アーキテクト視点によるwindows azure platformのセキュリティー
TRANSCRIPT
アーキテクト視点によるWindows Azure Platform の
セキュリティー
[Tech Fielders セミナー 東京 ] クラウド プラットフォーム 最新情報 - 間もなくリリースされる新機能を徹底解説 -
コンプレックスネットワークテクノロジー
@kimtea荒浪一城
自己紹介• 荒浪一城(アラナミカズキ)– 本名よりも、 @kimtea の方が有名– http://d.hatena.ne.jp/kazuki-aranami/
• 静岡県島田市出身(静岡空港があるところ)• 1983 年 11 月生まれ• コンプレックスネットワークテクノロジー– 個人事業主– http://complex-network-technology.jp/
• Java や OSS の世界の住人
アジェンダ• なぜセキュリティーを意識したのか?• グローバル・ファウンデーション・サービス• Windows Azure Platform のセキュリティー• クラウドを悪用した攻撃( Amazon EC2 の
例)• クラウドとしてのセキュリティー
なぜセキュリティーを意識したのか?
• セキュリティーインシデントの発生– 不正アクセスによるクレジットカード情報な
どのセンシティブデータの漏洩ニュース– セキュリティーパッチ未適用など– Zero-Day アタック– 計画的なメンテナンスの考え「予防保全」– マンションは管理を買え?
Global Foundation Servicesグローバル・ファウンデーション・サービス
• マイクロソフトの Windows Azure Platformを含むオンライン・オペレーティング環境は、 Global Foundation Services (グローバル・ファウンデーション・サービス)により管理される
• 米国政府により義務づけられた、業界のベスト・プラクティスである数々のセキュリティー管理基準を満たす必要がある
• http://www.globalfoundationservices.com/
マイクロソフト オンラインサービス 統制モジュール
グローバル・ファウンデーション・サービス リソース
• Information Security Management System for Microsoft Cloud Infrastructure (英語)– http://www.globalfoundationservices.com/security/documents/InformationSecurityMangSysforMSCloudInfrastructure.pdf
• マイクロソフトのクラウド インフラストラクチャのセキュリティ保護– http://www.microsoft.com/downloads/details.aspx?FamilyID=3de2d4d1-e668-4d82-852b-5fa2645aa8df&displayLang=ja
• Windows Azure セキュリティ概要– http://download.microsoft.com/download/E/9/1/E91ADDD8-6E37-4E7B-84B8-77AFE27E5DB2/WindowsAzureSecurityOverview_20100922.pdf
• Windows Azure アプリケーション開発におけるセキュリティのベスト プラクティス– http://download.microsoft.com/download/2/E/7/2E7D98A8-2B3E-4936-B09C-7BF3956177F5/SecurityBestPracticesWindowsAzureApps_20100624.pdf
• Microsoft Online Services のコンプライアンス フレームワーク– http://www.microsoft.com/downloads/details.aspx?FamilyID=2eab4e01-64bb-4b70-a711-572e634a0387&displaylang=ja
• Securing Microsoft's Cloud Infrastructure– http://www.globalfoundationservices.com/security/documents/SecuringtheMSCloudMay09.pdf
• Windows Azure に関する FAQ –- 各種資料 -- Windows Azure Platform データ センターにおける Windows Azure に関する FAQ– http://www.microsoft.com/japan/windowsazure/faq/
• マイクロソフトのパブリック クラウドにおけるセキュリティ / コンプライアンス « S/N Ratio (by SATO Naoki)– http://satonaoki.wordpress.com/2010/12/17/%E3%83%9E%E3%82%A4%E3%82%AF%E3%83%AD%E3%82%BD%E3%83%95%E3%83%88
%E3%81%AE%E3%83%91%E3%83%96%E3%83%AA%E3%83%83%E3%82%AF-%E3%82%AF%E3%83%A9%E3%82%A6%E3%83%89%E3%81%AB%E3%81%8A%E3%81%91%E3%82%8B%E3%82%BB/
Windows Azure Platform のセキュリティー
• Windows Azure Platform は、業界のどのような監査認定およびセキュリティ認定を取得していますか。特に SAS70 、 ISO 27001 、 PCI に関してどのような位置付けですか。– 商用サービスの開始時点では、 Windows Azure は監査認定や
セキュリティ認定を特に取得していません。– 近い将来、 ISO27001 などの重要な認定を申請する予定です。– Windows Azure Platform および Windows Azure は、セキュリ
ティ開発ライフ サイクル (SDL) プロセスに含まれる厳密なセキュリティ慣例を適用しています。 SDL により、開発プロセスの初期段階からプロセス全体を通じて、セキュリティとプライバシーが導入されます。
• Windows Azure に関する FAQ –- 各種資料 -- Windows Azure Platform データ センターにおける Windows Azure に関する FAQ• http://www.microsoft.com/japan/windowsazure/faq/
クラウドを悪用した攻撃( Amazon EC2 の例)
• Amazon EC2 からの攻撃種類割合• (東京 SOC 調べ: 2010 年 1 月 1 日~ 2011 年 1 月 31 日)• https://www-950.ibm.com/blogs/tokyo-soc/entry/cloud-attack_20110216?lang=ja
Gumblar 8080 系、覚えてますか?
• Adobe Acrobat/ Reader への Zero-Day アタック– 普及率が非常に高いものが狙われやすい– 例: CMS では WordPress など
• ある日、突然やってくるもの?– 日常的な情報収集– 日常的なソフトウェアのアップデートとパッチの適用
• 自らの日頃の行いがバレる– 普通の PC に、セキュリティー対策のコストはかから
ない。必要なものは、危機意識と自己管理能力– パソコンの中を見れば、その人の人格がわかる
クラウドとしてのセキュリティー
• Windows Azure Platform は、基本的にクラウドOS ことゲスト OS であるため、一般的に保守・管理はマイクロソフトにおまかせ
• VM Role の OS は、自己責任による管理のため、自ら「予防保全」で対処しなければならない
• 配備する ASP.NET アプリケーションへの対策• クラウドだからと言って、セキュリティー対策
はラクになるわけではないし、変わらない
まとめ• Windows Azure Platform は、 GFS という組織横断的な部門によって管理されている
• 商用サービス開始時点で、何ら認定は受けておらず、将来的に各種認定を受ける
• クラウドを悪用した攻撃は可能• 被害者や加害者にもならないためには、
日頃の行いが重要