Weitere ähnliche Inhalte
Ähnlich wie Innovation and Startups Today (20)
Mehr von Amazon Web Services (20)
Innovation and Startups Today
- 1. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Fintech Experience sharing in Japan
- Compliance as code on AWS-
Akihiro Tsukada, Startup Solutions Architect | 2018.10.23
- 2. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Who am I ?
Akihiro Tsukada 塚田 朗弘 - Acky
• Startup Solutions Architect
for 3 years in Japan
• #startup #fintech #fintechsecurity
#blockchain #serverless #mobile
#software_development #mohawk
- 3. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Today's topics
• Trends and regulations relating to
financial systems in Japan
• Issues for FinTech startups
• AWS FinTech Reference Architecture - Japan Edition -
• Compliance as Code - Sample solutions
• Case studies
- 4. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Users in The World
- 5. [Keynote] MUFG Bank. Ltd.
We have been already running production
workloads of 5 systems on AWS. Over 100
systems will be migrated on our plan
- 6. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Trends and regulations relating to
financial systems in Japan
- 7. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Legacy thinking - On-prem Driven
CompareBased on
Traditional
Security
Requirements
Implementation
@On-prem
Implementation
@Cloud
"How to make cloud closer to on-prem?"
^ Legacy !
- 8. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Legacy thinking - On-prem Driven
CompareBased on
Traditional
Security
Requirements
Implementation
@On-prem
Implementation
@Cloud
- 9. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Modern thinking - Utilizing Cloud
Traditional
Security
Requirements
Implementation
@On-prem
Implementation
@Cloud
Cloud Native
Security Features
More Effective,
Efficient Way
New Areas Enabled by
Cloud Technology
- 10. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Modern thinking - Utilizing Cloud
Cloud Native
Security Features
More Effective,
Efficient Way
New Areas Enabled by
Cloud Technology
What new things we can do on the cloud?
^ Modern!
- 11. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Cloud Native Compliance : Example
<Tag>
Login
Success
Login
Success
Login
Failed
Change
Permission
Logging,
Configuration
Management
Server-1
Created
Network-1
Created
For Server-1
Tag Created
For Server-1 Server-2
Created
Login
Success
Time Series Logging - Cloud Objects and User Activities
- 12. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Infrastructure as Code
AWS
CloudFormation
Terraform
Source code System
Architecture
- Descript infurastructure
- Avoid miss operation
- Automate everything
- 13. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Compliance as Code
Source code Security and
Compliance
AWS
CloudFormation
Terraform
- Descript security requirements
- Avoid miss operation
- Automate everything
- 14. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Japan Banking Act Amendment @ 2018.04
• "Financial companies and banks have to prepare to
open their API for FinTech workloads"
• Business opportunity for FinTech startups, but......
- 15. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Issues for FinTech Startups
- 16. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
What Issues Are There?
• Hard to implement complecated requirements
• Few experienced fintech engineers in the labor
market
• No experiences around compliance / IT governance
- 17. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS FinTech Reference Architecture
- 18. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS FinTech Reference Architecture (beta)
FISC, FISC API
PCI DSS
ISO 27001 ...
The Most Used
Security & Compliance
Regulations/Guidelines
2018.01 Launched
- 19. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS FinTech Reference Architecture - Japan Edition
FinTech Reference Architecture
FinTech Reference Guide FinTech Reference Template
The table mapping
requirements and solutions
Architecture
diagram
AWS CloudFormation
templates
- 20. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS FinTech Reference Architecture - Japan Edition
FinTech Reference Architecture
FinTech Reference Guide FinTech Reference Template
The table mapping
requirements and solutions
Architecture
diagram
AWS CloudFormation
templates
- 21. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
The Contents of FinTech Reference Guide
大項目 中項目 小項目 AWSの該当事項 お客様の実施事項 推奨される追加の対応事項
AWS アーキテクチャ
ダイアグラムの該当箇所
AWS CloudFormation
テンプレートにおける実装の概
AWS リソースタイプ
AWS CloudFormation
テンプレート名テンプレート名 (スタック)
補足説明
外部サービス利用時の検討
クラウドサービスを利用する場合
、該当システムに係るガイドライ
ンや自社のポリシー、適用される
法令への準拠性やリスクを適切に
判断する。
クラウドサービス事業者における
セキュリティやコンプライアンス
の実施事項、提供される契約書、
サービス内容、サポート内容を確
認する。
AWSは、ホワイトペーパー、レポート、認
定、その他サードパーティーによる証明を
通じて、通じて、AWSのIT統制環境に関する幅広い
情報をお客様に提供しています。情報をお客様に提供しています。
これらの文書は、お客様が使用するこれらの文書は、お客様が使用するAWSサ
ービスに関連した統制、およびそれらの統
制がどのように検証されているかをお客様
に理解いただくために用意されています。
また、この情報はお客様の(また、この情報はお客様の(AWS環境上に
)拡張された)拡張されたIT環境も含んだ統制が適切に
機能しているかどうかを明らかにし、検証
するのにも有効です。するのにも有効です。
AWSから提供可能な第三者認証や監査レポ
ートに関しては下記のサイトをご参照くだ
さい。さい。
https://aws.amazon.com/jp/compliance
お客様はお客様はAWSの統制とコンプライアンスの
文書を使用し、必要に応じて統制の評価と
検証の手順を実行可能です。検証の手順を実行可能です。AWSの統制と
コンプライアンスの文書の詳細については
、「、「AWSリスクとコンプライアンスの概要
」の関連文書「」の関連文書「AWSの認定とサードパーテ
ィーによる証明」を参照してください。
必要なユーザには作業用の必要なユーザには作業用のAWS IAM
Userを作成することができます。IAM
Userには、許可・禁止する操作、パスワー
ドポリシー、ドポリシー、MFA、署名証明書などを設定
することができます。することができます。 あるいはIAM
Userでなく、IDフェデレーションを設定す
ることで、外部プロバイダの認証ポリシー
を利用することも可能です。を利用することも可能です。http://docs.aw
s.amazon.com/IAM/latest/UserGuide/id_roles
_providers.html
ダイアグラム図ダイアグラム図 No.**
AWS IAM
Profileによって、各種データお
よびデータ保管場所へのアクセ
ス権限は必要最小限のインスタ
ンスに絞って与えられます。ンスに絞って与えられます。
また、必要に応じて追加でまた、必要に応じて追加でIAM
Userを作成し、権限や認証方式
を管理することができます。
AWS::IAM::Role
AWS::IAM::InstanceProfile
AWS::IAM::Policy AWS::IAM::Role
AWS::IAM::ManagedPolicy
AWS::EC2::SecurityGroup
AWS::EC2::NetworkAcl
AWS::EC2::NetworkAclEntry
AWS::EC2::VPC
main application config-rules iam
vpc-management vpc-production
logging
N/A
利用目的、利用形態、適用するシ
ステムの範囲、適用される法令等
を確認する手段を設け、自社のセ
キュリティポリシーやコンプライ
アンス上の要件、に合致したシス
テムが構築可能であることを確認
する。
AWSは、ホワイトペーパー、レポート、認
定、その他サードパーティーによる証明を
通じて、通じて、AWSのIT統制環境に関する幅広い
情報をお客様に提供しています。情報をお客様に提供しています。
これらの文書は、お客様が使用するこれらの文書は、お客様が使用するAWSサ
ービスに関連した統制、およびそれらの統
制がどのように検証されているかをお客様
に理解いただくために用意されています。
また、この情報はお客様の(また、この情報はお客様の(AWS環境上に
)拡張された)拡張されたIT環境も含んだ統制が適切に
機能しているかどうかを明らかにし、検証
するのにも有効です。するのにも有効です。AWSから提供可能な
第三者認証や監査レポートに関しては下記
のサイトをご参照ください。
お客様はお客様はAWSの統制とコンプライアンスの
文書を使用し、必要に応じて統制の評価と
検証の手順を実行可能です。検証の手順を実行可能です。AWSの統制と
コンプライアンスの文書の詳細については
、「、「AWSリスクとコンプライアンスの概要
」の関連文書「」の関連文書「AWSの認定とサードパーテ
ィーによる証明」を参照してください。
N/A ダイアグラム図ダイアグラム図 No.**
AWS IAM
Profileによって、各種データお
よびデータ保管場所へのアクセ
ス権限は必要最小限のインスタ
ンスに絞って与えられます。ンスに絞って与えられます。
また、必要に応じて追加でまた、必要に応じて追加でIAM
Userを作成し、権限や認証方式
を管理することができます。
AWS::IAM::Role
AWS::IAM::InstanceProfile
AWS::IAM::Policy AWS::IAM::Role
AWS::IAM::ManagedPolicy
AWS::EC2::SecurityGroup
AWS::EC2::NetworkAcl
AWS::EC2::NetworkAclEntry
AWS::EC2::VPC
main application config-rules iam
vpc-management vpc-production
logging
N/A
内部統制の対策
システム、及びデータにアクセス
する係る担当者のセキュリティポ
リシーへの準拠性を確保、確認す
る手段を講じ、情報漏洩やシステ
ムの不正使用等をはじめとしたセ
キュリティインシデントにつなが
るリスク軽減策を講じる。
関連する担当者の利用するシステ
ム端末やデータ媒体に関連したリ
スクを特定し、リスクの軽減につ
ながる適切な管理策を講じる
AWSでは、お客様のシステムおよびデータ
の機密性、完全性、および可用性を保護す
るために設計された、公式の情報セキュリ
ティプログラムを実装しています。ティプログラムを実装しています。
特権のあるユーザーアクセス制御は、特権のあるユーザーアクセス制御は、AWS
SOC、ISO 27001、PCI、ITAR、および
FedRAMPの監査中に独立監査人によって確
認されます。認されます。AWSは、内部者による不適切
なアクセスの脅威に対処するための統制を
実施しています。実施しています。AWSが取得している認証
とサードパーティーによる証明で、論理ア
クセスの予防統制と発見的統制が評価され
ています。さらに、定期的なリスク評価時
に、内部者によるアクセスの統制および監
視方法を評価しています。視方法を評価しています。AWS SOC
レポートには、レポートには、 AWS
が実行している具体的な統制活動に関する
詳細情報が記載されています。詳細情報が記載されています。 また、AWS
は、は、Payment Card Industry (PCI)
データセキュリティ基準データセキュリティ基準(Data Security
Standard/DSS)のレベル1に準拠しています
。詳細については、。詳細については、AWS Artifact
((https://console.aws.amazon.com/artifact)
を使用して、を使用して、PCI DSS Attestation of
Compliance (AOC) と Responsibility Summary
AWSのお客様は、お客様のデータの統制と
所有権を保持するため、データの適切な管
理はお客様の責任となります。また、理はお客様の責任となります。また、AWS
環境に含まれない、お客様のご利用環境に含まれない、お客様のご利用PCやそ
の他の端末、データ媒体に関しての管理は
お客様の責任となります。
Amazon
WorkSpaces上で必要最小限の作業者にWor
kSpaceを払い出すことで、セキュアな作業
環境を構築することができます。
ダイアグラム図ダイアグラム図 No.** N/A N/A N/A N/A
- 22. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
The Contents of FinTech Reference Guide
大項目 中項目 小項目 AWSの該当事項 お客様の実施事項 推奨される追加の対応事項
AWS アーキテクチャ
ダイアグラムの該当箇所
AWS CloudFormation
テンプレートにおける実装の概
AWS リソースタイプ
AWS CloudFormation
テンプレート名テンプレート名 (スタック)
補足説明
外部サービス利用時の検討
クラウドサービスを利用する場合
、該当システムに係るガイドライ
ンや自社のポリシー、適用される
法令への準拠性やリスクを適切に
判断する。
クラウドサービス事業者における
セキュリティやコンプライアンス
の実施事項、提供される契約書、
サービス内容、サポート内容を確
認する。
AWSは、ホワイトペーパー、レポート、認
定、その他サードパーティーによる証明を
通じて、通じて、AWSのIT統制環境に関する幅広い
情報をお客様に提供しています。情報をお客様に提供しています。
これらの文書は、お客様が使用するこれらの文書は、お客様が使用するAWSサ
ービスに関連した統制、およびそれらの統
制がどのように検証されているかをお客様
に理解いただくために用意されています。
また、この情報はお客様の(また、この情報はお客様の(AWS環境上に
)拡張された)拡張されたIT環境も含んだ統制が適切に
機能しているかどうかを明らかにし、検証
するのにも有効です。するのにも有効です。
AWSから提供可能な第三者認証や監査レポ
ートに関しては下記のサイトをご参照くだ
さい。さい。
https://aws.amazon.com/jp/compliance
お客様はお客様はAWSの統制とコンプライアンスの
文書を使用し、必要に応じて統制の評価と
検証の手順を実行可能です。検証の手順を実行可能です。AWSの統制と
コンプライアンスの文書の詳細については
、「、「AWSリスクとコンプライアンスの概要
」の関連文書「」の関連文書「AWSの認定とサードパーテ
ィーによる証明」を参照してください。
必要なユーザには作業用の必要なユーザには作業用のAWS IAM
Userを作成することができます。IAM
Userには、許可・禁止する操作、パスワー
ドポリシー、ドポリシー、MFA、署名証明書などを設定
することができます。することができます。 あるいはIAM
Userでなく、IDフェデレーションを設定す
ることで、外部プロバイダの認証ポリシー
を利用することも可能です。を利用することも可能です。http://docs.aw
s.amazon.com/IAM/latest/UserGuide/id_roles
_providers.html
ダイアグラム図ダイアグラム図 No.**
AWS IAM
Profileによって、各種データお
よびデータ保管場所へのアクセ
ス権限は必要最小限のインスタ
ンスに絞って与えられます。ンスに絞って与えられます。
また、必要に応じて追加でまた、必要に応じて追加でIAM
Userを作成し、権限や認証方式
を管理することができます。
AWS::IAM::Role
AWS::IAM::InstanceProfile
AWS::IAM::Policy AWS::IAM::Role
AWS::IAM::ManagedPolicy
AWS::EC2::SecurityGroup
AWS::EC2::NetworkAcl
AWS::EC2::NetworkAclEntry
AWS::EC2::VPC
main application config-rules iam
vpc-management vpc-production
logging
N/A
利用目的、利用形態、適用するシ
ステムの範囲、適用される法令等
を確認する手段を設け、自社のセ
キュリティポリシーやコンプライ
アンス上の要件、に合致したシス
テムが構築可能であることを確認
する。
AWSは、ホワイトペーパー、レポート、認
定、その他サードパーティーによる証明を
通じて、通じて、AWSのIT統制環境に関する幅広い
情報をお客様に提供しています。情報をお客様に提供しています。
これらの文書は、お客様が使用するこれらの文書は、お客様が使用するAWSサ
ービスに関連した統制、およびそれらの統
制がどのように検証されているかをお客様
に理解いただくために用意されています。
また、この情報はお客様の(また、この情報はお客様の(AWS環境上に
)拡張された)拡張されたIT環境も含んだ統制が適切に
機能しているかどうかを明らかにし、検証
するのにも有効です。するのにも有効です。AWSから提供可能な
第三者認証や監査レポートに関しては下記
のサイトをご参照ください。
お客様はお客様はAWSの統制とコンプライアンスの
文書を使用し、必要に応じて統制の評価と
検証の手順を実行可能です。検証の手順を実行可能です。AWSの統制と
コンプライアンスの文書の詳細については
、「、「AWSリスクとコンプライアンスの概要
」の関連文書「」の関連文書「AWSの認定とサードパーテ
ィーによる証明」を参照してください。
N/A ダイアグラム図ダイアグラム図 No.**
AWS IAM
Profileによって、各種データお
よびデータ保管場所へのアクセ
ス権限は必要最小限のインスタ
ンスに絞って与えられます。ンスに絞って与えられます。
また、必要に応じて追加でまた、必要に応じて追加でIAM
Userを作成し、権限や認証方式
を管理することができます。
AWS::IAM::Role
AWS::IAM::InstanceProfile
AWS::IAM::Policy AWS::IAM::Role
AWS::IAM::ManagedPolicy
AWS::EC2::SecurityGroup
AWS::EC2::NetworkAcl
AWS::EC2::NetworkAclEntry
AWS::EC2::VPC
main application config-rules iam
vpc-management vpc-production
logging
N/A
内部統制の対策
システム、及びデータにアクセス
する係る担当者のセキュリティポ
リシーへの準拠性を確保、確認す
る手段を講じ、情報漏洩やシステ
ムの不正使用等をはじめとしたセ
キュリティインシデントにつなが
るリスク軽減策を講じる。
関連する担当者の利用するシステ
ム端末やデータ媒体に関連したリ
スクを特定し、リスクの軽減につ
ながる適切な管理策を講じる
AWSでは、お客様のシステムおよびデータ
の機密性、完全性、および可用性を保護す
るために設計された、公式の情報セキュリ
ティプログラムを実装しています。ティプログラムを実装しています。
特権のあるユーザーアクセス制御は、特権のあるユーザーアクセス制御は、AWS
SOC、ISO 27001、PCI、ITAR、および
FedRAMPの監査中に独立監査人によって確
認されます。認されます。AWSは、内部者による不適切
なアクセスの脅威に対処するための統制を
実施しています。実施しています。AWSが取得している認証
とサードパーティーによる証明で、論理ア
クセスの予防統制と発見的統制が評価され
ています。さらに、定期的なリスク評価時
に、内部者によるアクセスの統制および監
視方法を評価しています。視方法を評価しています。AWS SOC
レポートには、レポートには、 AWS
が実行している具体的な統制活動に関する
詳細情報が記載されています。詳細情報が記載されています。 また、AWS
は、は、Payment Card Industry (PCI)
データセキュリティ基準データセキュリティ基準(Data Security
Standard/DSS)のレベル1に準拠しています
。詳細については、。詳細については、AWS Artifact
((https://console.aws.amazon.com/artifact)
を使用して、を使用して、PCI DSS Attestation of
Compliance (AOC) と Responsibility Summary
AWSのお客様は、お客様のデータの統制と
所有権を保持するため、データの適切な管
理はお客様の責任となります。また、理はお客様の責任となります。また、AWS
環境に含まれない、お客様のご利用環境に含まれない、お客様のご利用PCやそ
の他の端末、データ媒体に関しての管理は
お客様の責任となります。
Amazon
WorkSpaces上で必要最小限の作業者にWor
kSpaceを払い出すことで、セキュアな作業
環境を構築することができます。
ダイアグラム図ダイアグラム図 No.** N/A N/A N/A N/A
• Requirements
• Category
• Sub-Category
• Items to be implemented
• Tasks
• For AWS
• For customers
• Aditional
Recommendation
• Sample Implementation in
FinTech Reference Template
• Where in the diagram
• Implementation
summary in the
templates
• AWS resource types
• CloudFormation
template file names
- 23. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Shared Responsibility ModelAWS
Computing
Storage
Database
Networking
Edge Location
Region
Availability Zones
AWS Global
Infrastructure
Security "of"
the cloud
Customer
Security "in"
the cloud
Customer's data
Platform, Application, IAM
OS, Network, Firewall Configuration
Client-side
Encryption,
Data Integrity
Server-side Encryption
(Filesystem or data, or
both)
Network Traffic
Protection
(Encryption / Integrity /
Identity)
- 24. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
"Tasks" is based on the Shared Responsibility Model
• Tasks for customers
• What things customers must do?
• What kind of solutions are there?
• Additional recommendation
• More advanced solutions using the latest services
• Not must, but should
• Tasks for AWS
• Information about how AWS clears the requirement
• Pointer for whitepapers etc
- 25. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS FinTech Reference Architecture - Japan Edition
FinTech Reference Architecture
FinTech Reference Guide FinTech Reference Template
The table mapping
requirements and solutions
Architecture
diagram
AWS CloudFormation
templates
- 26. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
FinTech Reference Template - Architecture Diagram
(Each component is numbered to be pointed from The Reference Guide)
- 27. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
• A provisioning service allows you to model all resources on AWS
- EC2, S3 etc - using template written in JSON or YAML
• Automate building and updating environments
• No additional charge
https://aws.amazon.com/cloudformation/
- 28. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
FinTech Reference Template - AWS CloudFormation
1. main.yaml
2. vpc-management.yaml
3. vpc-production.yaml
4. application.yaml
5. iam.yaml
6. config-rules.yaml
7. logging.yaml
8. guardduty.yaml
Template files
implemented on
Well-Architected way
Customers can ...
• use as it is
• customise them
to apply each situation
- 29. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
FinTech Reference Template - AWS CloudFormation
application.yaml
The definition
of ELB
rELBApp:
Type: AWS::ElasticLoadBalancing::LoadBalancer
DependsOn:
- rS3ELBAccessLogs
- rSecurityGroupApp
- rS3AccessLogsPolicy
Properties:
Subnets:
- !Ref pAppPrivateSubnetA
- !Ref pAppPrivateSubnetB
HealthCheck:
HealthyThreshold: 2
Interval: 15
Target: TCP:443
Timeout: 5
UnhealthyThreshold: 3
AccessLoggingPolicy:
S3BucketName: !Ref rS3ELBAccessLogs
S3BucketPrefix: Logs
Enabled: true
EmitInterval: 60
- 30. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
FinTech Reference Template - AWS CloudFormation
The definition of
input parameters
AWSTemplateFormatVersion: 2010-09-09
Metadata:
AWS::CloudFormation::Interface:
ParameterGroups:
- Label:
default: Region Config
Parameters:
- pRegionAZ1Name
- pRegionAZ2Name
- Label:
default: Network
Parameters:
- pProductionCIDR
- pProductionVPC
- pDMZSubnetA
- pDMZSubnetB
- pAppPrivateSubnetA
- pAppPrivateSubnetB
- pDBPrivateSubnetA
- pDBPrivateSubnetB
- 31. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
FinTech Reference Template - AWS CloudFormation
Loading template via
AWS Management Console
Input actual values for parameters
defined in templates
- 32. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS FinTech ReferenceArchitecture
As A Communication Helper
- 33. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Between Compliance Officer and Engineers
Impedance Mismatch
- 34. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Compliance To Engineering
FinTech Reference Architecture
FinTech Reference Guide FinTech Reference Template
The table mapping
requirements and solutions
Architecture
diagram
AWS CloudFormation
templates
- 35. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Enginnering To Compliance
FinTech Reference Architecture
FinTech Reference Guide FinTech Reference Template
The table mapping
requirements and solutions
Architecture
diagram
AWS CloudFormation
templates
- 36. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Compliance as Code
- Sample solutions from the
Reference Guide
- 37. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Topics in FinTech Reference Guide
• Access control to systems
• Backup management
• Data protection in transition
• Data protection at rest
• System Monitoring and Auditing
• User auth and protection
• System clock synchronization
• Incident response
• Cyber attacks protection
• API authentication
• Device management
• Customer protection using contact
center
etc..
- 38. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Topics in FinTech Reference Guide
• Access control to systems
• Backup management
• Data protection in transition
• Data protection at rest
• System Monitoring and Auditing
• User auth and protection
• System clock synchronization
• Incident response
• Cyber attacks protection
• API authentication
• Device management
• Customer protection using contact
center
etc..
- 39. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Today's Sample Cases
• Access Control to Systems
1. User and permission management using AWS IAM
2. EC2 Instance Profile
3. AWS Systems Manager(SSM)to manage parameters and run
commands
• Incident response
4. Threats detection and notification using Amazon GuardDuty
5. Other related services
- 40. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Sample 1 - Internal Control : Authentication
Infrastructure
Access Control
To Systems
Design a access control policy to manage
systems and implement proper strong
access authentication according to
importance and risks.
Infrastructure
Access Control
To Systems
Permissions to access to each resources
should be "deny" by default according to
the least privileges principle.
Infrastructure
Access Control
To Systems
Take measures to prevent fraudulent use
of credentials for system management.
Requirements
Category Sub Category Items
- 41. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Sample 1 - Internal Control : Authentication
AWS provides specific SOC 1 controls to address
the threat of inappropriate insider access, and the
public certification and compliance initiatives
covered in this document address insider access.
All certifications and third-party attestations
evaluate logical access preventative and
detective controls. In addition, periodic risk
assessments focus on how insider access is
controlled and monitored.
Controls in place limit access to systems and data
and provide that access to systems or data is
restricted and monitored. In addition, customer
data is and server instances are logically isolated
from other customers by default. Privileged user
access control is reviewed by an independent
auditor during the AWS SOC 1, ISO 27001, PCI,
ITAR, andFedRAMPsm audits.
To help customers better understand what
controls we have in place and how effectively they
are operating, we publish a SOC 1 Type II report
with controls defined around EC2, S3 and VPC,
as well as detailed physical security and
environmental controls. These controls are
defined at a high level of specificity that should
meet most customer needs. AWS customers that
AWS Identity and Access
Management (IAM) can be used to
manage user IDs, manage user
groups, assign credentials and
manage permissions. "Credentials"
include passwords, encryption keys,
digital signatures and certificates.
Customer also has option to enable
Multi-factor Auth(MFA) on AWS
account or IAM users.
IAM also allows ID federation when
customer uses any other ID provider.
Details about IAM are described at
our documents:
https://aws.amazon.com/iam/
IAM Best Practices are here:
https://docs.aws.amazon.com/IAM/la
Don't share IAM user between multiple operators. You should create
IAM user for each operator, or use external IdP (like Active Directory).
When you use IAM to manage users, you can configure security
requirements such as password or MFA conditions. Other important
best practices:
http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/best-
practices.html
When you use credentials such as ID and password in your programs,
you can consider to use AWS Systems Manager Parameter Store to
manage them securely and avoid them from source codes and
configuration files.
https://aws.amazon.com/jp/ec2/systems-manager/parameter-store/
Also, the credentials to access AWS resources (Access Key, Secret
Access Key) can be avoid by using temporary credentials provided by
EC2 Instance Profile feature, AWS STS and Amazon Cognito.
http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_
temp.htm
You should be careful to avoid to commit these credentials into version
control tools such as Git. AWS provides the tool "git-secrets" to prevent
Tasks For
AWS Customer Additional and Recommended
- 42. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
What is "Access Control to Systems"?
== How keep security of system management access
Dev
Admin
DBA
AWS
Management
Console Amazon
RDS
Amazon
EC2
AWS Access
SSH Login
DB maintenance
- 43. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Key Components For System Access Control
1. User and
permission
management using
AWS IAM
2. EC2 Instance
Profile
3. AWS Systems
Manager(SSM)
to manage
parameters and
run commands
- 44. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
1. User and permission management using AWS IAM
Don't share credentials among multiple peaple
Least privileges
Use password policy or MFA according to
permission or role
- 45. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Tips: IAM Access Advisor for Impl Least Privileges
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/access_policies_access-advisor.html
- 46. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Key Components For System Access Control
1. User and
permission
management using
AWS IAM
2. EC2 Instance
Profile
3. AWS Systems
Manager(SSM)
to manage
parameters and
run commands
- 47. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
2. EC2 Instance Profile
• EC2
IAM Role
AWS
CLI/SDK
etc
(ex)Amazon
S3 Bucket
Get credentials
from Instance meta-
data
Assign
Trusted Entity:
ec2.amazonaws.com
Avoid hard coding :
aws_access_key_id=AKIA...
aws_secret_access_key=8rqGs4L...
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html
- 48. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Key Components For System Access Control
1. User and
permission
management using
AWS IAM
2. EC2 Instance
Profile
3. AWS Systems
Manager(SSM)
to manage
parameters and
run commands
- 49. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
3. AWS Systems Manager(SSM)Parameter Store
AWS Systems Manager
Parameter Store
ex) AWS CLI
/DeployConfig
/Dev
/Endpoints
/RDB = mysql:dev-db.ap-...
/API = api.dev.example.com...
/Prod
/Endpoints
/RDB = mysql:prod-db.ap-...
/API = api.example.com...
$ aws ssm
get-parameters-by-path
--path /DeployConfig/Prod
–-recursive --with-decryption
• Store configration for each
environment securely
• Integrated with AWS KMS
https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/systems-manager-paramstore.html
- 50. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
3. AWS Systems Manager(SSM)Session Manager
AWS SSM
Session Manager
Engineers
Instances
Bastion
Host
SSH
SSH
SSH like shell access
via CLI / Browser
• Improve security by closing
bastion host
• Avoid management of SSH
key-pair and OS users. Users
and permissions can be
managed using IAM.
• Audit logs are recorded on
AWS CloudTrail
- 51. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Today's Sample Cases
• Access Control to Systems
1. User and permission management using AWS IAM
2. EC2 Instance Profile
3. AWS Systems Manager(SSM)to manage parameters and run
commands
• Incident response
4. Threats detection and notification using Amazon GuardDuty
5. Other related services
- 52. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Sample 2 - Incident Response
Infrastructure Incident Reponse
Organize plans and teams to respond
security incidents such as illegal access
and information leak.
Infrastructure Incident Reponse Prepare for cyber attacks.
Requirements
Category Sub Category Items
- 53. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Sample 1 - Internal Control : Authentication
Tasks For
AWS Customer Additional and Recommended
AWS Security regularly scans all Internet facing
service endpoint IP addresses for vulnerabilities
(these scans do not include customer instances).
AWS Security notifies the appropriate parties to
remediate any identified vulnerabilities. In
addition, external vulnerability threat
assessments are performed regularly by
independent security firms. Findings and
recommendations resulting from these
assessments are categorized and delivered to
AWS leadership.
Regular internal and external vulnerability scans
are performed on the host operating system,
web application and databases in the AWS
environment utilizing a variety of tools.
Vulnerability scanning and remediation
practices are regularly reviewed as a part of
AWS continued compliance with PCI DSS and
FedRAMP.
In alignment with ISO 27001 standards, system
utilities are appropriately restricted and
monitored. AWS SOC reports provides details on
the specific control activities executed by AWS.
Refer to AWS Overview of Security Processes for
additional details - available at
http://aws.amazon.com/security.
AWS' incident response program, plans and
procedures have been developed in alignment
with ISO 27001 standard. AWS has been
validated and certified by an independent
auditor to confirm alignment with ISO 27001
certification standard. The AWS SOC reports
provides details on the specific control
activities executed by AWS. All data stored by
AWS on behalf of customers has strong
tenant isolation security and control
capabilities. The AWS Cloud Security
Whitepaper (available at
http://aws.amazon.com/security) provides
additional details
You can define response processes by using AWS Step Functions
and automate with AWS Lambda based on your incident response
plans.
https://aws.amazon.com/jp/step-functions/
You can create AWS VPC as a clean room which is isolated from
production environment to keep the environments where incidents
occurred. To get disk image which is forensic target, copy images to
Amazon S3 via Amazon EC2 API or EBS snapshot features. The clean
room VPC can be managed AWS CloudFormation, and you can allow
only incident response team members to access to the VPC by using
AWS IAM.
To isolate attacked instances, you can remove from ELB or block any
traffic by using Security Groups. If the instances belong to Auto
Scaling Group, consider detach the instance from the ASG first. This
is because ASG might terminate the instances automatically.
https://docs.aws.amazon.com/ja_jp/autoscaling/latest/userguide/det
ach-instance-asg.html
Customers can request permission to conduct
scans of their cloud infrastructure as long as
they are limited to the customer’s instances
and do not violate the AWS Acceptable Use
Policy. Advance approval for these types of
scans can be initiated by submitting a request
via the AWS Vulnerability / Penetration
Testing Request Form. AWS Security regularly
engages independent security firms to
perform external vulnerability threat
assessments. The AWS SOC reports provides
additional details on the specific control
activities executed by AWS.
- 54. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
4. Threats detection and notification using Amazon GuardDuty
Malicious Scans
Threats to Instances
Threats to Accounts
Amazon
GuardDuty
VPC flow logs
DNS Logs
CloudTr
ail
HIGH
MED
LOW
FindingsData SourcesThreat Types
- 55. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Amazon GuardDuty Finding Type List
Backdoor:EC2/XORDDOS
Backdoor:EC2/Spambot
Backdoor:EC2/C&CActivity.B!DNS
Behavior:EC2/NetworkPortUnusual
Behavior:EC2/TrafficVolumeUnusual
CryptoCurrency:EC2/BitcoinTool.B!DNS
PenTest:IAMUser/KaliLinux
Persistence:IAMUser/NetworkPermissions
Persistence:IAMUser/ResourcePermissions
Persistence:IAMUser/UserPermissions
Recon:EC2/PortProbeUnprotectedPort
Recon:IAMUser/TorIPCaller
Recon:IAMUser/MaliciousIPCaller.Custom
Recon:IAMUser/MaliciousIPCaller
Recon:EC2/Portscan
Recon:IAMUser/NetworkPermissions
Recon:IAMUser/ResourcePermissions
Recon:IAMUser/UserPermissions
ResourceConsumption:IAMUser/ComputeResources
Stealth:IAMUser/PasswordPolicyChange
Stealth:IAMUser/CloudTrailLoggingDisabled
Stealth:IAMUser/LoggingConfigurationModified
Trojan:EC2/BlackholeTraffic
Trojan:EC2/DropPoint
Trojan:EC2/BlackholeTraffic!DNS
Trojan:EC2/DriveBySourceTraffic!DNS
Trojan:EC2/DropPoint!DNS
Trojan:EC2/DGADomainRequest.B
Trojan:EC2/DGADomainRequest.C!DNS
Trojan:EC2/DNSDataExfiltration
Trojan:EC2/PhishingDomainRequest!DNS
UnauthorizedAccess:IAMUser/TorIPCaller
UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom
UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B
UnauthorizedAccess:IAMUser/MaliciousIPCaller
UnauthorizedAccess:IAMUser/UnusualASNCaller
UnauthorizedAccess:EC2/TorIPCaller
UnauthorizedAccess:EC2/MaliciousIPCaller.Custom
UnauthorizedAccess:EC2/SSHBruteForce
UnauthorizedAccess:EC2/RDPBruteForce
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration
UnauthorizedAccess:IAMUser/ConsoleLogin
http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_finding-types.html
- 56. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Automated Incident Response by Using Amazon
GuardDuty, AWS Lambda and AWS Step Functions
Amazon GuardDuty
Attacker
(1) Brute force
Attack to EC2
(2) Detect
automatically
AWS Lambda
(3) Invoke automatically
AWS StepFunctions
(4) Kick workflow
according to
event content
(5) Run automated
Incident response
on workflow
- 57. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Topics in FinTech Reference Guide
• Access control to systems
• Backup management
• Data protection in transition
• Data protection at rest
• System Monitoring and Auditing
• User auth and protection
• System clock synchronization
• Incident response
• Cyber attacks protection
• API authentication
• Device management
• Customer protection using contact
center
etc..
- 58. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Case Studies
- 59. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Customer: Finatext, Inc.
- 60. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Customer: justInCase, Inc.
- 61. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Customer: FOLIO, Inc.
- 62. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Conclusion
- 63. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Conclusion
• Security and compliance can be automated
with AWS technology, that's the modern way
• But there are some issues for startups
• Few talented / experienced engineers
• Communication between compliance and engineering
• FinTech Reference Architecture indicates requirements,
solutions and sample implementations
• AWS helps customers' security and compliance totally
- 64. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS FinTech Reference Architecture – Japan Edition
is published on compliance page
http://amzn.to/awsj-fintech
- 65. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Thank you