security night #1 awsのセキュリティアプローチとtls
TRANSCRIPT
2016/05/11 Security Night #1
AWSのセキュリティアプローチとTLS
アマゾン ウェブ サービス ジャパン株式会社
スタートアップソリューションアーキテクト
塚田 朗弘
セキュリティソリューションアーキテクト
桐山 隼人
自己紹介(桐山隼人)
• 略歴– 組み込み/セキュリティ系開発エンジニア
@ソフトウェア開発研究所
– 技術営業@セキュリティ会社
– ソリューションアーキテクト@AWS
• 好きなAWSサービス– Amazon Inspector
@hkiriyam1
2
190カ国に及ぶ100万以上のお客様
4
6
AWS 基本サービス
コンピュート ストレージ データベース ネットワーク
AWSグローバルインフラストラクチャ リージョン
アベイラビリティゾーン エッジ
ロケーション
ネットワークサーバー
セキュリティ
インベントリ・構成管理
お客様のアプリケーション・コンテンツお客様自身でクラウドをコントロール可能
AWSがクラウドのセキュリティを担当
データセキュリティ
アクセスコントロール
AWS責任共有モデル
Security “IN” the Cloud
Security “OF” the Cloud
6
7
AWS 基本サービス
コンピュート ストレージ データベース ネットワーク
AWSグローバルインフラストラクチャ リージョン
アベイラビリティゾーン エッジ
ロケーション
ネットワークサーバー
セキュリティ
インベントリ・構成管理
お客様のアプリケーション・コンテンツお客様自身でクラウドをコントロール可能
AWSがクラウドのセキュリティを担当
データセキュリティ
アクセスコントロール
AWS責任共有モデル
Security “IN” the Cloud
Security “OF” the Cloud
7
8
セキュリティは大丈夫?(グローバルインフラ)
※2016/05時点詳細:http://aws.amazon.com/jp/about-aws/global-infrastructure/
8
9
セキュリティは大丈夫?(物理セキュリティ)• Amazonは数年間にわたり、大規模なデータセンターを構築
• 重要な特性:
– 場所の秘匿性
– 周囲の厳重なセキュリティ
– 物理アクセスの厳密なコントロール
– 2要素認証を2回以上で管理者がアクセス
• 完全管理された、必要性に基づくアクセス
• 全てのアクセスは記録され、監査対象となる
• 職務の分離
AWSコンプライアンス http://aws.amazon.com/jp/compliance/AWSのセキュリティとコンプライアンス http://www.slideshare.net/AmazonWebServicesJapan/aws-23722701
9
10
セキュリティは大丈夫?(ネットワーク)• Distributed Denial of Service (DDoS)対策:
• 効果的かつ標準的な緩和対策を実施
• 中間者攻撃対策:• 全エンドポイントは暗号化通信によって保護• 起動時に新しいEC2ホストキーを生成
• IPなりすまし対策:• ホストOSレベルで全て遮断
• 許可されていないポートスキャニング対策:• AWSサービス利用規約違反に該当• 検出され、停止され、ブロックされる• インバウンドのポートはデフォルトでブロックされているため、
事実上無効
• パケットの盗聴対策:• プロミスキャスモードは不許可• ハイパーバイザ―レベルで防御
AWSコンプライアンス http://aws.amazon.com/jp/compliance/AWSのセキュリティとコンプライアンス http://www.slideshare.net/AmazonWebServicesJapan/aws-23722701
10
11
セキュリティは大丈夫?(論理的セキュリティ)• ハイパーバイザー(ホストOS)
• AWS管理者の拠点ホストからの個別のログイン
• 全てのアクセスはロギングされ、監査されます
• ゲストOS(EC2インスタンス)
• お客様による完全なコントロール
• お客様が生成したいキーペアを使用
• Firewall機能の標準提供
• AWS標準機能としてInbound/Outboundに対するFirewall
• AWSのお客様の権限、責任で設定
AWSコンプライアンス http://aws.amazon.com/jp/compliance/AWSのセキュリティとコンプライアンス http://www.slideshare.net/AmazonWebServicesJapan/aws-23722701
11
12
セキュリティは大丈夫?(データセキュリティ)• データを配置する物理的なリージョンはお客様が指定
• AWSは、法令遵守等やむをえない場合を除き、お客様のデータを指定されたリージョンからお客様への通告なしに移動しない
• お客様のデータが 権限のない人々に流出しないようにするストレージ 廃棄プロセスを保持
• DoD 5220.22-M(米国国防総省方式)– 3回の書き込みでの消去を実施– 固定値→補数→乱数
• NIST 800-88(メディアサニタイズのための ガイドライン)– 情報処分に対する体制、運営やライフサイクルに関するガイドライン– 情報処分に対しする組織的に取り組み
• 上記の手順を用い ハードウェアデバイスが廃棄できない場合、デバイスは業界標準の慣行に従って、消磁するか、物理的に破壊する
AWSコンプライアンス http://aws.amazon.com/jp/compliance/AWSのセキュリティとコンプライアンス http://www.slideshare.net/AmazonWebServicesJapan/aws-23722701
12
13
セキュリティは大丈夫?(第三者認証)
多数の第三者認証の取得や、保証プログラムへの準拠をしています。
AWSコンプライアンス http://aws.amazon.com/jp/compliance/AWSのセキュリティとコンプライアンス http://www.slideshare.net/AmazonWebServicesJapan/aws-23722701
13
14
AWS 基本サービス
コンピュート ストレージ データベース ネットワーク
AWSグローバルインフラストラクチャ リージョン
アベイラビリティゾーン エッジ
ロケーション
ネットワークサーバー
セキュリティ
インベントリ・構成管理
お客様のアプリケーション・コンテンツお客様自身でクラウドをコントロール可能
AWSがクラウドのセキュリティを担当
データセキュリティ
アクセスコントロール
AWS責任共有モデル
Security “IN” the Cloud
Security “OF” the Cloud
14
15
お客様のセキュリティ統制において重要なAWSサービスAreas Key Services
データ保護
権限管理
インフラ保護
検知
Elastic LoadBalancing Amazon EBS Amazon S3 Amazon RDS
AWS Key Management
Service
MFA tokenIAM
Amazon VPC
CloudTrail AWS Config CloudWatch
AWS WAF
Inspector
15
18
脆弱性リスクを低減させるには・・・
蓋然性その事象が起こる可能性
影響度その事象による
正または負の変化度合い
脆弱性を孕みづらくする設計・実装・プロセス
事前準備・多層防御初動対応の迅速さ
18
20
2014年ハイパーバイザーXen脆弱性のケース一部では「秋の再起動祭り」とも・・・
ハイパーバイザー「Xen」の脆弱性に関する情報が10月1日付で一般に公開
AWSはその情報に基づき、EC2のメンテナンスを目的とした再起動を行うと9月25日のブログ発表、該当ユーザーへメール通知
Xen Projectが定める手順に従って脆弱性情報が一部の組織を対象に限定公開される
同日、AWS Japanにおいて日本語翻訳ブログ公開
同日、AWSは予定通りに対応を済ませたと公に報告
http://www.rightscale.com/blog/cloud-industry-insights/xen-bug-drives-cloud-reboot-survey-shows-users-undeterred
本メンテナンスに対してAWSに不満を持ったユーザーは他クラウドサービスと比べて最も低い10%
AWS対応の時系列 AWS対応の結果
蓋然性 影響度
20
21
小さい、シンプル、高速
コード監査、セキュリティレビュー、性能、効率の向上
GitHubで公開
AWSサービスへ統合
Signal to Noise (s2n)AWSが提供するオープンソースのTLS実装
[AWS Solutions Architect ブログ] s2n: 新しいオープンソースTLS実装のご紹介
http://aws.typepad.com/sajp/2015/06/s2n.html
蓋然性 影響度
23
AWSサービスを使用する際にAWSが提供する証明書 Amazon Elastic Load Balancing
• 2016年5月現在、以下のリージョンで利用可能*• Asia Pacific (Tokyo), Asia Pacific (Seoul), Asia Pacific (Singapore), Asia Pacific (Sydney), US East (N.Virginia),
US West (N. California), US West (Oregon), EU (Ireland), EU (Frankfurt), South America (Sao Paulo)
Amazon CloudFront• 全てのリージョンで利用可能
証明書のマネージドサービス SSL/TLS 証明書の購入、アップロード、更新の自動化
ドメイン認証のみ(2016年5月時点)
AWS Certificate Manager (ACM)
* AWS Certificate Manager now available in more regions (May 16,2016)https://aws.amazon.com/jp/about-aws/whats-new/2016/05/aws-certificate-manager-now-available-in-more-regions/
25
以下のサービスではユーザー自身で証明書を配備することも可能(Bring Your Own Certificate)
Amazon Elastic Load Balancing Amazon CloudFront Amazon API Gateway
TLSはデータ転送や設定変更を行う全てのAWS APIで使用可能
AWSサービスにおけるTLSについて
28
Amazon Elastic Load Balancing (ELB)
• 特徴 (http://aws.amazon.com/jp/elasticloadbalancing/)
– クラウド内の複数のAmazon EC2インスタンスに負荷分散
– 複数のアベイラビリティゾーンに跨って、高レベルの耐障害性を実現
– ELB自体が自動的にキャパシティを増減
– L4(TCP,SSL/TLS),L7(HTTP,HTTPS)サポート
• 価格体系 (http://aws.amazon.com/jp/elasticloadbalancing/pricing/)
– ELBの起動時間
– ELBのデータ転送量
クラウドネットワークのロードバランサー
アベイラビリティゾーン a
ユーザー
アベイラビリティゾーン b
ELB
EC2 EC2
myLB-xxx.elb.amazonaws.com
29
Amazon CloudFront
• 特徴 (http://aws.amazon.com/jp/cloudfront/)
– 簡単にサイトの高速化が実現できると共に、サーバの負荷も軽減
– 様々な規模のアクセスを処理することが可能
– 世界53箇所のエッジロケーション
• 価格体系 (http://aws.amazon.com/jp/cloudfront/pricing/)
– データ転送量(OUT)
– HTTP/HTTPSリクエスト数
– (利用する場合)SSL/TLS独自証明書 or ACM
マネージドCDN(Contents Delivery Network)サービス
クライアント
レスポンス向上 負荷軽減
Amazon
CloudFront
キャッシュ
配信 オフロード
Webサーバ
30
Amazon API Gateway
• 特徴 (http://aws.amazon.com/jp/lambda/)
– OS、キャパシティ等インフラの管理不要
– バックエンドとしてLambda、既存Webシステムを利用可能(SSL/TLSで通信暗号化)
– スロットリング/キャッシュ
• 価格体系 (http://aws.amazon.com/jp/lambda/pricing/)
– 呼び出し回数とキャッシュ容量
– 100万回の呼び出しにつき$3.5
– キャッシュ容量に応じて$0.02/時〜$3.8/時
Web APIの作成・保護・運用と公開を簡単に
Mobile Apps
Websites
Services
API
Gateway
AWS Lambda
functions
AWS
API Gateway
Cache
Endpoints on
Amazon EC2 /
Amazon Elastic
Beanstalk
Any other publicly
accessible endpoint
Amazon
CloudWatch
Monitoring
31
•AWS Securityページ•http://aws.amazon.com/jp/security
•AWS Complianceページ•http://aws.amazon.com/jp/compliance
セキュリティ・コンプライアンス情報
31
32
法令遵守し続けること(PCI DSSなど)
危殆化し続けるITシステムに対応すること
顧客親密度に関わるレピュテーションリスクを管理すること
Security “BY” the Cloud
さいごに・・・