SAA学習-セキュリティと運用-セキュリティの確保
今回のテーマ:セキュリティの確保
主要サービスの公式資料
AWS CloudTrail: docs.aws.amazon.com
Amazon CloudWatch: docs.aws.amazon.com
Amazon GuardDuty: docs.aws.amazon.com
Amazon Inspector: docs.aws.amazon.com
AWS WAF: docs.aws.amazon.com
AWS Shield: docs.aws.amazon.com
AWS リソースの アクセス管理: docs.aws.amazon.com
AWS Security Hub: docs.aws.amazon.com
AWS CloudHSM: docs.aws.amazon.com
5つの設計原則と11のベストプラクティス
5つの設計原則と11のベストプラクティスよりセキュリティの確保のスコープの概略図は以下のようになります。
Well-Architected FrameworkのSecurity
Well-Architected FrameworkのSecurityはAWS内のデータ/システム/アセットを保護し、モニタリングによりセキュリティを高めます。
設計事項としては以下の項目が挙げられます。
- すべてのレイヤーでセキュリティを適用
- アクセス追跡/モニタリングの確実な実施
- 条件ドリブンのアラートをトリガーとし、セキュリティイベントへの応答を自動化
- AWS責任共有モデルに基づく対象範囲の保護に集中
- セキュリティのベストプラクティスの自動化
- ソフトウェアベースのセキュリティ設定を使用し、迅速でコスト効率のよいスケーリングを安全に実行
- 仮想サーバーのカスタムベースラインイメージによる新サーバーへの適用自動化
- インフラストラクチャ全体のテンプレート化による管理
責任共有モデル
セキュリティに対しAWSとユーザーで責任分解し対応する責任共有モデルとなります。
ユーザー側の責任範囲とAWS側の責任範囲は以下のようになります。
公式サイトの資料:
なお、ユーザーが利用するAWSサービスの項目は以下のものが挙げられます。
- IAMによるアカウント管理
- セキュリティグループの設定
- アプリケーションのロールベースのアクセス設定
- ネットワーク/インスタンスオペレーション/バッチなどの設定
- OS/ホストベースのファイアーウォール設置
AWSのセキュリティの観点
AWSでのセキュリティの観点は、以下のものが挙げられます。
- データ保護
- 権限管理
- インフラ保護
- 検出制御
また、セキュリティの観点とAWSで使用できるサービスの関係図は以下のようになります。
データ保護
データ保護の項目として以下のものが挙げられます。
- 暗号化
- S3の暗号化
- RDSの暗号化
データ保護:暗号化
KMSは、多くのDBサービスと統合されており暗号化を容易に実施できます。
KMSを活用できるAWSサービスは以下のものが挙げられます。
- EBS
- RedShift
- RDS
- Elastic Transcoder
- S3
- WorkMail
- EMR
KMSより堅牢な対応として、CloudHSMを活用し、不正使用防止策がとられている専用HWモジュールによる暗号化キーを保護するサービスを活用します。(専用HWモジュールの略称:HSM)
データ保護:S3の暗号化
S3は、データ保護のためAWS認証情報によるアクセス制御と暗号化を実施します。
S3の暗号化方式と特徴は以下のようになります。
| 暗号化方式 | 特徴 |
|---|---|
| サーバーサイド暗号化 | ・AWSのサーバーリソースを利用し格納データを暗号化 ・暗号化タイプ:SSE-S3/SSE-KMS/SSE-C |
| クライアントサイド暗号化 | ・暗号化プロセスをユーザー側で管理 ・暗号化タイプ:AWS KMSで管理されたカスタマーキーで暗号化/クライアントで管理するマスターキーで暗号化 |
データ保護:RDSの暗号化
RDSは、セキュリティグループの制御、データ接続の暗号化およびリソースの暗号化を実施します。
RDSのセキュリティの実施概要については以下のようになります。
| 項目 | 実施概要 |
|---|---|
| セキュリティグループ | ・DBのSGでDBインスタンスへのアクセス制御 ・VPCのSGでVPC内のインスタンスへのアクセス制御 ・EC2のSGでEC2インスタンスへのアクセス制御 |
| データ接続の暗号化 | ・SSL/TLSを用いてアプリケーションとDBインスタンスのデータ接続を暗号化 |
| リソースの暗号化 | ・暗号化オプションにより保管データを暗号化 |
権限管理
権限管理の項目でAWSで実施するサービスなどは以下のものが挙げられます。
権限管理:AWS Directory Service
AWS Directory Serviceは、ユーザーに関わる各種情報を保管しユーザー認証を実現する仕組みとなります。
管理する情報と実現する機能について以下のものがあります。
管理するユーザー情報
- ID
- ユーザー名
- 妙名氏名
- 部署
- グループ
- 担当
- 電話番号
- メールアドレス
- パスワード
実現する機能
- IDとアクセス管理
- 運用上の向上
- コンプライアンスの向上
- セキュリティの強化など
アプリのアクセス制御
- ファイル共有
- パッチ管理など
また、AWS Directory Serviceを使用する際、AWSに新規ディレクトリを作成するか既存のActive Directory認証を利用した制御を利用するか2つの認証方式があります。
- Simple AD:AWSに新規ディレクトリサービスを作成
- AD Connect:既存のディレクトリサービスをAWSに接続
権限管理:Security Token Service(略称:STS)
STSは、限定的で一時的なセキュリティ認証情報を提供するサービスとなります。
フローとしては以下のようになります。
権限管理:Amazon Cognito
Amazon Cognitoは、シンプルでセキュアなユーザーのサインアップ、サインインおよびアクセスコントロールをアプリケーションへ実装するサービスになります。
例:FacebookのSNS認証など
インフラ保護
インフラ保護の観点としてネットワーク制御となり、観点は以下のものが挙げられます。
- サブネットの分割
- VPCアクセス制御
インフラ保護:サブネットの分割
サブネットは、インターネットアクセス範囲を定義するため利用します。利用するサブネットは、プライベートサブネットを活用し、インターネットから隔離することでセキュリティを高める対応を行います。
インフラ保護:VPCアクセス制御
VPCは、セキュリティグループとネットワークACLで制御します。
検出制御
検出制御は、監視やモニタリングを継続的に実施し、セキュリティを高めます。
AWSサービスと概要については以下ものがあります。
| AWSサービス | 概要 |
|---|---|
| CloudTrail | AWSユーザーの行動ログを取得し、ガバナンス、コンプライアンスおよび運用とリスク監視を行えるように支援するサービス |
| CloudWatch | AWSリソースとAWSで実行するアプリケーションに対し、さまざまなメトリクスやログを収集/追跡するモニタリングサービス |
| AWS GuardDuty | AWS上で悪意のある操作や不正な動作を継続的にモニタリングする脅威検出サービス |
| AWS Inspector | 自動的にアプリケーションを検証し、その露出、脆弱性およびベストプラクティスから逸脱状況を確認後、セキュリティ評価を実施するサービス |
| AWS WAF | 可用性、セキュリティ侵害、リソースの過剰消費といった一般的なWebの脆弱性からWebアプリケーションまたはAPIを保護するWebアプリケーションファイアーウォール CloudFrontと連携されるサービス |
| AWS Shield | マネージド型の分散サービス妨害(略称:DDoS)に対する保護サービス AWS Shieldにはスタンダートとアドバンスの2つの階層がありサポート範囲が異なる |
| IAM Access Analyzer | 外部エンティティと共有されているAmazon S3バケットやIAMロールなど組織とアカウントのリソースを識別し、セキュリティ上でリスクであるリソースとデータへの意図しないアクセスを特定 |
| AWS Security Hub | セキュリティアラートを一元的に表示と管理し、コンプライアンスチェックを自動化 監査結果から修正すべき設定の数と現在のセキュリティ状態を把握可能 |
cf)AWS WAFとAWS ShieldをセットでDDos攻撃対策を実施します。
今回のテーマは以上です。
