Weitere ähnliche Inhalte
Ähnlich wie AWSでセキュリティを高める! (20)
Mehr von Serverworks Co.,Ltd. (20)
Kürzlich hochgeladen (11)
AWSでセキュリティを高める!
- 2. おおいし りょう
大石 良
株式会社サーバーワークス
代表取締役
– 昭和4488年77月2200日 新潟市生まれ
– コンピューターとの出会いは1100歳の頃
– 当時はPPCC--88000011にベーマガのプログラムを入�力する日々
– コンピューターの購入�は1111歳 / SSHHAARRPP XX11
– 中22の時に初めてプログラムが書籍に掲載
– 高校入�学記念にXX6688000000を購入�
– 大学生の時にパソコン通信開始。本格的にシェアウェアを販売
– 総合商社でインターネットサービスプロバイダー事業に携わる
– 22000000年にEECCのAASSPPを立ち上げるべく起業
- 3. クラウド の すけ
おおいし
大石
蔵人之助
株式会社サーバーワークス
代表取締役
– 昭和4488年77月2200日 新潟市生まれ
– コンピューターとの出会いは1100歳の頃
– 当時はPPCC--88000011にベーマガのプログラムを入�力する日々
– コンピューターの購入�は1111歳 / SSHHAARRPP XX11
– 中22の時に初めてプログラムが書籍に掲載
– 高校入�学記念にXX6688000000を購入�
– 大学生の時にパソコン通信開始。本格的にシェアウェアを販売
– 総合商社でインターネットサービスプロバイダー事業に携わる
– 22000000年にEECCのAASSPPを立ち上げるべく起業
- 17. 22001111年
AWS Solution Provider
22001122年
Amazon Partner Network最上位の
Advanced
Consulting Partner
- 23. サイトダウンの理由
被災者: 非被災者:
救急医療など、支援 義援金やボランティ
が受けられる場所を ア活動など、支援で
探す目的で きる方法を探す目的
- 28. 負荷分散装置
20台の、物理的に離れた
2つのデータセンターに設置
されたウェブサーバー 1日に500万通送信できる
メールサーバー
物理的に離れたデータセンター間で
リアルタイムに同期し、かつ1時間おきに
環境構築22時間 バックアップを取るデータベース
アプリ開発4488時間
- 29. タイムチャート:
33月1144日 日本赤十字社様との打ち合わせ
33月1155日 サイト復旧
33月1177日 義援金管理システム稼働開始
- 34. 一般的なシステムの脅威
外部
データ漏えい 攻撃者によるアタック
内部 物理的アクセスによる
データ盗難
- 35. クラウド特有の脅威
仮想マシン
場所が分からなくて、
なんとなく不安・・・
仮想マシン 物理マシンを共有したら、意
図せず漏洩したりしないか
AAWWSSのオペレーターが情報を
仮想マシン もっていったりしないか?
- 38. 第三者認証
• ISMS(ISO27001)
• PCI DSS Level 1
• FISMA-Modarate
• ISAE3402 SOC1
(formerly known as SAS70 type II)
- 39. テクノロジー
• 特許技術で、XXeennを拡張
• AAWWSS社員も顧客のデータに
アクセスできない
- 52. クラウドも、銀行と同じです
• セキュリティ
– 社内よりAAWWSSの方が堅牢な物理セキュリティを確保
• 可用性
– クラウド側で高い耐久性を維持
(SS33のファイル耐久性は9999..999999999999999999%%)
• 利便性
– ネット越しにどこからでも簡単にアクセス
- 53. NASAと、御社とでは、
どちらがIITTインフラの
セキュリティレベルを保つ
仕組みが整っていると思いますか?
- 54. AAWWSSで、われわれの組織内の
インフラよりもはるかに高い
セキュリティを保てるようになる
NASA
ジェット推進研究所(JPL)のシニア・ソリューション・アーキテクト
カワジャ・シャムズ(Khawaja
Shams)氏
h3p://www.atmarkit.co.jp/ait/ar>cles/1301/24/news087.html
- 57. 考慮すべき事項
物理 ネットワーク
• データセンター • 経路の安全確保
入�館 • 攻撃からの防御
• 物理アクセス • ログイン
• 交換・廃棄�
- 68. 防御(L3/L4)
• IPS/IDS
– Snort
– CheckPoint Virtual Applicance
• DDoS, SYN Flood辺りは
AAWWSSが防いでくれる!
- 70. WAF運用の課題・・
• 24h365dの対応が必要
• 攻撃が来たときに素早く分析
– ゼロデイ攻撃へ対応できる体制
- 72. Route53
メインコンテンツ
Proxy
WAF Service
- 76. ログインセキュリティ
(ホスト)
• 公開鍵認証
• SSH, RDPセッションの記録
– NRIセキュアテクノロジーズ
SecureCube
- 77. ログインセキュリティ
(マネジメントコンソール)
1. IAM
2. MFA
33.. アカウントをSalesforceに
– 安全な共有
– 最小限のアクセス
- 78. ログインセキュリティ
(マネジメントコンソール)
• (評価中)シングルサインオン
– OneLogin
– okta
- 84. AAWWSSのセキュリティモデル
特権
アクセス
外部
VVPPNN 一般ユーザー
IIAAMM,, MMFFAA
アタック
仮想マシン
内部同士の共有も、
明示しない限り禁止
仮想マシン
物理的 AAWWSSが
内部 防御
アクセス
- 87. 今までのSI
のどが
渇いた!
○×○×○×○×○ ○×○×○×○×○
×○×○×○×○× ×○×○×○×○×
○×○×○×○×
○×○×○×○×
調達チーム 品質チーム
○×○×○×○×○ ○×○×○×○×○ ○×○×○×○×○ ○×○×○×○×○
×○×○×○×○× ×○×○×○×○× ×○×○×○×○× ×○×○×○×○×
○×○×○×○×
○×○×○×○×
○×○×○×○×
○×○×○×○×
バケツを 川から 水の量を 水の品質を
調達する係 水をくむ係 計る係 調べる係
- 89. 今までのSSII
• 「人が多い」ことが前提だった
• 「コミュニケーション」が重要なスキル
だった
• 下請け企業の役割は、技術では無く
「人材バッファ」だった
- 90. クラウド型SSIIでは
• 非常に小さいチーム
• スピーディーなデリバリー
• つくらない技術≒使う技術
が重要に!
– 「組み合わせる」分子式の知識
• AWSのCDP
• EC2+TrendMicro
• AWS+NetScaler WAF+GSLB
- 96.
セキュアなシステムで
ハッピーなエンジニアライフを!