クラウドセキュリティfaq セキュリティ対策を分解して考える
TRANSCRIPT
![Page 1: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/1.jpg)
クラウドセキュリティ FAQセキュリティ対策を分解して考える
2017 年 2 月 2 日AWS 事業部 阿部 洸樹
![Page 2: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/2.jpg)
自己紹介• AWS 事業部• 阿部 洸樹• アーキテクトグループ(設計 / 構築)• セキュリティチーム• AWS 資格 5 冠
2
![Page 3: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/3.jpg)
本セッションでお伝えすること 3
• セキュリティ対策は難しい• 対策を分解して考える事が大切• よく行う対策
![Page 4: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/4.jpg)
4
セキュリティ対策は難しい
はじめに
![Page 5: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/5.jpg)
5
3 つの理由1 2 3
完璧なセキュリティ対策は存在しない
セキュリティ対策が難しい理由
![Page 6: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/6.jpg)
6
3 つの理由1 2 3
いい感じの対策が望ましい
セキュリティ対策が難しい理由
![Page 7: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/7.jpg)
3 つの理由1 2 3
セキュリティという言葉は便利に使われている
7セキュリティ対策が難しい理由
![Page 8: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/8.jpg)
8
セキュリティ対策を分解して考える
セキュリティ対策で大切なこと
![Page 9: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/9.jpg)
セキュリティ対策分解図
セキュリティ対策
AWS ユーザ担当者
9
![Page 10: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/10.jpg)
責任共有モデル
AWS の担当 = クラウドのセキュリティ
ユーザーの担当 = クラウド内のセキュリティ
ハードディスクの廃棄データセンターのセキュリティ
適切な AWS 設定(ネットワーク、アカウント)OS 、アプリケーション
10
https://aws.amazon.com/jp/compliance/shared-responsibility-model/
![Page 11: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/11.jpg)
11
AWS の担当箇所は任せよう
セキュリティ対策を担当者で分解
![Page 12: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/12.jpg)
セキュリティ対策分解図
ユーザ
必須 オプション要件
12
![Page 13: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/13.jpg)
人のセキュリティ対策
必須 • 出かける前に戸締りをする• 遅い時間帯の外出は避ける• 治安の悪い場所には近づかない
13
![Page 14: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/14.jpg)
人のセキュリティ対策
オプション • 警備サービスに加入する • 番犬を飼う
家や家にいる人を守る
人を守る• ボディガードを雇う
14
![Page 15: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/15.jpg)
15
必須の対策 +(要件に応じて)オプション
セキュリティ対策を要件で分解
![Page 16: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/16.jpg)
16
Amazon EC2 のセキュリティ対策を分解
Amazon EC2
![Page 17: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/17.jpg)
セキュリティ対策分解図
ユーザ
必須 オプション
オンプレと同じAWS 固有か否か
AWS 固有
17
![Page 18: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/18.jpg)
EC2 の必須セキュリティ対策
オンプレミスと同様• 最新の OS を使う• 最新のアプリケーションを使う
脆弱性をついた攻撃を軽減
アクセス制限• 悪意のある人がアクセス出来ないようにする
18
![Page 19: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/19.jpg)
EC2 アクセス制限の基本SecurityGroup
• インスタンス単位• Inbound/Outbound• Permit• ステートフル
NACL
Security Group
EC2
19
![Page 20: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/20.jpg)
EC2 アクセス制限の基本SecurityGroup NACL
HTTP 0.0.0.0/0
SSH 自拠点の IP アドレス
Inbound Outbound
ALL 0.0.0.0/0
最低限の許可 基本は ALL 許可要件に応じて制御
20
![Page 21: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/21.jpg)
VPC Subnet VPC Subnet
EC2 アクセス制限の基本NACLSecurityGroup
• サブネット単位• Inbound/Outbound• Permit/Deny• 番号順にルール適用• ステートレス
21
![Page 22: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/22.jpg)
EC2 アクセス制限の基本NACLSecurityGroup
ALL Deny Block したい IP
ALL Permit 0.0.0.0/0
OutboundInbound
ALL Permit 0.0.0.0/0
デフォルトは許可IP 指定でブロック
基本は ALL 許可要件に応じて制御
22
![Page 23: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/23.jpg)
EC2 の必須セキュリティ対策
AWS 固有の対策23
http://dev.classmethod.jp/cloud/aws/ec2-sec/
![Page 24: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/24.jpg)
セキュリティ対策分解図
ユーザ
必須 オプション
AWS サービス手段AWS パートナー
24
![Page 25: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/25.jpg)
オプション
AWS サービスパートナー
• 気楽に試せる
25
• AWS では出来ないこと• EC2 にインストール• AWS Marketplace• 外部 SaaS
![Page 26: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/26.jpg)
26
AWS サービス
オプション
![Page 27: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/27.jpg)
AWS API 記録
AWS CloudTrail• 有効化を強くオススメ• AWS で実行された API を記録• 弊社では全アカウントで有効
27
http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-online-seminar-2016-aws-cloudtrail-aws-config
![Page 28: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/28.jpg)
AWS 構成管理
AWS Config• 有効化をオススメ• AWS の構成記録• AWS リソースの作成 / 変更を記録• タイムラインで可視化
28
http://dev.classmethod.jp/cloud/aws/aws-config-start/
![Page 29: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/29.jpg)
DDoS 対策
AWS Shield• ELB 、 CloudFront 、 Route53 に自動適用• L3/L4 DDoS 攻撃に対する保護• DDoS レスポンスチームへのアクセス
( Advanced )
29
![Page 30: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/30.jpg)
WAF ( Web Application Firewall )
AWS WAF• WAF 機能• 用意されているシグネチャが少ない
30
![Page 31: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/31.jpg)
プラットフォーム診断
AWS Inspector• プラットフォーム診断• エージェント型• CVE ( OS やミドルウェアの脆弱性)• CIS ( OS やミドルウェアの設定)
31
http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-online-seminar-amazon-inspector
![Page 32: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/32.jpg)
32
パートナーが提供する製品 / サービス
セキュリティ対策 – オプション
![Page 33: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/33.jpg)
リモートメンテナンス
SSL-VPN• メンテナンス拠点の IP を絞れないとき• ユーザーごとに接続出来るインスタンスを絞る
33
![Page 34: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/34.jpg)
マルウェア対策
Anti-Virus• マルウェア対策• バーチャルアプライアンス型• ホスト型
34
![Page 35: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/35.jpg)
WAF
• SaaS 型( Imperva Incapsula )• バーチャルアプライアンス型( F5 BIG-IP など)• ホスト型( Trend Micro Deep Security な
ど)
WAF
35
http://dev.classmethod.jp/security/getting-started-waf/
![Page 36: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/36.jpg)
36
セキュリティ製品を選ぶ前に
ポイント
![Page 37: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/37.jpg)
セキュリティ製品を選ぶ前に
何を何から守りたいのかを明確化
2 つのポイント1 2
37
![Page 38: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/38.jpg)
セキュリティ製品を選ぶ前に2 つのポイント1 2
副作用(運用の手間、誤検知など)の確認
38
![Page 39: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/39.jpg)
39
まとめ
まとめ
![Page 40: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/40.jpg)
まとめ(セキュリティ対策分解図)ユーザ
要件
AWS サービスAWS パートナー
手段AWS 固有
オンプレと同じ
オプション必須固有
AWS
40
![Page 41: クラウドセキュリティFAQ セキュリティ対策を分解して考える](https://reader035.vdocuments.pub/reader035/viewer/2022070601/5899a01c1a28ab30688b4c2b/html5/thumbnails/41.jpg)
まとめ( 3 行)
分解して考える必須の対策を行う要件に応じて追加の対策クラスメソッドにご相談下さい
41