Weitere ähnliche Inhalte Ähnlich wie JAWS-UG 情シス支部 #3 (20) Mehr von Nobuhiro Nakayama (13) Kürzlich hochgeladen (10) JAWS-UG 情シス支部 #32. {
"name":"Nobuhiro Nakayama",
"company":"UCHIDAYOKO CO., LTD.",
"favorite aws services":[
"Directory Service",
"IAM",
"AWS CLI"
],
"certifications":[
"AWS Certified Solutions Architect-Professional",
"AWS Certified SysOps Administrator-Associate",
"Microsoft Certified Solutions Expert Server Infrastructure",
"Microsoft Certified Solutions Expert SharePoint",
"IPA Network Specialist",
"IPA Information Security Specialist"
]
}
8. 様々な業界標準
• 金融
• FISC https://aws.amazon.com/jp/aws-jp-fisclist/
• 医療・製薬
• GxP コンプライアンス https://aws.amazon.com/jp/compliance/gxp-part-11-annex-11/
• クレジットカード
• PCI DSS https://aws.amazon.com/jp/compliance/pci-dss-level-1-faqs/
• 会計
• SOC https://aws.amazon.com/jp/compliance/soc-faqs/
• ISO
• 9001 https://aws.amazon.com/jp/compliance/iso-9001-faqs/
• 27001 https://aws.amazon.com/jp/compliance/iso-27001-faqs/
• 27017 https://aws.amazon.com/jp/compliance/iso-27017-faqs/
• 27018 https://aws.amazon.com/jp/compliance/iso-27018-faqs/
15. どうすればいいんだー!
• ポリシーが無いなら、黙ってベストプラクティスに従うところから
• 余裕があれば、業界標準を利用するのもあり
• レベルが高すぎたり、低すぎたりする場合もある
• リスクアセスメントは大変・・・
• 実践を通してポリシーを確立していけばいいのでは?
• ホワイトペーパーがあるので読んでみよう
• AWS Security Best Practices
• https://aws.amazon.com/jp/whitepapers/aws-security-best-practices/
• (日本語もあるよ)
https://d0.awsstatic.com/International/ja_JP/Whitepapers/AWS_Security_Best_Practices.p
df
20. AWS Security Best Practices (要約から抜粋)
• このホワイトペーパーは、アマゾン ウェブ サービス(AWS)で実行するアプリケー
ションのセキュリティインフラストラクチャと設定を、現在設計している、または今後
設計することをお考えのお客様を対象としています。このホワイトペーパーでは、AWS
クラウド内のデータと資産を保護できるように Information Security Management
System (ISMS) を定義し、各組織用の一連のセキュリティポリシーとプロセスを作成す
るのに役立つセキュリティのベストプラクティスについて説明します。また、AWS での
資産の識別と分類と保護、アカウント、ユーザー、グループを使用した AWS リソース
へのアクセスの管理、さらにはクラウド内のデータ、オペレーティングシステム、アプ
リケーション、およびインフラストラクチャ全体を保護するために推奨される方法など、
セキュリティに関するさまざまなトピックの概要についても説明します。
https://d0.awsstatic.com/International/ja_JP/Whitepapers/AWS_Security_Best_Practices.pdf
OSの中のことまで
言及している
21. AWS Security Best Practices
1. 責任共有モデルを正しく理解する
2. 保護対象の情報資産の整理
3. 情報セキュリティ管理システムの設計
4. AWSアカウント、IAMユーザ・グループ・ロールの管理
5. EC2インスタンスの管理
6. データの保護
7. OSとアプリケーションの保護
8. インフラストラクチャ(VPCなど)の保護
9. モニタリング、通知、監査、インシデントレスポンス
24. AWS Security Best Practices
1. 責任共有モデルを正しく理解する
2. 保護対象の情報資産の整理
3. 情報セキュリティ管理システムの設計
4. AWSアカウント、IAMユーザ・グループ・ロールの管理
5. EC2インスタンスの管理
6. データの保護
7. OSとアプリケーションの保護
8. インフラストラクチャ(VPCなど)の保護
9. モニタリング、通知、監査、インシデントレスポンス
25. 覚えておくべきこと
• 全部AWSに丸投げできるわけではない
• ユーザが責任を負う部分がある
• Trusted Advisorがある程度問題を指摘してくれる(対策の実施はユーザの責任)
• コンポーネント単位の障害が発生してもシステムに影響がないようにするのはユーザの
責任
• Design for Failure
• AWSは耐障害性を高めるための選択肢を用意している
• 冗長化せずにリスクを受容するのも選択肢の一つ
• サービスの種類によって責任範囲が異なる
• Infrastructure services < Container services < Abstracted services
• マネージドなサービスを可能な限り利用して、責任範囲を少なくすることができる
29. AWS Security Best Practices
1. 責任共有モデルを正しく理解する
2. 保護対象の情報資産の整理
3. 情報セキュリティ管理システムの設計
4. AWSアカウント、IAMユーザ・グループ・ロールの管理
5. EC2インスタンスの管理
6. データの保護
7. OSとアプリケーションの保護
8. インフラストラクチャ(VPCなど)の保護
9. モニタリング、通知、監査、インシデントレスポンス
30. 要チェックの情報資産
• 機密情報の有無は絶対確認!!
• クレジットカード
• マイナンバー
• 人事情報、その他の個人情報
• ネットワーク(インターネット回線、専用線・閉域網)
• クラウド化でこれまでより重要性が上がっている
• Credential(パスワード、APIキー、ハードウェアトークンなど)
• 見過ごされやすいけど、めっちゃ重要
• まずは保護対象であると明示的に認識するところから
• その他
• ホワイトペーパーを確認してください(丸投げ)
31. AWS Security Best Practices
1. 責任共有モデルを正しく理解する
2. 保護対象の情報資産の整理
3. 情報セキュリティ管理システムの設計
4. AWSアカウント、IAMユーザ・グループ・ロールの管理
5. EC2インスタンスの管理
6. データの保護
7. OSとアプリケーションの保護
8. インフラストラクチャ(VPCなど)の保護
9. モニタリング、通知、監査、インシデントレスポンス
33. AWS Security Best Practices
1. 責任共有モデルを正しく理解する
2. 保護対象の情報資産の整理
3. 情報セキュリティ管理システムの設計
4. AWSアカウント、IAMユーザ・グループ・ロールの管理
5. EC2インスタンスの管理
6. データの保護
7. OSとアプリケーションの保護
8. インフラストラクチャ(VPCなど)の保護
9. モニタリング、通知、監査、インシデントレスポンス
36. AWS Security Best Practices
1. 責任共有モデルを正しく理解する
2. 保護対象の情報資産の整理
3. 情報セキュリティ管理システムの設計
4. AWSアカウント、IAMユーザ・グループ・ロールの管理
5. EC2インスタンスの管理
6. データの保護
7. OSとアプリケーションの保護
8. インフラストラクチャ(VPCなど)の保護
9. モニタリング、通知、監査、インシデントレスポンス
37. OSにアクセススための認証情報
• 秘密鍵の管理
• SSH接続時の認証情報(Linux)
• WindowsのAdministratorsのパスワードの発行
• 可用性の高いストレージへの保管/アクセスログ/厳密なアクセス制御
• (可能なら)Acrive DirectoryやLDAPとの認証連携
• デフォルトのユーザ(ec2-user/Administrator)は可能な限り使用しない
• (Windowsの場合)ec2configでAdministratorのパスワードリセットも可能
38. AWS Security Best Practices
1. 責任共有モデルを正しく理解する
2. 保護対象の情報資産の整理
3. 情報セキュリティ管理システムの設計
4. AWSアカウント、IAMユーザ・グループ・ロールの管理
5. EC2インスタンスの管理
6. データの保護
7. OSとアプリケーションの保護
8. インフラストラクチャ(VPCなど)の保護
9. モニタリング、通知、監査、インシデントレスポンス
41. AWS Security Best Practices
1. 責任共有モデルを正しく理解する
2. 保護対象の情報資産の整理
3. 情報セキュリティ管理システムの設計
4. AWSアカウント、IAMユーザ・グループ・ロールの管理
5. EC2インスタンスの管理
6. データの保護
7. OSとアプリケーションの保護
8. インフラストラクチャ(VPCなど)の保護
9. モニタリング、通知、監査、インシデントレスポンス
44. 【参考】Center for Internet Securityが提供するAMI
https://aws.amazon.com/marketplace/seller-profile/ref=sp_mpg_product_vendor?ie=UTF8&id=6b3b0dc2-c6f4-487b-8f29-9edba5f39eed
45. AWS Security Best Practices
1. 責任共有モデルを正しく理解する
2. 保護対象の情報資産の整理
3. 情報セキュリティ管理システムの設計
4. AWSアカウント、IAMユーザ・グループ・ロールの管理
5. EC2インスタンスの管理
6. データの保護
7. OSとアプリケーションの保護
8. インフラストラクチャ(VPCなど)の保護
9. モニタリング、通知、監査、インシデントレスポンス
46. インフラストラクチャの保護(1)
• VPCを使う
• IP-Sec、Direct Connectなどによるサイト間接続
• VPC Flow Logでフロー情報(データ部分は含まない)を収集
• セグメンテーション
• DMZ/Internalなど、役割等に応じてレイヤーを定義
• ネットワークセキュリティの強化
• 基本的にSecurity Groupで十分(ステートフル)
• 必要に応じてNACLを併用(ステートレスなので設計に注意)
49. AWS Security Best Practices
1. 責任共有モデルを正しく理解する
2. 保護対象の情報資産の整理
3. 情報セキュリティ管理システムの設計
4. AWSアカウント、IAMユーザ・グループ・ロールの管理
5. EC2インスタンスの管理
6. データの保護
7. OSとアプリケーションの保護
8. インフラストラクチャ(VPCなど)の保護
9. モニタリング、通知、監査、インシデントレスポンス
53. おすすめ資料
• Advanced Security Best Practices Masterclass
• http://www.slideshare.net/AmazonWebServices/masterclass-advanced-security-
best-practices