AWS Summit 2015 - Day2 - AWS セキュアデザイン(IAM) Deep Dive
- AWS 瀧澤さん
AWSのセキュリティ
AWSのセキュリティ方針
- 最優先されるべき事項
- 専門部隊を作り、継続的な投資
責任共有モデル
主要な規制・標準・ベストプラクティスに準拠
第三者の監査機関によるチェック
監査のやり方を変えて欲しい、というのがAWSからのお願い
- 仮想化されてデータの物理的な場所、という考えがなくなっている
金融機関向けにFISCへのAWS準拠状況を調査した資料を公開している
ホワイトペーパーでAWSの統制を確認可能
AWSを活用する際の監査のポイント
- OS以上の部分は既存と同様に対応
- データの所有権・統制権は顧客側にある
- 重要なデータに対する暗号化と鍵管理
-
- ネットワークセキュリティ
- Security Group etc...
- S3のVPCエンドポイント
- サーバ(OS)セキュリティ
- データセキュリティ
- アクセスコントロール
- 誰が、いつ、何のために、何を、という観点でアクセス制御
- MFAデバイス
- AD連携も可能
- ネットワークセキュリティ
IAM
IAM top10ベストプラクティス
- AWSアカウントのアクセスキーロック
- マスターのアカウントのアクセスキーは削除
- 流出時のリスクが大きい
- 個々にIAMユーザを作成
- 特権ユーザにはMFA
- ルートアカウントはMFAで保護し、通常利用しない
- ハードウェアのMFAを使う場合は2つ以上用意しておくと安全
- 個別のIAMユーザーを作成し、IAMグループで管理
- 権限はグループに付与して管理する
- 強度の高いパスワード
- パスワードポリシーの設定
- 最小限の特権
- ポリシー条件を使いこなす
大きな組織でマネジメントコンソールのアカウント管理を効率化するには?
-
- IAMのSAML連携、ADFSの使用
- ADのグループとIAMロールを対応付け
- ADFSログインページはプライベート側に作ることができる
要求規則の編集
- 特定のプレフィックスを決めたりして、対応するRole同士でマッピングする
EC2上にAD/ADFSを建ててもいい
AD連携のいいところ
- アカウント管理が統合され、リスクが低減する
- 人のでいりなどが一元管理が可能
EC2にはIAMロールを利用
- EC2内でクレデンシャルを取得するのに便利
- IAMユーザーがリソースを作成・変更する権限を付与
新機能
- IAM Policy Validator
- 保存前にポリシーの検証
- IAM Policy Simulator
- Run Simulateすると、対象の操作が可能かどうかをチェックできる
監査
何を見るべきか
IAM 認証情報レポート
- 認証情報ライフサイクルの要件結果を確認可能
- データの重要度などに合わせて
- パスワードのローテーション
- 認証情報のローテーション
アクセスキーのローテーション
- キーをもう一つ作って、各アプリケーションで切り替え
- 終わって、Last Usedを確認しながらInactive / 削除
AWS環境の操作ログの取得
- CloudTrailの有効化
AWS Trusted Advisorによる確認
- AWS Supportを契約している場合
まとめ
- 最もセキュリティに厳しい組織向けに構築された環境を利用可能
- AWS上では1800以上のコントロールを管理
- お客様でデータと権限のコントロールを