狠狠撸

狠狠撸Share a Scribd company logo

セキュリティを捉えてクラウドを使うためのポイント

?
?
Yasuhiro Araki, Ph.D
Yasuhiro Araki, Ph.D

础奥厂を题材に

1 of 33
Download to read offline
セキュリティを捉えてクラウドを使うため のポイント 荒木靖宏 アマゾンデータサービスジャパン ソリューションアーキテクト Twitter: @ar1
おことわり 本発表はAmazon Web Services(AWS)の宣伝を意図したも のではありません。 ただし、本発表のテーマをお話しする上で出典を明らかにすること で、理解が深まると考え、AWSにおけるサービスを明示して解説 します。
クラウドのポジション 技術の親和性 アプリ アプリ アプリケーショ ケーショ ケーショ アプリケーション ン ン ン SaaS ??????? ??????? ??????? PaaS 仮想 OS 仮想OS OS ?????? ?????? 既存社内環境 / IaaS PaaS / SaaS データセンター 従量制課金と拡張性
責任共有モデル http://star.ap.teacup.com/kazponpo/33.html
本日のAgenda 責任共有モデル セキュリティ設計と認証 物理的セキュリティ データのバックアップ アカウント管理 バーチャルマシンのセキュリティ ネットワークセキュリティ
責任共有モデル(Shared Responsibility Model) 責任共有モデルで、高い柔軟性と高いセキュリティ を効率よく達成する ? クラウド事業者は、セキュアなリソース(ミドルウェア、ホス トOS、仮想レイヤー、物理環境)を責任をもって提供する ? お客様は、ゲストOS、ミドルウェア、アプリケーションを責 任もって管理する
滨补补厂(础奥厂)の责任共有モデル Customer 1 Customer 2 … Customer n 顧客が管理 Hypervisor Virtual Interfaces Customer 1 Security Groups Customer 2 Security Groups … Customer n Security Groups Firewall AWSが管理 Physical Interfaces
笔补补厂での责任共有モデル Customer 1 Customer 2 … Customer n Business Logic 顧客が管理 Hypervisor Virtual Interfaces Customer 1 Security Groups Customer 2 Security Groups … Customer n Security Groups Firewall 事業者が管理 Physical Interfaces
顧客は「何に使うのか」を SaaSでの責任共有モデル 管理する Service 1 Service 2 … Service n Business Logic Hypervisor Virtual Interfaces Customer 1 Security Groups Customer 2 Security Groups … Customer n Security Groups Firewall 事業者が管理 Physical Interfaces
クラウド事业者の责任/努力
AWSのセキュリティデザイン&認証 セキュリティのベストプラクティス適用 ? 設計レビュー、脅威モデリング、リスク査定、静的コード分析、侵 入テスト 認証 ? SAS70 Type II ? ISO 27001 ? PCI DSS Provider Level 1 ? FISMA-Low level AWSを使ったお客様による取得実績 ? 医療用認証HIPAA ? ASP?SaaS安全?信頼性に係る情報開示認定制度
物理的セキュリティ Amazonは世界最大級のEコマースをセキュアに運営してき ており、そのノウハウをAmazonクラウドに利用 厳格に管理された拠点 ? 侵入検出システム、監視カメラ ? 物理的アクセスを厳格に管理 ? 多重認証を最低2回以上実施 従業員のアクセスレベルの管理 ? 必要に応じたときだけ最低限の権利を与える (least privilege) 全てのアクセスのログがとられ、 レビューされる
データのバックアップ Amazon S3、Amazon SimpleDBのデータは複数の物理拠 点に冗長的に保存される ? DHT技術 ? Amazon S3、Amazon SimpleDBは、自動的に、複数の物理拠点 (複数のAZ)で、冗長的にバックアップをとる ? 99.999999999%(11桁)の耐久性を提供 EBSは個別アベイラビリティーゾーンに限って冗長的に保存 される ? 適宜、EBSのスナップショットをとる(S3上) 既存のバックアップと同じ考えだが、より高い利便性、可用 性、スループット
ストレージの破棄 データ消去基準 ? DoD 5220.22-M (“National Industrial Security Program Operating Manual”) ? NIST 800-88 (“Guidelines for Media Sanitization”) 物理的に故障した場合は、消磁および破壊
障害分离のための、物理的な分散 US East Region (N. VA) EU Region (IRE) AZの中も複数の Availability Availability 物理拠点が Zone A Zone B Availability Availability 使用されている Zone A Zone B Availability Zone C US West Region APAC Region APAC Region (N. CA) (Singapore) (Tokyo) Availability Availability Availability Availability Availability Availability Zone A Zone B Zone A Zone B Zone A Zone B 必要に応じて、顧客側で冗長構成可能
アカウントのセキュリティ 多要素認証デバイス オプション アカウントのキーローテー ション 複数のキーペア、認証をサ ポート
IAM – AWS Identity and Access Management アカウント内に、複数ユーザー、グ ループを作成し、適切なアクセス管 理が可能 個別ユーザーが下記のセキュリティ 要素をもてる ? アクセスキー ? ログイン/パスワード ? MFAデバイスオプション 個別ユーザー、グループ毎にポリ シーステートメントを作成 ? リソース、APIへのアクセスを適切に 制限
Amazon EC2のセキュリティ ゲストOS ? 顧客がルートレベルで管理する ? AWSのアドミニストレーターでもログインできない ? ユーザーが独自にキーペアを作成可能 ホストOS ? 全てのアクセスのログを取得し、監査する ? 必要なときにだけ最低限のレベルでAWS管理者にアクセス権を与え る ? ホストOSへのアクセスは必ずSSHが使われる Statefull Firewall ? デフォルトで全てのインバウンドをはじく ? 顧客が必要なポートだけを空ける 暗号化されたAPIコール ? X.509 証明書もしくは、AWSアカウントのキーペアが必要
仮想メモリとローカルディスク ? Amazonのディスク管理システムは、他のインスタンスの仮想メ モリ&ディスクを読めないようにしている(特許技術) ? もちろん、顧客は独自に、データを暗号化することも可能 Amazon EC2 Instances Encrypted File System Amazon EC2 Instance Encrypted Swap File
Amazon EC2 インスタンスの分離 Customer 1 Customer 2 … Customer n Hypervisor Virtual Interfaces Customer 1 Security Groups Customer 2 Security Groups … Customer n Security Groups Firewall Physical Interfaces
ネットワークの分離 ? インバウンドは、セキュリティグループで、使用するプロトコル/ ポートレベルを明確に指定 ? Iptablesを使ってさらに、インバウンド/アウトバウンドのユーザー独 自の管理が可能 Inbound Traffic Amazon EC2 セキュリティグループ Instances iptables Encrypted File System Amazon EC2 Instance Encrypted Swap File
DDOSとその対策 AWSではDDOSの検出と対応をする専任のスタッフを持つ 各拠点に複数のアクセスポイントを持つ 発信元にならないようにする ? EC2ではホストのファイヤウォールで送信元IPアドレスの偽装が不可 能 カスタマは、IDS/IPSを動作させることができる ? セキュリティグループによる分離 ? Snort:オープンソースで人気のある実装 ? 商用(SourceFire, Trend Micro, Symantecなど)もあり
ネットワーク上の脅威に対する対策 MITM ? AWS APIは全てSSL保護 ? EC2へはSSH接続 ポートスキャニング ? セキュリティグループによりデフォルトで全てのポートは閉じられて いる ? 検出された場合、EC2を停止させる ? 許可のないポートスキャンは利用ポリシーに反する パケットスニッフィング ? ハイパーバイザのレベルで禁止 ? プロミスキャスモード(無差別受信)でも、異なるインスタンスの通信 傍受はできない ? 物理的に同一ホストの同一顧客にインスタンスが存在しても、互い のトラフィックは傍受できない ? もちろん、一般的に、重要なトラフィックは暗号化すべき
セキュリティは、AWSにおいて最重要項目 エグゼクティブのコミット ? 半年に一度の戦略改定 従業員へのガバナンス ? ハイアリングプロセス、セキュリティガイド、教育 セキュリティデザインに長年の経験 ? Amazon.comで培った物理データセンター、ハードウェア、ネットワー クの知識を適用 ? 顧客の要望に応え、さらに改善を継続 SAS-70 Type II、 ISO 27001、PCI DSS Provider Level1取得 高いセキュリティという市場の評判 ? AWSを調査したお客様はセキュリティの高さに驚かれる ? お客様がAWSを適用することで、セキュリティを向上するケースも多 い
クラウドをつかってセキュアにサービス構築す るために 共有責任を理解する ? プロバイダは自分にできる範囲を定義している ? 自分ができる範囲に注力する セキュリティ面での構築技術はこなれてきている ? 考えは多々あるがオープンソースによるコモディティ化が進展 運用 ? 「どのように」「継続して」日々運用するか
Question?
backup
AWS Cloud Security Model Overview Shared Responsibility Model Certifications & Accreditations Customer/SI Partner/ISV controls Sarbanes-Oxley (SOX) compliance guest OS-level security, including ISO 27001 Certification patching and maintenance PCI DSS Level I Certification Application level security, including HIPAA compliant architecture password and role based access SAS 70 Type II Audit Host-based firewalls, including FISMA Low ATO Intrusion Detection/Prevention ? Pursuing FISMA Moderate ATO Systems ? Pursuing DIACAP MAC II I -Sensitive Encryption/Decryption of data. ? FedRAMP Hardware Security Modules Service Health Dashboard Separation of Access Physical Security VM Security Network Security Multi-level, multi-factor controlled Multi-factor access to Amazon Instance firewalls can be configured access environment Account in security groups; Controlled, need-based access for Instance Isolation The traffic may be restricted by AWS employees (least privilege) ? Customer-controlled firewall at protocol, by service port, as well as Management Plane Administrative Access the hypervisor level by source IP address (individual IP ? Neighboring instances or Classless Inter-Domain Routing Multi-factor, controlled, need-based prevented access (CIDR) block). access to administrative host ? Virtualized disk management Virtual Private Cloud (VPC) All access logged, monitored, layer ensure only account provides IPSec VPN access from reviewed owners can access storage existing enterprise data center to a AWS Administrators DO NOT have set of logically isolated AWS access inside a customer’s VMs, disks (EBS) resources including applications and data Support for SSL end point encryption for API calls
AWS Certifications Sarbanes-Oxley (SOX) compliant SAS70 Type II audit ? Goal: validate efficacy and efficiency of internal controls ? SAS 70 continues as a compliment to ISO 27001 ISO 27001 certification in all regions ? Finalized in November 2010 ? Standard is licensed content –purchase a copy from ISO ? Copy of report is available to you National Institute of Standards & Technology (NIST) Certification in progress Customers have deployed HIPAA-compliant healthcare applications now (whitepaper at aws.amazon.com)
SAS70 Type II Amazon Web Services publishes a Statement on Auditing Standards No. 70 (SAS 70) Type II Audit report every six months and maintains a favorable unbiased and unqualified opinion from its independent auditors. AWS identifies those controls relating to the operational performance and security to safeguard customer data. Through the SAS 70 report, the auditors evaluate the design of the stated control objectives and control activities and attest to the effectiveness of their design. They also audit the operation of those controls, attesting that the controls are operating as designed. This report is available to customers under NDA who require a SAS70 Type II to meet their own audit and compliance needs.
ISO 27001 AWS has achieved ISO 27001 certification of our Information Security Management System (ISMS) covering AWS infrastructure, data centers in all regions worldwide, and services including Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) and Amazon Virtual Private Cloud (Amazon VPC). We have established a formal program to maintain the certification.
PCI DSS Level 1 AWS has been successfully validated as a Level 1 service provider under the most recently published Payment Card Industry (PCI) Data Security Standard (DSS). Merchants and other service providers can run their applications on our PCI-compliant technology infrastructure for storing, processing, and transmitting credit card information in the cloud. Amazon Elastic Compute Cloud (EC2), Amazon Simple Storage Service (S3), Amazon Elastic Block Storage (EBS) and Amazon Virtual Private Cloud (VPC) are included in the PCI compliance validation.
AWS Security Resources http://aws.amazon.com/security/ Security Whitepaper Risk and Compliance Whitepaper Latest Versions May 2011 Regularly Updated Feedback is welcome

More Related Content

セキュリティを捉えてクラウドを使うためのポイント

  • 1. セキュリティを捉えてクラウドを使うため のポイント 荒木靖宏 アマゾンデータサービスジャパン ソリューションアーキテクト Twitter: @ar1
  • 3. クラウドのポジション 技術の親和性 アプリ アプリ アプリケーショ ケーショ ケーショ アプリケーション ン ン ン SaaS ??????? ??????? ??????? PaaS 仮想 OS 仮想OS OS ?????? ?????? 既存社内環境 / IaaS PaaS / SaaS データセンター 従量制課金と拡張性
  • 5. 本日のAgenda 責任共有モデル セキュリティ設計と認証 物理的セキュリティ データのバックアップ アカウント管理 バーチャルマシンのセキュリティ ネットワークセキュリティ
  • 6. 責任共有モデル(Shared Responsibility Model) 責任共有モデルで、高い柔軟性と高いセキュリティ を効率よく達成する ? クラウド事業者は、セキュアなリソース(ミドルウェア、ホス トOS、仮想レイヤー、物理環境)を責任をもって提供する ? お客様は、ゲストOS、ミドルウェア、アプリケーションを責 任もって管理する
  • 7. 滨补补厂(础奥厂)の责任共有モデル Customer 1 Customer 2 … Customer n 顧客が管理 Hypervisor Virtual Interfaces Customer 1 Security Groups Customer 2 Security Groups … Customer n Security Groups Firewall AWSが管理 Physical Interfaces
  • 8. 笔补补厂での责任共有モデル Customer 1 Customer 2 … Customer n Business Logic 顧客が管理 Hypervisor Virtual Interfaces Customer 1 Security Groups Customer 2 Security Groups … Customer n Security Groups Firewall 事業者が管理 Physical Interfaces
  • 9. 顧客は「何に使うのか」を SaaSでの責任共有モデル 管理する Service 1 Service 2 … Service n Business Logic Hypervisor Virtual Interfaces Customer 1 Security Groups Customer 2 Security Groups … Customer n Security Groups Firewall 事業者が管理 Physical Interfaces
  • 11. AWSのセキュリティデザイン&認証 セキュリティのベストプラクティス適用 ? 設計レビュー、脅威モデリング、リスク査定、静的コード分析、侵 入テスト 認証 ? SAS70 Type II ? ISO 27001 ? PCI DSS Provider Level 1 ? FISMA-Low level AWSを使ったお客様による取得実績 ? 医療用認証HIPAA ? ASP?SaaS安全?信頼性に係る情報開示認定制度
  • 12. 物理的セキュリティ Amazonは世界最大級のEコマースをセキュアに運営してき ており、そのノウハウをAmazonクラウドに利用 厳格に管理された拠点 ? 侵入検出システム、監視カメラ ? 物理的アクセスを厳格に管理 ? 多重認証を最低2回以上実施 従業員のアクセスレベルの管理 ? 必要に応じたときだけ最低限の権利を与える (least privilege) 全てのアクセスのログがとられ、 レビューされる
  • 13. データのバックアップ Amazon S3、Amazon SimpleDBのデータは複数の物理拠 点に冗長的に保存される ? DHT技術 ? Amazon S3、Amazon SimpleDBは、自動的に、複数の物理拠点 (複数のAZ)で、冗長的にバックアップをとる ? 99.999999999%(11桁)の耐久性を提供 EBSは個別アベイラビリティーゾーンに限って冗長的に保存 される ? 適宜、EBSのスナップショットをとる(S3上) 既存のバックアップと同じ考えだが、より高い利便性、可用 性、スループット
  • 14. ストレージの破棄 データ消去基準 ? DoD 5220.22-M (“National Industrial Security Program Operating Manual”) ? NIST 800-88 (“Guidelines for Media Sanitization”) 物理的に故障した場合は、消磁および破壊
  • 15. 障害分离のための、物理的な分散 US East Region (N. VA) EU Region (IRE) AZの中も複数の Availability Availability 物理拠点が Zone A Zone B Availability Availability 使用されている Zone A Zone B Availability Zone C US West Region APAC Region APAC Region (N. CA) (Singapore) (Tokyo) Availability Availability Availability Availability Availability Availability Zone A Zone B Zone A Zone B Zone A Zone B 必要に応じて、顧客側で冗長構成可能
  • 16. アカウントのセキュリティ 多要素認証デバイス オプション アカウントのキーローテー ション 複数のキーペア、認証をサ ポート
  • 17. IAM – AWS Identity and Access Management アカウント内に、複数ユーザー、グ ループを作成し、適切なアクセス管 理が可能 個別ユーザーが下記のセキュリティ 要素をもてる ? アクセスキー ? ログイン/パスワード ? MFAデバイスオプション 個別ユーザー、グループ毎にポリ シーステートメントを作成 ? リソース、APIへのアクセスを適切に 制限
  • 18. Amazon EC2のセキュリティ ゲストOS ? 顧客がルートレベルで管理する ? AWSのアドミニストレーターでもログインできない ? ユーザーが独自にキーペアを作成可能 ホストOS ? 全てのアクセスのログを取得し、監査する ? 必要なときにだけ最低限のレベルでAWS管理者にアクセス権を与え る ? ホストOSへのアクセスは必ずSSHが使われる Statefull Firewall ? デフォルトで全てのインバウンドをはじく ? 顧客が必要なポートだけを空ける 暗号化されたAPIコール ? X.509 証明書もしくは、AWSアカウントのキーペアが必要
  • 19. 仮想メモリとローカルディスク ? Amazonのディスク管理システムは、他のインスタンスの仮想メ モリ&ディスクを読めないようにしている(特許技術) ? もちろん、顧客は独自に、データを暗号化することも可能 Amazon EC2 Instances Encrypted File System Amazon EC2 Instance Encrypted Swap File
  • 20. Amazon EC2 インスタンスの分離 Customer 1 Customer 2 … Customer n Hypervisor Virtual Interfaces Customer 1 Security Groups Customer 2 Security Groups … Customer n Security Groups Firewall Physical Interfaces
  • 21. ネットワークの分離 ? インバウンドは、セキュリティグループで、使用するプロトコル/ ポートレベルを明確に指定 ? Iptablesを使ってさらに、インバウンド/アウトバウンドのユーザー独 自の管理が可能 Inbound Traffic Amazon EC2 セキュリティグループ Instances iptables Encrypted File System Amazon EC2 Instance Encrypted Swap File
  • 22. DDOSとその対策 AWSではDDOSの検出と対応をする専任のスタッフを持つ 各拠点に複数のアクセスポイントを持つ 発信元にならないようにする ? EC2ではホストのファイヤウォールで送信元IPアドレスの偽装が不可 能 カスタマは、IDS/IPSを動作させることができる ? セキュリティグループによる分離 ? Snort:オープンソースで人気のある実装 ? 商用(SourceFire, Trend Micro, Symantecなど)もあり
  • 23. ネットワーク上の脅威に対する対策 MITM ? AWS APIは全てSSL保護 ? EC2へはSSH接続 ポートスキャニング ? セキュリティグループによりデフォルトで全てのポートは閉じられて いる ? 検出された場合、EC2を停止させる ? 許可のないポートスキャンは利用ポリシーに反する パケットスニッフィング ? ハイパーバイザのレベルで禁止 ? プロミスキャスモード(無差別受信)でも、異なるインスタンスの通信 傍受はできない ? 物理的に同一ホストの同一顧客にインスタンスが存在しても、互い のトラフィックは傍受できない ? もちろん、一般的に、重要なトラフィックは暗号化すべき
  • 24. セキュリティは、AWSにおいて最重要項目 エグゼクティブのコミット ? 半年に一度の戦略改定 従業員へのガバナンス ? ハイアリングプロセス、セキュリティガイド、教育 セキュリティデザインに長年の経験 ? Amazon.comで培った物理データセンター、ハードウェア、ネットワー クの知識を適用 ? 顧客の要望に応え、さらに改善を継続 SAS-70 Type II、 ISO 27001、PCI DSS Provider Level1取得 高いセキュリティという市場の評判 ? AWSを調査したお客様はセキュリティの高さに驚かれる ? お客様がAWSを適用することで、セキュリティを向上するケースも多 い
  • 25. クラウドをつかってセキュアにサービス構築す るために 共有責任を理解する ? プロバイダは自分にできる範囲を定義している ? 自分ができる範囲に注力する セキュリティ面での構築技術はこなれてきている ? 考えは多々あるがオープンソースによるコモディティ化が進展 運用 ? 「どのように」「継続して」日々運用するか
  • 28. AWS Cloud Security Model Overview Shared Responsibility Model Certifications & Accreditations Customer/SI Partner/ISV controls Sarbanes-Oxley (SOX) compliance guest OS-level security, including ISO 27001 Certification patching and maintenance PCI DSS Level I Certification Application level security, including HIPAA compliant architecture password and role based access SAS 70 Type II Audit Host-based firewalls, including FISMA Low ATO Intrusion Detection/Prevention ? Pursuing FISMA Moderate ATO Systems ? Pursuing DIACAP MAC II I -Sensitive Encryption/Decryption of data. ? FedRAMP Hardware Security Modules Service Health Dashboard Separation of Access Physical Security VM Security Network Security Multi-level, multi-factor controlled Multi-factor access to Amazon Instance firewalls can be configured access environment Account in security groups; Controlled, need-based access for Instance Isolation The traffic may be restricted by AWS employees (least privilege) ? Customer-controlled firewall at protocol, by service port, as well as Management Plane Administrative Access the hypervisor level by source IP address (individual IP ? Neighboring instances or Classless Inter-Domain Routing Multi-factor, controlled, need-based prevented access (CIDR) block). access to administrative host ? Virtualized disk management Virtual Private Cloud (VPC) All access logged, monitored, layer ensure only account provides IPSec VPN access from reviewed owners can access storage existing enterprise data center to a AWS Administrators DO NOT have set of logically isolated AWS access inside a customer’s VMs, disks (EBS) resources including applications and data Support for SSL end point encryption for API calls
  • 29. AWS Certifications Sarbanes-Oxley (SOX) compliant SAS70 Type II audit ? Goal: validate efficacy and efficiency of internal controls ? SAS 70 continues as a compliment to ISO 27001 ISO 27001 certification in all regions ? Finalized in November 2010 ? Standard is licensed content –purchase a copy from ISO ? Copy of report is available to you National Institute of Standards & Technology (NIST) Certification in progress Customers have deployed HIPAA-compliant healthcare applications now (whitepaper at aws.amazon.com)
  • 30. SAS70 Type II Amazon Web Services publishes a Statement on Auditing Standards No. 70 (SAS 70) Type II Audit report every six months and maintains a favorable unbiased and unqualified opinion from its independent auditors. AWS identifies those controls relating to the operational performance and security to safeguard customer data. Through the SAS 70 report, the auditors evaluate the design of the stated control objectives and control activities and attest to the effectiveness of their design. They also audit the operation of those controls, attesting that the controls are operating as designed. This report is available to customers under NDA who require a SAS70 Type II to meet their own audit and compliance needs.
  • 31. ISO 27001 AWS has achieved ISO 27001 certification of our Information Security Management System (ISMS) covering AWS infrastructure, data centers in all regions worldwide, and services including Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) and Amazon Virtual Private Cloud (Amazon VPC). We have established a formal program to maintain the certification.
  • 32. PCI DSS Level 1 AWS has been successfully validated as a Level 1 service provider under the most recently published Payment Card Industry (PCI) Data Security Standard (DSS). Merchants and other service providers can run their applications on our PCI-compliant technology infrastructure for storing, processing, and transmitting credit card information in the cloud. Amazon Elastic Compute Cloud (EC2), Amazon Simple Storage Service (S3), Amazon Elastic Block Storage (EBS) and Amazon Virtual Private Cloud (VPC) are included in the PCI compliance validation.
  • 33. AWS Security Resources http://aws.amazon.com/security/ Security Whitepaper Risk and Compliance Whitepaper Latest Versions May 2011 Regularly Updated Feedback is welcome