Suche senden
Hochladen
組織利用におけるMFA管理方法を考える OpsJAWS Meetup#8
•
Als PPTX, PDF herunterladen
•
5 gefällt mir
•
4,496 views
K
Kohei Hoshi
Folgen
OpsJAWS Meetup#8 http://www.skyarch.net/blog/?p=8546
Weniger lesen
Mehr lesen
Internet
Melden
Teilen
Melden
Teilen
1 von 27
Jetzt herunterladen
Empfohlen
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
Amazon Web Services Japan
20200212 AWS Black Belt Online Seminar AWS Systems Manager
20200212 AWS Black Belt Online Seminar AWS Systems Manager
Amazon Web Services Japan
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
NTT DATA Technology & Innovation
20210216 AWS Black Belt Online Seminar AWS Database Migration Service
20210216 AWS Black Belt Online Seminar AWS Database Migration Service
Amazon Web Services Japan
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
Amazon Web Services Japan
AWS Black Belt Online Seminar 2017 Amazon DynamoDB
AWS Black Belt Online Seminar 2017 Amazon DynamoDB
Amazon Web Services Japan
AWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティス
Akihiro Kuwano
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
Amazon Web Services Japan
Empfohlen
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
Amazon Web Services Japan
20200212 AWS Black Belt Online Seminar AWS Systems Manager
20200212 AWS Black Belt Online Seminar AWS Systems Manager
Amazon Web Services Japan
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
NTT DATA Technology & Innovation
20210216 AWS Black Belt Online Seminar AWS Database Migration Service
20210216 AWS Black Belt Online Seminar AWS Database Migration Service
Amazon Web Services Japan
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
Amazon Web Services Japan
AWS Black Belt Online Seminar 2017 Amazon DynamoDB
AWS Black Belt Online Seminar 2017 Amazon DynamoDB
Amazon Web Services Japan
AWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティス
Akihiro Kuwano
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
Amazon Web Services Japan
AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05
AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05
都元ダイスケ Miyamoto
Istioサービスメッシュ入門
Istioサービスメッシュ入門
Yoichi Kawasaki
20190320 AWS Black Belt Online Seminar Amazon EBS
20190320 AWS Black Belt Online Seminar Amazon EBS
Amazon Web Services Japan
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
Amazon Web Services Japan
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
Amazon Web Services Japan
20201118 AWS Black Belt Online Seminar 形で考えるサーバーレス設計 サーバーレスユースケースパターン解説
20201118 AWS Black Belt Online Seminar 形で考えるサーバーレス設計 サーバーレスユースケースパターン解説
Amazon Web Services Japan
AWS Black Belt Online Seminar AWS Direct Connect
AWS Black Belt Online Seminar AWS Direct Connect
Amazon Web Services Japan
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
Amazon Web Services Japan
Amazon Aurora - Auroraの止まらない進化とその中身
Amazon Aurora - Auroraの止まらない進化とその中身
Amazon Web Services Japan
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
Amazon Web Services Japan
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
Amazon Web Services Japan
20190226 AWS Black Belt Online Seminar Amazon WorkSpaces
20190226 AWS Black Belt Online Seminar Amazon WorkSpaces
Amazon Web Services Japan
AWS CLIでAssumeRole
AWS CLIでAssumeRole
Tetsunori Nishizawa
マイクロサービス 4つの分割アプローチ
マイクロサービス 4つの分割アプローチ
増田 亨
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
Amazon Web Services Japan
AWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティス
Amazon Web Services Japan
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
Amazon Web Services Japan
20190730 AWS Black Belt Online Seminar Amazon CloudFrontの概要
20190730 AWS Black Belt Online Seminar Amazon CloudFrontの概要
Amazon Web Services Japan
20191001 AWS Black Belt Online Seminar AWS Lake Formation
20191001 AWS Black Belt Online Seminar AWS Lake Formation
Amazon Web Services Japan
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
Amazon Web Services Japan
20130518 大規模mt環境の実装on aws
20130518 大規模mt環境の実装on aws
Serverworks Co.,Ltd.
AWS Black Belt Online Seminar 2017 Amazon EC2 Systems Manager
AWS Black Belt Online Seminar 2017 Amazon EC2 Systems Manager
Amazon Web Services Japan
Weitere ähnliche Inhalte
Was ist angesagt?
AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05
AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05
都元ダイスケ Miyamoto
Istioサービスメッシュ入門
Istioサービスメッシュ入門
Yoichi Kawasaki
20190320 AWS Black Belt Online Seminar Amazon EBS
20190320 AWS Black Belt Online Seminar Amazon EBS
Amazon Web Services Japan
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
Amazon Web Services Japan
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
Amazon Web Services Japan
20201118 AWS Black Belt Online Seminar 形で考えるサーバーレス設計 サーバーレスユースケースパターン解説
20201118 AWS Black Belt Online Seminar 形で考えるサーバーレス設計 サーバーレスユースケースパターン解説
Amazon Web Services Japan
AWS Black Belt Online Seminar AWS Direct Connect
AWS Black Belt Online Seminar AWS Direct Connect
Amazon Web Services Japan
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
Amazon Web Services Japan
Amazon Aurora - Auroraの止まらない進化とその中身
Amazon Aurora - Auroraの止まらない進化とその中身
Amazon Web Services Japan
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
Amazon Web Services Japan
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
Amazon Web Services Japan
20190226 AWS Black Belt Online Seminar Amazon WorkSpaces
20190226 AWS Black Belt Online Seminar Amazon WorkSpaces
Amazon Web Services Japan
AWS CLIでAssumeRole
AWS CLIでAssumeRole
Tetsunori Nishizawa
マイクロサービス 4つの分割アプローチ
マイクロサービス 4つの分割アプローチ
増田 亨
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
Amazon Web Services Japan
AWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティス
Amazon Web Services Japan
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
Amazon Web Services Japan
20190730 AWS Black Belt Online Seminar Amazon CloudFrontの概要
20190730 AWS Black Belt Online Seminar Amazon CloudFrontの概要
Amazon Web Services Japan
20191001 AWS Black Belt Online Seminar AWS Lake Formation
20191001 AWS Black Belt Online Seminar AWS Lake Formation
Amazon Web Services Japan
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
Amazon Web Services Japan
Was ist angesagt?
(20)
AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05
AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05
Istioサービスメッシュ入門
Istioサービスメッシュ入門
20190320 AWS Black Belt Online Seminar Amazon EBS
20190320 AWS Black Belt Online Seminar Amazon EBS
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
20201118 AWS Black Belt Online Seminar 形で考えるサーバーレス設計 サーバーレスユースケースパターン解説
20201118 AWS Black Belt Online Seminar 形で考えるサーバーレス設計 サーバーレスユースケースパターン解説
AWS Black Belt Online Seminar AWS Direct Connect
AWS Black Belt Online Seminar AWS Direct Connect
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
Amazon Aurora - Auroraの止まらない進化とその中身
Amazon Aurora - Auroraの止まらない進化とその中身
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190226 AWS Black Belt Online Seminar Amazon WorkSpaces
20190226 AWS Black Belt Online Seminar Amazon WorkSpaces
AWS CLIでAssumeRole
AWS CLIでAssumeRole
マイクロサービス 4つの分割アプローチ
マイクロサービス 4つの分割アプローチ
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
AWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティス
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
20190730 AWS Black Belt Online Seminar Amazon CloudFrontの概要
20190730 AWS Black Belt Online Seminar Amazon CloudFrontの概要
20191001 AWS Black Belt Online Seminar AWS Lake Formation
20191001 AWS Black Belt Online Seminar AWS Lake Formation
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
Ähnlich wie 組織利用におけるMFA管理方法を考える OpsJAWS Meetup#8
20130518 大規模mt環境の実装on aws
20130518 大規模mt環境の実装on aws
Serverworks Co.,Ltd.
AWS Black Belt Online Seminar 2017 Amazon EC2 Systems Manager
AWS Black Belt Online Seminar 2017 Amazon EC2 Systems Manager
Amazon Web Services Japan
XaaS企業がカスタマーサクセスを必要とする3つの理由
XaaS企業がカスタマーサクセスを必要とする3つの理由
Natsuko Okada
AWS Support
AWS Support
Amazon Web Services Japan
Amazon WorkSpaces導入からはじめるスケーラブルなオフィス運営と、業務システムのクラウド移行
Amazon WorkSpaces導入からはじめるスケーラブルなオフィス運営と、業務システムのクラウド移行
Tetsunori Nishizawa
jaws-ug_santo-iam
jaws-ug_santo-iam
慶 宮澤
AWSSummitTokyo2017 SRCセッション振り返り
AWSSummitTokyo2017 SRCセッション振り返り
Shogo Matsumoto
Jcss 「はじめよう!クラウド」配布用
Jcss 「はじめよう!クラウド」配布用
chirashier
会社概要_株式会社サーバーワークス
会社概要_株式会社サーバーワークス
Serverworks Co.,Ltd.
Aws説明資料
Aws説明資料
Genki Fukusaki
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
Amazon Web Services Japan
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
cyberagent
20170429 jaws ug-okinawa
20170429 jaws ug-okinawa
Hiroshi Morita
IBM Cloudのアカウント管理を学ぶ。リソースグループってなに?
IBM Cloudのアカウント管理を学ぶ。リソースグループってなに?
KotaSato3
AWS Black Belt Online Seminar Antipattern
AWS Black Belt Online Seminar Antipattern
Amazon Web Services Japan
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
Amazon Web Services Japan
セキュリティ設計の頻出論点
セキュリティ設計の頻出論点
Tomohiro Nakashima
AWS紹介&AWSとオープンデータの事例紹介
AWS紹介&AWSとオープンデータの事例紹介
Yasuhiro Horiuchi
HTML5J AWS でできるIoT
HTML5J AWS でできるIoT
Toshiaki Enami
IDaaSを用いた複数AWSアカウントのログインで良かったこと困ったこと
IDaaSを用いた複数AWSアカウントのログインで良かったこと困ったこと
Takayuki Ishikawa
Ähnlich wie 組織利用におけるMFA管理方法を考える OpsJAWS Meetup#8
(20)
20130518 大規模mt環境の実装on aws
20130518 大規模mt環境の実装on aws
AWS Black Belt Online Seminar 2017 Amazon EC2 Systems Manager
AWS Black Belt Online Seminar 2017 Amazon EC2 Systems Manager
XaaS企業がカスタマーサクセスを必要とする3つの理由
XaaS企業がカスタマーサクセスを必要とする3つの理由
AWS Support
AWS Support
Amazon WorkSpaces導入からはじめるスケーラブルなオフィス運営と、業務システムのクラウド移行
Amazon WorkSpaces導入からはじめるスケーラブルなオフィス運営と、業務システムのクラウド移行
jaws-ug_santo-iam
jaws-ug_santo-iam
AWSSummitTokyo2017 SRCセッション振り返り
AWSSummitTokyo2017 SRCセッション振り返り
Jcss 「はじめよう!クラウド」配布用
Jcss 「はじめよう!クラウド」配布用
会社概要_株式会社サーバーワークス
会社概要_株式会社サーバーワークス
Aws説明資料
Aws説明資料
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
20170429 jaws ug-okinawa
20170429 jaws ug-okinawa
IBM Cloudのアカウント管理を学ぶ。リソースグループってなに?
IBM Cloudのアカウント管理を学ぶ。リソースグループってなに?
AWS Black Belt Online Seminar Antipattern
AWS Black Belt Online Seminar Antipattern
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
セキュリティ設計の頻出論点
セキュリティ設計の頻出論点
AWS紹介&AWSとオープンデータの事例紹介
AWS紹介&AWSとオープンデータの事例紹介
HTML5J AWS でできるIoT
HTML5J AWS でできるIoT
IDaaSを用いた複数AWSアカウントのログインで良かったこと困ったこと
IDaaSを用いた複数AWSアカウントのログインで良かったこと困ったこと
組織利用におけるMFA管理方法を考える OpsJAWS Meetup#8
1.
組織利用におけるMFA管理方法を考え る
2.
2 自己紹介 • 星 幸平/
Hoshi Kohei • 株式会社スカイアーチネットワークス • 好きなAWSサービス IAM、CloudFormation、AWS CLI • 最近のハマり事 ゴルフ(コース未デビュー)テニス ポケゴー(赤26)、油そば
3.
3 どんな会社? サバカン屋 (サーバー管理) 大阪 NY 大連 東京サバ缶活動
4.
4 業務風景 サーバー購入 サーバー構築 サーバー運用
5.
5 はじめに MFAつかっていますか? Yes? No?
6.
6 導入しましょう ルート(特権)アカウントには必ず適用しましょう ※できればIAMユーザーにもね!
7.
7 MFA(AWS Multi-Factor Authentication)とは? •
AWS Multi-Factor Authentication (AWS MFA) は、AWS 環境のセキュリティ を非常に高いレベルに強化するサービスです。AWS MFA は、AWS アカ ウント、およびこのアカウントで作成した個別の AWS Identity and Access Management (IAM) ユーザーに対して有効にできます。 • 通常の認証(IDパスワード、APIアクセス)に加えて時刻ベースのワン タイムパスワードによる2段階認証を実装できる
8.
8 MFAを導入する理由 • 特権アカウントは全権限を所有しているため、漏洩リスクがどでかい • 過去、漏洩した特権アカウントの悪用が話題となった •
特権アカウントはアクセスキーを削除してMFAで保護、IAMで権限を使 い分けて運用する AWSアカウント IAM 全機能使用可 AWSリソースは基本的に利用可能 (一部例外有り ※1) 契約関連の操作不可(解約、サ ポートプランの変更、通信設定、 AWSアカウントの情報変更) ※1 IAM をサポートする AWS サービス http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_a ws-services-that-work-with-iam.html
9.
9 組織で複数アカウントを管理しているケース • アカウント数は数十~数百単位で管理している • プロジェクト、エンドユーザー、案件毎にアカウントが分かれている •
一括請求(コンソリデーティッドビリング)で請求を管理している • MFA管理方法がアカウント、案件毎に違う 規模が大きくなると管理の手間がかかる(はず)
10.
10 要件(希望) • ルート(特権)アカウントへのMFA導入は必須 • 出来ればIAMユーザーの導入も可能 •
MFAにアクセスする権限を管理したい(決められた人だけがMFAを使 用) • セキュリティを担保しつつ複数拠点からリモートでMFAアクセスしたい • 可用性、信頼性を考慮したい(USに電話連絡して再設定するリスクを極 力除外したい)
11.
11 ハードウェアMFA? or 仮想MFA? ハードウェアMFA、仮想MFAから色々選択できます ※SMS
MFAはプレビュー版のため除外
12.
12 ハードウェアMFAを検討してみる キーホルダー型かカード型
13.
13 保管場所 • セキュリティの高い場所を選定して保管 • 会社の金庫、銀行の貸金庫等 •
高温多湿、物の出入りの激しい過酷な環境は避ける • 温度、湿度、圧力などの環境要因により、クロックがずれたりデバ イスが壊れたりする
14.
14 正しく保管しなかった結果
15.
15 収納について 複数個管理するのはつらい 形的に収納性がイマイチ(複数個管理に向いていない) カードバインダーで収納は解決できそう
16.
16 カード型はどうなのか • 同期について • 早い時は1~2ヶ月で同期切れになる •
定期的に再同期をする必要がある • 最悪USのサポートに電話連絡する必要がある • 時刻ずれを再同期を前提とした運用設計が必要 • リモートアクセス、可用性、信頼性について • 物理デバイスという性質上、難しい • コスト • 20ドル * 個数分 • 管理工数、ロケーション代等 • そもそも購入できない • 販売停止中、再販見込み未定?(2016年9月現在)→
17.
17 仮想MFA(スマートフォン)を検討してみる • 代表的なアプリはGoogle AuthenticatorとAuthy •
RFC 6238 – TOTP に対応した実装ソフトウェアであれば利用可能
18.
18 仮想MFA(スマートフォン)を検討してみる • 同期について • スマホ本体の時刻同期が出来ていれば再同期の心配はない •
コスト • アプリケーションは基本無料 • ハードウェアの調達代(スマホ本体等)、保管場所 • 管理方法 • 基本的に持ち歩くことを想定しないため、安全な場所で厳重に保管 • ハードウェアMFAと同じような管理方法
19.
19 仮想MFA(スマートフォン)で要件を満たせるのか • 収納について • 1ハードウェアで複数のアカウントでトークンを発行可能 •
MFAアクセス可能な権限を管理したい(決められた人だけがアクセス) • 保管場所の運用次第で可能 • セキュリティを担保しつつリモートでもMFAアクセスしたい • リモートアクセス自体は出来なくもないが・・・ • リモートアクセスを想定した端末ではない • 可用性、信頼性 を考慮したい(壊れて再設定というリスクを極力除外 したい) • スマホ端末自体の信頼性は機種によって異なる • バックアップは可能(アプリ、スマホOS)
20.
20 仮想MFA(ソフトウェア型)を検討してみる • RFC 6238
– TOTP に対応した実装ソフトウェアであれば利用可能※1 • WinAuthとet-otp等 ※- RFC 6238 - TOTP: Time-Based One-Time Password Algorithm http://tools.ietf.org/html/rfc6238
21.
21 仮想MFA(ソフトウェア型)を検討してみる • 実行条件を満たしていればどの端末でも実行可能 • Windows、Linux、Mac等・・・ •
et-OTPはjavaの実行環境があれば起動可能 • WinAuthはWindowsのみ対応 • 同期について • 起動端末側の時刻同期が出来ていれば再同期の心配はない • コスト • ソフトウェアは基本無料 • ハードウェアの調達代(ストレージ、実行環境)
22.
22 仮想MFA(ソフトウェア型)で要件を満たせるのか • MFAアクセス可能な権限を管理したい(決められた人だけがアクセス) • 端末側、保管先のストレージ側等で権限管理の選択肢は多い •
セキュリティを担保しつつリモートでもMFAアクセスしたい • 色々手段がある、可能 • 可用性、信頼性 を考慮したい(壊れて再設定というリスクを極力除外 したい) • ファイル形式かつサイズが小さいのでストレージ等に保管しやすい (数百バイト)
23.
23 実際に管理方法を検討する • 仮想MFA(ソフトウェア型) WinAuthを採用 •
利用端末はWindows • MFA保管場所は社内基幹システムのストレージサーバー • RAID1以上の冗長性を保ちたい • 管理者のみがMFA保管場所にアクセス可能 • WindowsのADでアクセス権限を管理 • 複数拠点からのリモートアクセスが可能 • オフィス、自宅等アクセスを想定 • DRもある程度考慮したい • 別ロケーションにMFAのexeファイルをバックアップ
24.
24 運用してみた ①exeファイルにアクセス ②WinAuth起動 ③トークン発行 ④ルート(特権)アカウントログイン ※設定ファイルをS3にバックアップ
25.
25 運用してみてわかったこと • 同期切れの心配がなくなった • 今のところ同期が切れたことはない •
リモートアクセスが便利 • 便利な反面、運用の注意は必要である • 特にリモート端末側のセキュリティ対策(運用方法も)は怠らない! • MFAデバイスの管理から解放された • 物理MFAやスマホの購入、物理故障等々の管理は結構大変 • その代わりアクセス権の管理と構成の運用が必要になった • ついでにディザスタリカバリの対策にもなった • 遠隔地へのバックアップが容易 • 災害等で保管場所への物理アクセスが不可能になるリスクを回避
26.
26 まとめ • 仮想MFAが必ずしも最適解というわけではない • ハードウェアMFA、仮想MFAそれぞれの特徴を理解して選定する •
利用ケースに応じて正しくMFAの運用方法を選択する。 • 今回の紹介例も最強の運用方法ではない。セキュリティ要件、規模、 予算毎に適切な運用方法を検討しましょう
27.
ご清聴ありがとうございました。
Hinweis der Redaktion
では、早速組織に利用におけるMFA管理方法を下記のような要件を例として考えていきたいと思います。 1点目は大前提としてルート(特権)アカウントにはMFAを導入します。 理由は最初に説明したとおり、漏洩のリスクが非常に大きいからです。 IAMのMFAを有効化も視野に入れておきます。 2点目は決められた権限のある人だけがMFAを利用できる権限とします 3点目は複数拠点からリモートでもアクセスが出来ること 利便性とセキュリティの両立は難しいですが、出来る限りセキュリティを保ったままリモートでアクセスできる方法を検討します 4点目は可用性と信頼性です ハードウェアの故障と同期切れによってMFAを再設定するリスクを可能な限り除外したいです
実際に利用するMFAを検討していきたいと思います MFAは大きくわけて2つ、専用物理デバイスでトークンを発行するハードウェアMFAと、スマートフォンやPCのソフトウェアからトークンを発行する仮想MFAがあります。 SMS MFAも存在しますが、現在はプレビュー版のため今回は選択肢から除外しています
まずはハードウェアMFAから検討していきます タイプは2種類あってキーホルダー型とカード型が存在しています。
Jetzt herunterladen