンプライアンスを考慮して、AWS ではインフラ

ストラクチャおよびプラットフォームサービスを以下の 3 つのカ

テゴリにグループ分けしている

インフラストラクチャサービス

コンテナサービス

アブストラクテッドサービス

データに関する統制権はいずれのサービスにおいてもお客様にあります

(10)

AWSサービスのセキュリティ上の責任の分担

3つの主要なカテゴリ

カテゴリ

AWSの

責任範囲

お客さまの

責任範囲

NW的位置

アクセス

方式

具体例

インフラ

ストラクチャ

サービス

グローバルイ

ンフラ、仮想

マシンとその

稼働環境

ネットワーク制御

OSレイヤ以上

アプリケーション

お客さまデータ等

VPC

サブネット内

SSH/RDP等

EC2、

EBS、VPC等

コンテナ

サービス

上記に加え、

EC2上に構成

されるマネー

ジドサービス

ネットワーク制御

お客さまデータ等

VPC

サブネット内

各サービス固有

のプロトコル

(JDBC等)

RDS、

ElastiCache等

抽象化

サービス

AWSが独⾃に

提供する

マネージド

サービス

サービスアクセス

制御

お客さまデータ等

インター

ネット

AWS API

S3、

DynamoDB等

(11)

AWS利⽤におけるセキュリティ確保の全体像

CLI / SDK

キーペアによるOS認証

セキュリティグループ

によるインスタンスの

通信保護

リモート

デスクトップ

ターミナル

アクセスキーID

シークレットキー

によるAPIの認証

マネジメント

コンソール

IAMユーザID

Password

によるMCの認証

AW

S A

PI

(M

C)

VPCによる

ネットワークの

通信保護

HTTPS

HTTPS

SSH/RDP

MySQL

IAM

EC2

S3

DynamoDB

IAMによる

APIの認可

(12)

VPCによる

(13)

Amazon Virtual Private Cloud (VPC)

AWS クラウドの隔離されたプライベート仮想

ネットワークをプロビジョニングする

仮想ネットワーク環境を完全に制御できる

Amazon

VPC

(14)

Amazon VPC の例

アベイラビリティーゾーン A

Virtual Private Cloud

AWS クラウド

パブリックサブネット

インターネット

Virtual Private Cloud

アベイラビリティーゾーン B

プライベートサブネット

アベイラビリティーゾーン C

VPN のみのサブネット DB サーバー DB サーバー アプリケーションサーバー DB サーバー DB サーバー DB サーバー ウェブサーバー ウェブサーバー NAT

顧客ネットワーク

R

(15)

VPC とサブネット

サブネットは VPC 内の IP アドレスの範囲を定義する

選択したサブネット内で AWS リソースを起動できる

Ø

各サブネットは 1 つのアベイラビリティーゾーン内に完全に収

まっている必要があるため、複数のゾーンにまたがるサブネッ

トを作成することはできない

プライベートサブネットはインターネット経由でアクセス

できないリソースに使⽤する

パブリックサブネットはインターネット経由でアクセスで

きるリソースに使⽤する

Ø

パブリックかプライベートかはインターネットへの

ルーティングがあるかないかで決まる

(16)

セキュリティグループによるアクセス制御

HTTP

SSH/RDP

インターネットに開放し

ているポートは 80 およ

び 443 のみ

エンジニアスタッフは踏み台ホスト

に対する SSH/RDP アクセスが可能

他のすべてのインターネットポー

トはデフォルトではブロック

踏み台

(17)

ネットワークACLとセキュリティグループ

ネットワーACLは

サブネットへの

トラフィックを制御

セキュリティグループ

はインスタンスへの

トラフィックを制御

サブネット

10.0.0.0/24

10.0.1.0/24

サブネット

インターネットゲートウェイ VPN ゲートウェイ VPC ルーター 10.0.0.0/16 セキュリティグループ セキュリテ ィグループ セキュリティグループ ネットワーク ACL ネットワーク ACL ルーティングテーブル ルーティングテーブル インス タンス インスタンス インスタンス インスタンス

(18)

他のネットワークとの接続

VPN 接続オプション

説明

AWS ハードウェア VPN

VPC とリモートネットワーク間に IPsec ハードウェア

VPN 接続を作成できる

ソフトウェア VPN

ソフトウェア VPN アプライアンスが実⾏されてい

る VPC の Amazon EC2 インスタンスを使⽤して、

リモートネットワークへの VPN 接続を確⽴できる

AWS Direct Connect

AWS Direct Connect は、リモートネットワークから

VPC に専⽤のプライベート接続を提供する

(19)

確認:EC2とRDSとS3はどこにいる?

アベイラビリティーゾーン A

Virtual Private Cloud

AWS クラウド

パブリックサブネット

インターネット

Virtual Private Cloud

アベイラビリティーゾーン B

プライベートサブネット

アベイラビリティーゾーン C

VPN のみのサブネット DB サーバー DB サーバー アプリケーションサーバー DB サーバー DB サーバー DB サーバー ウェブサーバー ウェブサーバー NAT

顧客ネットワーク

R

S3

(20)

AWS利⽤におけるセキュリティ確保の全体像

CLI / SDK

キーペアによるOS認証

セキュリティグループ

によるインスタンスの

通信保護

リモート

デスクトップ

ターミナル

アクセスキーID

シークレットキー

によるAPIの認証

マネジメント

コンソール

IAMユーザID

Password

によるMCの認証

AW

S A

PI

(M

C)

VPCによる

ネットワークの

通信保護

HTTPS

HTTPS

SSH/RDP

MySQL

IAM

EC2

S3

DynamoDB

IAMによる

APIの認可

(21)

IAMによる

(22)

AWS Identity and Access Management (IAM)

AWS IAM

3

フェデレーティッド

ユーザーと権限の管理

2

AWS IAM ロールと

権限の管理

1

AWS IAM ユーザーと

アクセスの管理

(23)

AWS IAM 認証

認証

AWS マネジメントコンソール

(24)

AWS IAM 認証

アクセスキー ID: AKIAIOSFODNN7EXAMPLE

シークレットアクセスキー: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

Java

Python

.NET

AWS SDK および

API

AWS CLI

認証

AWS CLI または SDK API

(25)

AWS IAM ユーザーの管理 – グループ

ユーザー D

DevOps

グループ

ユーザー C

AWS アカウント

TestDev

グループ

ユーザー B

ユーザー A

(26)

AWS IAM 認可

認可

IAM ポリシー:

Ø

権限を記述している JSON

ドキュメント

Ø

ユーザー、グループ、

ロールに割り当てられる

IAM

ユーザー

IAM

グループ

IAM

ロール

(27)

AWS IAM ポリシー

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1453690971587", "Action": [ "ec2:Describe*", "ec2:StartInstances", "ec2:StopInstances” ], "Effect": "Allow", "Resource": "*", "Condition": { "IpAddress": { "aws:SourceIp": "54.64.34.65/32” } } }, { "Sid": "Stmt1453690998327", "Action": [ "s3:GetObject*” ], "Effect": "Allow", "Resource": "arn:aws:s3:::example_bucket¥*” } ] }

IAM

ポリシー

(28)

AWS IAM ポリシーを割り当てる

IAM

ユーザー

IAM

グループ

割り当てる

割り当てる

(29)

AWS IAM ポリシーを割り当てる

IAM

ユーザー

IAM

グループ

IAM

ロール

割り当てる

割り当てる

IAM

ポリシー

(30)

AWS IAM ロール

IAM ロールにポリシーを適⽤する

IAM ロールに直接関連付けられる認証情報はない

IAM ユーザー、アプリケーション、およびサービスが

IAM ロールを引き受けられる

IAM

ロール

(31)

AWS IAM ポリシーを割り当てる

IAM

ユーザー

IAM

グループ

IAM

ロール

割り当てる

割り当てる

IAM

ポリシー

IAM

ユーザー

引き受ける

引き受ける

AWS

リソース

(32)

アプリケーションの AWS リソースへのアクセス

Amazon EC2 インスタンスでホストされている

Python アプリケーションでは Amazon S3 とや

り取りする必要がある

AWS 認証情報には以下が必要である

Ø

オプション 1: Amazon EC2 インスタンスに

AWS 認証情報を保存する

Ø

オプション 2: AWS のサービスおよびアプリ

ケーションに AWS 認証情報を安全に配布する

IAM

ロール

(33)

AWS IAM ロール – インスタンスプロファイル

Amazon EC2

アプリケーション &

http://169.254.169.254/latest/meta-data/iam/security-credentials/rolename

EC2 MetaData Service

Amazon

S3

1

2

3

4

インスタン

スの作成

IA

M

S3

(34)

AWS IAM ロール – ロールを引き受ける

IAM 制限ポリシー

IAM ユーザー

A-1

AWS アカウント A

IAM Admin

Role

IAM 管理者ポリシー

割り当てる

引き受ける

割り当てる

1

2

IAM ユーザー

B-1

AWS アカウント B

Amazon

S3

引き受ける

4

アクセス

5

3

アクセス

1

(35)

⼀時的セキュリティ認証情報 (AWS STS)

セッション

アクセスキー ID

シークレットアクセスキー

セッショントークン

有効期限

⼀時的セキュリティ

認証情報

15 分〜36 時間

ユースケース

クロスアカウントアクセス

フェデレーション

モバイルユーザー

Amazon EC2 ベースのアプリ

ケーションのキー更新

(36)

アプリケーション認証

AWS IAM

アプリケー

ション

サポートされていない

サポートされていない

(37)

AWS IAM フェデレーション

IAM フェデレーションは以下に対するフェデレー

ションアクセスを⾏うために使⽤できる

Ø

AWS マネジメントコンソール

Ø

AWS API

サポートされているアイ

デンティティ:

Ø

AWS Directory Service

Ø

Microsoft Active Directory

Ø

Amazon Cognito、Login with Amazon

などの OpenID Connect (OIDC)

Ø

SAML 2.0

AWS Directory

(38)

モバイルアプリケーションの Amazon Cognito

フェデレーション

AWS アカウント

AWS リージョン Cognito DynamoDB AWS STS ユーザー アイデンティティ プロバイダー (Login with Amazon) モバイルクライアント

1

2

3

4

5

アプリケーション のアクセス 認証をリダイレ クトし ID トー クンを受け取る Cognito トークンを ID トークンと交換する Cognito トークンを ⼀時的な AWS 認証情 報と交換する ⼀時的な認証情報を使⽤して AWS のサービスにアクセスする

(39)

AWS IAM 認証と認可

認証

Ø

AWS マネジメントコンソール

ユーザー名とパスワード

Ø

AWS CLI または SDK API

アクセスキーとシークレットキー

認可

Ø

ポリシー

IAM

ユーザー

IAM

グループ

(40)

AWS IAM のベストプラクティス

AWS アカウントの (ルート) アクセスキーの削除

個々の IAM ユーザーの作成

グループを使⽤して IAM ユーザーに権限を割り当てる

最⼩権限を付与

強⼒なパスワードポリシーを設定する

権限のあるユーザーに対して MFA を有効にする

(41)

AWS IAM のベストプラクティス (続き)

Amazon EC2 インスタンスで実⾏されるアプリ

ケーションに対して IAM ロールを使⽤する

認証情報を共有するのではなく、ロールを使⽤

して委任する

定期的に認証情報を更新する

不要なユーザーと認証情報を削除する

追加のセキュリティのために条件(Condition)を使⽤する

AWS アカウントのアクティビティをモニタリングする

(42)

AWS CloudTrail

アカウントに対する AWS API コールを記録する

情報を含むログファイルを Amazon S3 バケット

に配信する

AWS マネジメントコンソール、AWS SDK、AWS CLI、

および AWS の上位サービスを使⽤して呼び出しを⾏う

AWS CloudTrail

Amazon S3 バケット

ログ

(43)

AWS利⽤におけるセキュリティ確保の全体像

CLI / SDK

キーペアによるOS認証

セキュリティグループ

によるインスタンスの

通信保護

リモート

デスクトップ

ターミナル

アクセスキーID

シークレットキー

によるAPIの認証

マネジメント

コンソール

IAMユーザID

Password

によるMCの認証

AW

S A

PI

(M

C)

VPCによる

ネットワークの

通信保護

HTTPS

HTTPS

SSH/RDP

MySQL

IAM

EC2

S3

DynamoDB

IAMによる

APIの認可

(44)

まとめ

AWS におけるクラウドセキュリティ確保の考え⽅を解

説しました

Ø

AWSセキュリティの全体像

Ø

ネットワークセキュリティ

Ø

AWS APIの認証と認可

参照

今ダウンロードする ( PDF - 44 ページ - 4.36 MB )

関連したドキュメント

PROBLEMS WITH AN INCREASING COST FUNCTION AND POROSITY

Zaslavski, Generic existence of solutions of minimization problems with an increas- ing cost function, to appear in Nonlinear

PROBLEMS WITH AN INCREASING COST FUNCTION AND POROSITY

In [10, 12], it was established the generic existence of solutions of problem (1.2) for certain classes of increasing lower semicontinuous functions f.. Note that the

各位 2022 年 9 月 29 日 会社名ポーターズ株式会社代表者名代表取締役社 西森康二 ( コード番号 : 東証グロース市場 ) 問合せ先取締役 Corporate Group マネージャー天野竜人 (TEL ) 東京証券取引所グロース市場への上場に伴う

サーバー費用は、Amazon Web Services, Inc.が提供しているAmazon Web Servicesのサーバー利用料とな

WITH UNBOUNDED OPERATORS A, B , AND C

We find the criteria for the solvability of the operator equation AX − XB = C, where A, B , and C are unbounded operators, and use the result to show existence and regularity

WITH FRACTIONAL DERIVATIVES AND PSEUDODIFFERENTIAL

In the further part, using the generalized Dirac matrices we have demonstrated how we can, from the roots of the d’Alembertian operator, generate a class of relativistic

WITH FRACTIONAL DERIVATIVES AND PSEUDODIFFERENTIAL

In the further part, using the generalized Dirac matrices we have demonstrated how we can, from the roots of the d’Alembertian operator, generate a class of relativistic

aws_devday2019_ahmad_shiina

サーバー API 複雑化 iOS&Android 間で複雑な API

BOUNDARY VALUE PROBLEMS WITH φ-LAPLACIAN AND THEIR APPLICATIONS

The aim of this paper is to present general existence principles for solving regular and singular nonlocal BVPs for second-order functional-di ff erential equations with φ- Laplacian