2016/05/11 Security Night #1

AWSのセキュリティアプローチとTLS

アマゾン ウェブ サービス ジャパン株式会社

スタートアップソリューションアーキテクト

塚田 朗弘

セキュリティソリューションアーキテクト

桐山 隼人

自己紹介(桐山隼人)

• 略歴– 組み込み/セキュリティ系開発エンジニア

@ソフトウェア開発研究所

– 技術営業@セキュリティ会社

– ソリューションアーキテクト@AWS

• 好きなAWSサービス– Amazon Inspector

@hkiriyam1

2

今日お話ししたい内容

• AWSセキュリティの基本的な話

• セキュリティへのアプローチ

• TLSに関連するAWSサービス

3

190カ国に及ぶ100万以上のお客様

4

グローバルでの金融機関におけるAWS活用

5

6

AWS 基本サービス

コンピュート ストレージ データベース ネットワーク

AWSグローバルインフラストラクチャ リージョン

アベイラビリティゾーン エッジ

ロケーション

ネットワークサーバー

セキュリティ

インベントリ・構成管理

お客様のアプリケーション・コンテンツお客様自身でクラウドをコントロール可能

AWSがクラウドのセキュリティを担当

データセキュリティ

アクセスコントロール

AWS責任共有モデル

Security “IN” the Cloud

Security “OF” the Cloud

6

7

AWS 基本サービス

コンピュート ストレージ データベース ネットワーク

AWSグローバルインフラストラクチャ リージョン

アベイラビリティゾーン エッジ

ロケーション

ネットワークサーバー

セキュリティ

インベントリ・構成管理

お客様のアプリケーション・コンテンツお客様自身でクラウドをコントロール可能

AWSがクラウドのセキュリティを担当

データセキュリティ

アクセスコントロール

AWS責任共有モデル

Security “IN” the Cloud

Security “OF” the Cloud

7

8

セキュリティは大丈夫？（グローバルインフラ）

※2016/05時点詳細：http://aws.amazon.com/jp/about-aws/global-infrastructure/

8

9

セキュリティは大丈夫？（物理セキュリティ）• Amazonは数年間にわたり、大規模なデータセンターを構築

• 重要な特性:

– 場所の秘匿性

– 周囲の厳重なセキュリティ

– 物理アクセスの厳密なコントロール

– 2要素認証を2回以上で管理者がアクセス

• 完全管理された、必要性に基づくアクセス

• 全てのアクセスは記録され、監査対象となる

• 職務の分離

AWSコンプライアンス http://aws.amazon.com/jp/compliance/AWSのセキュリティとコンプライアンス http://www.slideshare.net/AmazonWebServicesJapan/aws-23722701

9

10

セキュリティは大丈夫？（ネットワーク）• Distributed Denial of Service (DDoS)対策:

• 効果的かつ標準的な緩和対策を実施

• 中間者攻撃対策:• 全エンドポイントは暗号化通信によって保護• 起動時に新しいEC2ホストキーを生成

• IPなりすまし対策:• ホストOSレベルで全て遮断

• 許可されていないポートスキャニング対策:• AWSサービス利用規約違反に該当• 検出され、停止され、ブロックされる• インバウンドのポートはデフォルトでブロックされているため、

事実上無効

• パケットの盗聴対策:• プロミスキャスモードは不許可• ハイパーバイザ―レベルで防御

AWSコンプライアンス http://aws.amazon.com/jp/compliance/AWSのセキュリティとコンプライアンス http://www.slideshare.net/AmazonWebServicesJapan/aws-23722701

10

11

セキュリティは大丈夫？（論理的セキュリティ）• ハイパーバイザー（ホストOS）

• AWS管理者の拠点ホストからの個別のログイン

• 全てのアクセスはロギングされ、監査されます

• ゲストOS（EC2インスタンス）

• お客様による完全なコントロール

• お客様が生成したいキーペアを使用

• Firewall機能の標準提供

• AWS標準機能としてInbound/Outboundに対するFirewall

• AWSのお客様の権限、責任で設定

AWSコンプライアンス http://aws.amazon.com/jp/compliance/AWSのセキュリティとコンプライアンス http://www.slideshare.net/AmazonWebServicesJapan/aws-23722701

11

12

セキュリティは大丈夫？（データセキュリティ）• データを配置する物理的なリージョンはお客様が指定

• AWSは、法令遵守等やむをえない場合を除き、お客様のデータを指定されたリージョンからお客様への通告なしに移動しない

• お客様のデータが 権限のない人々に流出しないようにするストレージ 廃棄プロセスを保持

• DoD 5220.22-M（米国国防総省方式）– 3回の書き込みでの消去を実施– 固定値→補数→乱数

• NIST 800-88（メディアサニタイズのための ガイドライン)– 情報処分に対する体制、運営やライフサイクルに関するガイドライン– 情報処分に対しする組織的に取り組み

• 上記の手順を用い ハードウェアデバイスが廃棄できない場合、デバイスは業界標準の慣行に従って、消磁するか、物理的に破壊する

AWSコンプライアンス http://aws.amazon.com/jp/compliance/AWSのセキュリティとコンプライアンス http://www.slideshare.net/AmazonWebServicesJapan/aws-23722701

12

13

セキュリティは大丈夫？（第三者認証）

多数の第三者認証の取得や、保証プログラムへの準拠をしています。

AWSコンプライアンス http://aws.amazon.com/jp/compliance/AWSのセキュリティとコンプライアンス http://www.slideshare.net/AmazonWebServicesJapan/aws-23722701

13

14

AWS 基本サービス

コンピュート ストレージ データベース ネットワーク

AWSグローバルインフラストラクチャ リージョン

アベイラビリティゾーン エッジ

ロケーション

ネットワークサーバー

セキュリティ

インベントリ・構成管理

お客様のアプリケーション・コンテンツお客様自身でクラウドをコントロール可能

AWSがクラウドのセキュリティを担当

データセキュリティ

アクセスコントロール

AWS責任共有モデル

Security “IN” the Cloud

Security “OF” the Cloud

14

15

お客様のセキュリティ統制において重要なAWSサービスAreas Key Services

データ保護

権限管理

インフラ保護

検知

Elastic LoadBalancing Amazon EBS Amazon S3 Amazon RDS

AWS Key Management

Service

MFA tokenIAM

Amazon VPC

CloudTrail AWS Config CloudWatch

AWS WAF

Inspector

15

16

セキュリティへのアプローチ

16

17

あらためてリスクとは・・・

蓋然性その事象が起こる可能性

影響度その事象による

正または負の変化度合い

17

18

脆弱性リスクを低減させるには・・・

蓋然性その事象が起こる可能性

影響度その事象による

正または負の変化度合い

脆弱性を孕みづらくする設計・実装・プロセス

事前準備・多層防御初動対応の迅速さ

18

19

脆弱性が公開されると・・・Amazon Linuxの場合

5/3に公開されたOpenSSLの脆弱性に即日対応

既存利用者に向けて必要な対応を明示

蓋然性 影響度

19

20

2014年ハイパーバイザーXen脆弱性のケース一部では「秋の再起動祭り」とも・・・

ハイパーバイザー「Xen」の脆弱性に関する情報が10月1日付で一般に公開

AWSはその情報に基づき、EC2のメンテナンスを目的とした再起動を行うと9月25日のブログ発表、該当ユーザーへメール通知

Xen Projectが定める手順に従って脆弱性情報が一部の組織を対象に限定公開される

同日、AWS Japanにおいて日本語翻訳ブログ公開

同日、AWSは予定通りに対応を済ませたと公に報告

http://www.rightscale.com/blog/cloud-industry-insights/xen-bug-drives-cloud-reboot-survey-shows-users-undeterred

本メンテナンスに対してAWSに不満を持ったユーザーは他クラウドサービスと比べて最も低い10%

AWS対応の時系列 AWS対応の結果

蓋然性 影響度

20

21

小さい、シンプル、高速

コード監査、セキュリティレビュー、性能、効率の向上

GitHubで公開

AWSサービスへ統合

Signal to Noise (s2n)AWSが提供するオープンソースのTLS実装

[AWS Solutions Architect ブログ] s2n: 新しいオープンソースTLS実装のご紹介

http://aws.typepad.com/sajp/2015/06/s2n.html

蓋然性 影響度

22

TLSに関連するAWSサービス

Web

L

o

g

NA

CloudFront

API Gateway

ACM

WebRDSELB

23

AWSサービスを使用する際にAWSが提供する証明書 Amazon Elastic Load Balancing

• 2016年5月現在、以下のリージョンで利用可能*• Asia Pacific (Tokyo), Asia Pacific (Seoul), Asia Pacific (Singapore), Asia Pacific (Sydney), US East (N.Virginia),

US West (N. California), US West (Oregon), EU (Ireland), EU (Frankfurt), South America (Sao Paulo)

Amazon CloudFront• 全てのリージョンで利用可能

証明書のマネージドサービス SSL/TLS 証明書の購入、アップロード、更新の自動化

ドメイン認証のみ(2016年5月時点)

AWS Certificate Manager (ACM)

* AWS Certificate Manager now available in more regions (May 16,2016)https://aws.amazon.com/jp/about-aws/whats-new/2016/05/aws-certificate-manager-now-available-in-more-regions/

24

Web

L

o

g

NA

CloudFront

API Gateway

ACM

WebRDSELB

ACMの証明書利用者がTLSの設定を意識するAWSサービスの例

25

以下のサービスではユーザー自身で証明書を配備することも可能(Bring Your Own Certificate)

Amazon Elastic Load Balancing Amazon CloudFront Amazon API Gateway

TLSはデータ転送や設定変更を行う全てのAWS APIで使用可能

AWSサービスにおけるTLSについて

26

Web

L

o

g

NA

CloudFront

API Gateway

ACM

WebRDSELB

独自証明書利用者がTLSの設定を意識するAWSサービスの例

27

その他、APIアクセス・各種サービスの

エンドポイントは当然ながらTLS対応

28

Amazon Elastic Load Balancing (ELB)

• 特徴 (http://aws.amazon.com/jp/elasticloadbalancing/)

– クラウド内の複数のAmazon EC2インスタンスに負荷分散

– 複数のアベイラビリティゾーンに跨って、高レベルの耐障害性を実現

– ELB自体が自動的にキャパシティを増減

– L4(TCP,SSL/TLS),L7(HTTP,HTTPS)サポート

• 価格体系 (http://aws.amazon.com/jp/elasticloadbalancing/pricing/)

– ELBの起動時間

– ELBのデータ転送量

クラウドネットワークのロードバランサー

アベイラビリティゾーン a

ユーザー

アベイラビリティゾーン b

ELB

EC2 EC2

myLB-xxx.elb.amazonaws.com

29

Amazon CloudFront

• 特徴 (http://aws.amazon.com/jp/cloudfront/)

– 簡単にサイトの高速化が実現できると共に、サーバの負荷も軽減

– 様々な規模のアクセスを処理することが可能

– 世界53箇所のエッジロケーション

• 価格体系 (http://aws.amazon.com/jp/cloudfront/pricing/)

– データ転送量(OUT)

– HTTP/HTTPSリクエスト数

– (利用する場合)SSL/TLS独自証明書 or ACM

マネージドCDN(Contents Delivery Network)サービス

クライアント

レスポンス向上 負荷軽減

Amazon

CloudFront

キャッシュ

配信 オフロード

Webサーバ

30

Amazon API Gateway

• 特徴 (http://aws.amazon.com/jp/lambda/)

– OS、キャパシティ等インフラの管理不要

– バックエンドとしてLambda、既存Webシステムを利用可能(SSL/TLSで通信暗号化)

– スロットリング/キャッシュ

• 価格体系 (http://aws.amazon.com/jp/lambda/pricing/)

– 呼び出し回数とキャッシュ容量

– 100万回の呼び出しにつき$3.5

– キャッシュ容量に応じて$0.02/時〜$3.8/時

Web APIの作成・保護・運用と公開を簡単に

Mobile Apps

Websites

Services

API

Gateway

AWS Lambda

functions

AWS

API Gateway

Cache

Endpoints on

Amazon EC2 /

Amazon Elastic

Beanstalk

Any other publicly

accessible endpoint

Amazon

CloudWatch

Monitoring

31

•AWS Securityページ•http://aws.amazon.com/jp/security

•AWS Complianceページ•http://aws.amazon.com/jp/compliance

セキュリティ・コンプライアンス情報

31

32

法令遵守し続けること(PCI DSSなど)

危殆化し続けるITシステムに対応すること

顧客親密度に関わるレピュテーションリスクを管理すること

Security “BY” the Cloud

さいごに・・・

33 33