- AWSクラウドのセキュリティ・コンプライアンス
- AWSにおいて最優先事項
- セキュリティ・コンプライアンスに対する継続的な投資
- 専門部隊の設置
-
責任共有モデルの採用
- AWSと利用者の2者で確保
- お客様自身でクラウドをコントロール可能
- AWSがクラウドのセキュリティを担当
-
AWSは主要な規制・標準・ベストプラクティスに準拠
-
金融機関向けAWS対応セキュリティリファレンスを開催
-
ホワイトペーパーでAWSの統制を確認可能
- AWSのセキュリティツール・機能
- 700以上のセキュリティサービス
- 既存の環境で実施していたことと同じコントロールが出来る
- S3のVPCエンドポイント
- VPCエンドポイントをVPCに設定して、プライベートサブネットからS3サブネットにアクセスできる
-
AWSマーケットプレイスで提供するセキュリティツール
- 3rdパーティのものを利用可能
-
Nasdaqデータ分析基盤の暗号化
- オンプレにHSMを構築
- 暗号鍵をHSMで管理
- S3上のデータの暗号化
- EMR利用時のみ復号化
-
アクセスコントロール
- 半年・1年経つといない人のアカウントが大量に残る
- これは非常によくない
- 2FAも重要
- 半年・1年経つといない人のアカウントが大量に残る
- 利用経路
- AWSマネジメントコンソール
- コマンドライン、PowerShell
- SDK
- その他AWSサービスから
- IAM Top10ベストプラクティス
- (1)AWSアカウントのアクセスキーをロック
- (2)個々にIAMユーザを作成
- (3)特権ユーザにはMFA
- (4)強度の高いパスワード
- (5)最小限の特権
- (6)EC2で動作するアプリにはIAMロール
- (7)ポリシー条件を使いこなす
- (8)ローテーション
- (9)アカウント履歴の監査
- (10)不要な認証情報の削除
- (1)AWSアカウントのアクセスキーをロック
- Last Usedをチェック
- できるだけ使用しない
- 理由
- すべてのリソースにアクセス可能
- 流出した際のリスクがでかい
- (2)個々にIAMユーザを作成
- IAMユーザは貸し借りしない
- (3)MFAによる高い権限を持つアカウントの保護
- ハードウェアのMFAを使うときは、2つ以上用意しておくのが安全
- IAMグループに対して権限を付ける
- ユーザーにつけるより勝手が良い
- (4)強度の強いパスワードの利用を行う
- 大規模な組織でマネジメントコンソールのアカウント管理を効率化するには
- ActiveDirectoryの連携
- IAMのSAML連携、ADFSの利用
- 既存のActiveDirectoryのユーザを利用
- ADのグループとIAMロールを対応付け
- ActiveDirectoryの連携
- (6)EC2にはIAMロールの利用
- (7)IAMポリシーを使いこなす
- IAMユーザーがリソースを作成、変更、タスク実行できるようにするにはIAMポリシーを利用
- IAMポリシーのアクセス条件の記述
- Effect
- Action
- Resource
- Condition
- (9)アカウント履歴の監査
-
IAM認証情報レポート
- CSV形式でダウンロード可能
- パスワード・アクセウキーのローテンションなど、認証情報来サイクルの要件の結果を監査可能
- 期間:1週間・1ヶ月などシステム・ユーザの規模に応じてセットしてあげれば良い
-
アクセスキーのローテーション
- AWS Trusted Advisorによる確認