絶品ゆどうふのタレ

ふと気づいたことを綴るだけのメモ

AWS Summit 2015 - Day2 - AWS セキュアデザイン(IAM) Deep Dive

  • AWS 瀧澤さん

AWSのセキュリティ

  • AWSのセキュリティ方針

    • 最優先されるべき事項
    • 専門部隊を作り、継続的な投資
  • 責任共有モデル

    • AWSと利用者の2者で確保
    • AWSクラウド基盤部分をAWSが担当
    • その上につくるシステム・コンテンツ・ネットワーク設定を顧客が担当
  • 主要な規制・標準・ベストプラクティスに準拠

  • 第三者の監査機関によるチェック

  • 監査のやり方を変えて欲しい、というのがAWSからのお願い

    • 仮想化されてデータの物理的な場所、という考えがなくなっている
  • 金融機関向けにFISCへのAWS準拠状況を調査した資料を公開している

  • ホワイトペーパーでAWSの統制を確認可能

  • AWSを活用する際の監査のポイント

    • OS以上の部分は既存と同様に対応
    • データの所有権・統制権は顧客側にある
      • 重要なデータに対する暗号化と鍵管理
  • AWSのセキュリティツール・機能の提供

    • ネットワークセキュリティ
      • Security Group etc...
      • S3のVPCエンドポイント
    • サーバ(OS)セキュリティ
    • データセキュリティ
      • データの分類(機密度・漏洩した時の損害額)
      • 暗号化
      • 暗号鍵の管理
      • データの削除
      • データの暗号ソリューション
        • Cloud HSM
        • Key Management Service
        • 暗号済みの管理
        • AWS内で鍵を管理
      • KMSのセキュリティ
      • Nasdaqの例
        • オンプレミスにHSMを構築し、鍵を管理
        • S3城のデータを暗号化
        • EMR利用時のみ復号化
        • 万が一AWSから流出があったとしても、暗号化されたデータしかない
    • アクセスコントロール
      • 誰が、いつ、何のために、何を、という観点でアクセス制御
      • MFAデバイス
      • AD連携も可能

IAM

  • マネジメントコンソール
  • コマンドライン
  • SDK
  • 他のAWSサービスから

  • IAMをサポートするサービス

    • AWS Support API以外のアクションレベルの権限をサポート
    • リソースレベルの権限、タグベースのアクセス権限もサポート
    • 一時的なセキュリティ認証のサポート

IAM top10ベストプラクティス

  1. AWSアカウントのアクセスキーロック
    • マスターのアカウントのアクセスキーは削除
    • 流出時のリスクが大きい
  2. 個々にIAMユーザを作成
  3. 特権ユーザにはMFA
    • ルートアカウントはMFAで保護し、通常利用しない
    • ハードウェアのMFAを使う場合は2つ以上用意しておくと安全
  4. 個別のIAMユーザーを作成し、IAMグループで管理
    • 権限はグループに付与して管理する
  5. 強度の高いパスワード
    • パスワードポリシーの設定
  6. 最小限の特権
  7. ポリシー条件を使いこなす

大きな組織でマネジメントコンソールのアカウント管理を効率化するには?

  • Active Directory連携

    • IAMのSAML連携、ADFSの使用
    • ADのグループとIAMロールを対応付け
    • ADFSログインページはプライベート側に作ることができる
  • 要求規則の編集

    • 特定のプレフィックスを決めたりして、対応するRole同士でマッピングする
  • EC2上にAD/ADFSを建ててもいい

  • AD連携のいいところ

    • アカウント管理が統合され、リスクが低減する
    • 人のでいりなどが一元管理が可能

EC2にはIAMロールを利用

  • EC2内でクレデンシャルを取得するのに便利
  • IAMユーザーがリソースを作成・変更する権限を付与

新機能

  • IAM Policy Validator
    • 保存前にポリシーの検証
  • IAM Policy Simulator
    • Run Simulateすると、対象の操作が可能かどうかをチェックできる

監査

  • 何を見るべきか

    • IAM認証情報レポート
    • アクセスキーのローテーション
    • AWS CloudTrail
    • AWS Config
    • CloudWatch, Logs
    • 各サービスのログ
    • OS, アプリケーションログ
  • IAM 認証情報レポート

    • 認証情報ライフサイクルの要件結果を確認可能
    • データの重要度などに合わせて
  • パスワードのローテーション
  • 認証情報のローテーション
  • アクセスキーのローテーション

    • キーをもう一つ作って、各アプリケーションで切り替え
    • 終わって、Last Usedを確認しながらInactive / 削除
  • AWS環境の操作ログの取得

    • CloudTrailの有効化
  • AWS Trusted Advisorによる確認

    • AWS Supportを契約している場合

まとめ

  • 最もセキュリティに厳しい組織向けに構築された環境を利用可能
  • AWS上では1800以上のコントロールを管理
  • お客様でデータと権限のコントロールを