Weitere ähnliche Inhalte
Ähnlich wie AWSのセキュリティについて (20)
Mehr von Yasuhiro Horiuchi (20)
Kürzlich hochgeladen (11)
AWSのセキュリティについて
- 2. Who am I ?
• 堀内 康弘 (ほりうち やすひろ)
• 1978年生まれ 山梨県出身
• AWS テクニカルエバンジェリスト
• 140回以上の講演
• 60回以上のハンズオン
• 250本以上のブログ記事
Amazon Web Services ブログ
http://aws.typepad.com/aws_japan/
• 10+ years web engineer in startups
• Director of V-cube (perl), 2001 -
2006
• CTO of FlipClip (perl), 2006 - 2009
• CTO of gumi (python), 2009 - 2012
@horiuchi
horiyasu
フォロー歓迎!
- 7. SUNCORP
• オーストラリアの金融グループ
- SUNCORP BANK: オーストラリア第五位の銀行
- SUNCORP Insurance: オーストラリア最大の保険契約数
- その他14の金融ブランド
• 900万人の顧客、1万5千人の従業員
• ミッションクリティカルなものも合わせて、2000
のアプリケーションを保有
- 8. ビジョンと実行計画
• 1ヶ月目
- 新技術調査
- ビジネス継続性の検討
- 広範囲の認可
• 2ヶ月目
- リスク、セキュリティ、リーガル面の確認
- ガバナンスの作成
- 規制各局とのブリーフィング
• 3ヶ月目
- オンラインアプリケーション、BIなどからマイグレーション開始
• 18ヶ月目
- ミッションクリティカルなものも含め、2000ある全てのアプリケーションをAWSに移行
- 10. NASDAQ OMX
“FinQloud”
© 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of
- 11. NASDAQ OMX
• 金融機関向けに「FinQloud」をAWS上で提供
• SECの基準に準拠した形で情報を安全に管理する環境を提供
• 財務データの管理、分析や検索、レポーティングなどを実行可能
• レギュレーションに関する情報の記録と、セルフレポーティング機能を提供。
今後多くの機能を提供
• 利用者は高価な設備投資をせずに、コンプライアンス要求やセキュリティを
満たした環境の利用が可能に
“クラウド技術のリーダーであるAWSとの協業により、金融サービス業界に大規模で革新的なソリューションを提供で
きました。FinQloudは、規制に関するデータを保護し、投資家に信頼性のある情報を提供します。我々はAWSと連携
して、市場の質と透明性を向上させていきます”
Eric Noll,
Executive Vice President of Transaction Services U.S. and U.K. at NASDAQ OMX
- 15. 基盤サービス
計算 ストレージ データベース ネットワーキング
AWS
グローバル
インフラストラクチャー
リージョン
アベイラビリティーゾーン エッジ
ロケーション
クライアントサイドの暗号化、
データ保全性の認証
サーバーサイドの暗号化
(ファイルシステム and/or データ)
ネットワークトラフィック保護
(暗号化、保全性、同一性)
プラットフォーム、アプリケーション、IAM
OS、ネットワークとファイヤウォールの構成
お客様のデータAmazonお客様
- 20. セキュリティ関連の第3者認証
• AWSは以下のような第三者認証を取得済み
- SSAE 16/ISAE 3402基準、SOC1レポート(旧SAS70)
- SOC2レポート、SOC3レポート
- ISO 27001 Certification
- PCI DSS Level 1
- FISMA moderate
- Sarbanes-Oxley (SOX)
- FedRAMP
- DoD (国防総省暫定認定)
• AWSにシステムをデプロイし、第三者認証を取得することも可能
- HIPAA (医療関係)
- Pマーク
- ASP・SaaS安全・信頼性に係る情報開示認定制度
- http://aws.amazon.com/jp/security/
- http://aws.amazon.com/jp/compliance/
- 26. 拡大を続けるAWS グローバルインフラストラクチャー
GovCloud 米国西部 米国東部 南米 EU アジアパシフィック 中国
US ITAR
Region
北カリフォルニア オレゴン 北バージニア サンパウロ アイルランド シドニー 東京 シンガポール 中国
10 Regions (地域) | 26 Availability Zones(データセンター群) | 51 Edge Locations
アカウント一つで世界中のデータセンターを利用可能
セキュリティーレベルは全て同じ
使い勝手も全て同じ
- 27. Amazon Virtual Private Cloud (プライベートクラウド)
AWS Direct Connect (専用線接続)
東京リージョン
192.168.11.8 といった
プライベートIPを
持ったサーバーを起動
社内NW
(オンプレ)
お客様専⽤用の
NW領領域を作成可能
Direct
Connect
Internet
VPN
Virtual
GW
VPN接続(BGP/Static)
専⽤用線接続
- 28. AWS Identity and Access Management
= AWSリソースへのアクセス権限の管理
• AWS操作をよりセキュアに行うための認証・認可の仕組み
!
• AWS利用者の認証と、アクセスポリシーを管理
- AWS操作のためのグループ・ユーザーの作成が可能
- グループ、ユーザーごとに、実行出来る操作を規定できる
- ユーザーごとに認証情報の設定が可能
開発チーム 運用チーム
- 31. AWS CloudTrail
• AWS管理操作のログを取得し、暗号化してS3に保存する新機能
- MFA Delete(多要素認証デバイスを用いた消去手法)に対応
- ログファイルは、AWSアカウントID、リージョン、サービス
名、日付、時間の情報毎に分類、圧縮
• 主な活用用途
- コンプライアンス準拠
- リソースのライフサイクル管理
- トラブルシューティング
- セキュリティ面の分析
• 現在、米国東部(バージニア北部)、米国西部(オレゴン)で利用可能
AWSのサービスの利用履歴を取得しセキュリティの分析や監査を行うことができる
新
サ
ー
ビ
ス
詳細はブログにて:http://bit.ly/1gK8khf
- 32. AWS Trusted Advisor
• お客様のAWS環境を精査し、
推奨事項をお知らせ
• コスト削減、可用性、セキュリティ、
パフォーマンスに関して、100個
を超える項目をチェック
• 多くのお客様にAWSのサービスを
適用してきたベストプラクティスが
適用されている
お客様のAWS環境を最適化するアドバイスを行うコンシェルジュ
- 37. 金融機関向け“Amazon Web Services” セキュリティリファレンス
• FISC安全対策基準(第8版)へのAWSの準拠状況を調査した資料を一般公開
• 複数のパートナー様が共同で調査。AWSも調査に協力
• AWSと利用者で責任分担することで、FISC安対基準を満たせるとの見解
• http://aws.amazon.com/jp/aws-jp-fisclist/
- 38. 東京海上日動様
• AWS Summit 2013にご登壇
• 理事IT企画部長 稲葉様
• 次世代のIT基盤としてのビジネスメリットに着目
!
• 第三者認証の確認や、AWSセキュリティグループへの確認を通じ、AWSは
金融でも利用できかを時間をかけて確認
• 第三者認証のレポートと自社内基準のマッピング
• AWSのセキュリティチームとAWSサービスの運用ポリシーを確認
• 有事の際の迅速な連絡体制、対応体制をすりあわせ
- 46. M3インスタンス - 汎用タイプ
• Intel Xeon E5-2670
(Sandy Bridge)
• SSDのインスタン
スストレージ
CPU性能、メモリー、ネットワークのバランスがとれたタイプ
特徴 モデル vCPU メモリ
(GiB)
SSD
ストレージ
(GB)
オンデマン
ド料金
(東京)
m3.medium 1 3.75 1 x 4 $0.101
m3.large 2 7.5 1 x 32 $0.203
m3.xlarge 4 15 2 x 40 $0.405
m3.2xlarge 8 30 2 x 80 $0.810
- 47. C3インスタンス - CPU最適化
• Intel Xeon E5-2670 v2
(Ivy Bridge)
• SSDインスタンスストレージ
• 低レイテンシー、低ジッタ、高
い秒間あたりのパケット性能を
持つ拡張されたネットワーク
(SR-IOV, VPCのみ)
• クラスタリングサポート
CPU性能に特化したタイプ。CPUあたりの料金が最も安い
特徴 モデル vCPU メモリ
(GiB)
SSD
ストレージ
(GB)
オンデマン
ド料金
(東京)
c3.large 2 7 2 x 16 $0.128
c3.xlarge 4 14 2 x 40 $0.255
c3.2xlarge 8 28 2 x 80 $0.511
c3.4xlarge 16 55 2 x 160 $1.021
c3.8xlarge 32 108 2 x 320 $2.043
- 48. R3インスタンス - メモリ最適化
• Intel Xeon E5-2670 v2
(Ivy Bridge)
• SSDインスタンスストレー
ジ
• 低レイテンシー、低ジッタ、
高い秒間あたりのパケット性
能を持つ拡張されたネットワー
ク (SR-IOV, VPCのみ)
メモリに特化したタイプ。メモリGiBあたりの料金が最も安い
特徴 モデル vCPU メモリ
(GiB)
SSD
ストレージ
(GB)
オンデマン
ド料金
(東京)
r3.large 2 15 1 x 32 $0.210
r3.xlarge 4 30.05 1 x 80 $0.420
r3.2xlarge 8 61 1 x 160 $0.840
r3.4xlarge 16 122 1 x 320 $1.680
r3.8xlarge 32 244 2 x 320 $3.360
- 49. I2インスタンス - ストレージ最適化
• Intel Xeon E5-2670 v2
(Ivy Bridge)
• SSDインスタンスストレージ
• TRIMサポート
• 低レイテンシー、低ジッタ、高
い秒間あたりのパケット性能を
持つ拡張されたネットワーク
(SR-IOV, VPCのみ)
ストレージに最適化されており、高いランダムI/O性能、IOPSを提供
i2.8xlargeで秒間365,000超のランダムリードと秒間315,000超のランダムライト
特徴 モデル vCPU メモリ
(GiB)
SSD
ストレージ
(GB)
オンデマン
ド料金
(東京)
i2.xlarge 4 30.05 1 x 800 $1.051
i2.2xlarge 8 61 2 x 800 $2.101
i2.4xlarge 16 122 4 x 800 $4.202
i2.8xlarge 32 244 8 x 800 $8.404
- 50. AWS Elastic Beanstalk for Docker
2014/04/24 http://bit.ly/1f8Bd7z
Meets
Amazon Linux AMI 2014.03 からDockerをサポート
- 53. AWS Summit Tokyo 2014
• 2014年7月17日(木) ∼ 18日(金)
• グランドプリンス新高輪 (国際館パミール)
• 来場無料 (要事前登録)
• http://www.awssummittokyo.com/
- 申し込み受付開始通知メール受付開始!