プログラミングマガジン

プログラミングを中心にIT技術をできるだけわかりやすくまとめます。

  • ホーム
  • AWS
  • 【AWS】セキュリティの考え方(責任共有モデル、SSO、Cognito、CloudTrai…
 
 
     
  • サーバー言語  
    • Python
    • Ruby
    • PHP
    • SQL
  •  
  • インフラ  
       
    • AWS
    •  
    • 基本
    • Git
  • Web
       
    • Web開発
    • JavaScript
    • Vue.js
    • React
  •  
  • 設計  
       
    • 実装設計
    • DB設計
  • 問い合わせ
  

【AWS】セキュリティの考え方(責任共有モデル、SSO、Cognito、CloudTrail、KMS、Inspector、ACM、WAFなど)

01.16

  • miyabisan2
  • コメントを書く

この記事は3分で読めます

責任共有モデル

お客様で担保

利用者や要件によって様々な物が構築されるのでユーザー自身が勉強して設定する必要があります。

  • 客のデータ
  • プラットフォーム、アプリケーション、IDとアクセス管理
  • クライアント側データ暗号化、データ整合性認証
  • サーバー側暗号化(ファイルシステムやデータ)
  • ネットワークトラフィック保護(暗号化、整合性、アイデンティティ)

AWS側で担保

インフラに近い部分なので誰がやってもそんなに変わらないためAWS側のベストプラクティスで担保してくれます。規模の経済もかかります。

  • ソフトウェア
  • コンピュート
  • ストレージ
  • データベース
  • ネットワーキング
  • ハードウェア/AWSグローバルインフラストラクチャー
  • リージョン
  • アベイラビリティゾーン
  • エッジロケーション

客が扱う必要があるセキュリティ関連サービス

客がセキュリティを担保するためにAWSが用意している様々なサービスがあります。

アイデンティティ(ID管理/認証/認可)

ID管理/認証

AWS Single Sign-on(SSO)とは?

複数のAWSアカウントやビジネスアプリへのシングルサインオンを実現する。

Directory Service

マネージド型Microsoft Active Directory、複数のIDとパスワードを管理できる。

Cognito

カスタムアプリの認証機能とAWS Credentialsの発行

特徴
強固な認証
  • 多要素認証
  • パスワードポリシー
  • AWS Credentialsを発行できる。
ユーザビリティ
  • ソーシャル連携(Amazon、Googleアカウントなどと連携)
ガバナンスコンプライアンス
  • 外部IDプロバイダ連携(SAML2.0に対応)
  • CloudTrail対応(監査)
構築/運用
  • プログラミング不要
  • マネージドで負荷軽減
Cloud Directory

様々なユースケースに対応するディレクトリ機能を提供

認可

IAM

権限管理を扱うサービスで、セキュリティにおいて最も重要なサービスです。

Secrets Manager

パスワードのライフサイクル管理

リソース管理

Organizations

複数のAWSアカウントのリソースをポリシーで制御

Resource Access Manager

複数のAWSアカウントへのリソース共有を制御

発見的コントロール

Security Hub

GuardDuty

CloudTrail

操作ログを残せます。監査証跡ログを残したりするために使います。

  • 操作ログを記録することができる機能のことです。
  • S3にログが保存されて永続的に保存することが可能です。
  • CloudTrail自体は無料ですが、S3の料金は有料になります。
設定
証跡情報を全てのリージョンに適用

全てのリージョンにおいてログの記録を行うことが可能です。

管理イベント

読み込みや書き込み等どのような操作をされたかを記録区分を設定できます。基本的にはどのような操作も記録しておいた方が良いので「全て」を選択するのが良いでしょう。

データイベント

どこにログを保存するか設定できます。S3かLambdaから選択することが可能です。

ストレージバケット

バケット名はそのままURLになるためS3の中で全ユーザー、全世界で唯一の保存先(S3バケット)を指定します。

Config

CloudWatch

VPC Flow Logs

基盤セキュリティ(インフラ保護)

Systems Manager

Shield

WAF

フルマネージドなWebアプリケーションファイアウォールサービスです。

複数のルールを組み合わせてトラフィックがアプリケーションに到達する方法を制御できます。

ルール

様々なルールを定義できます。

  • 特定のIPアドレスのみを許可するルール
  • 特定のヘッダが付与されているGETリクエストのみ許可するルール
  • SQLインジェクション、クロスサイトスクリプティングなどの一般的な攻撃をブロックするルール
ルールグループ

ルールを集約した定義になります。検査するルールの優先度を定義できます。

ウェブACL

「ルールグループ」と「適用するAWSリソース」の紐付けの役割です。

紐付け先の例
  • ALB
  • API Gateway
  • CloudFront

Inspector

EC2にエージェントを導入してセキュリティを評価するホスト型解析ツールです。

メリット

通常は脆弱性診断をしたい場合はAWSへの攻撃かもしれないのでAWSへの事前申請が必要になりますが、InspectorはAWSのサービスとして提供されているので事前の申請は必要なく開発の手間の削減になります。

提供する価値
AWSが提供する複数のルールパッケージによる評価

利用者は選択します。

評価結果のエグゼクティブサマリを提供

エージェントで評価した結果の評価結果を集計結果を表示してくれます。

自動化によるDevOpsプロセスへの統合

APIとして提供されているのでデプロイ時に脆弱性診断も組み込むことができます。

VPC

データ保護

KMS

暗号鍵を作成、運用、管理できるマネージドサービスです。

背景

鍵の管理は大変で鍵が失われたら全情報へのアクセスが損なわれてしまいます。鍵管理をAWSへ任せることで客は本来の開発作業に集中できる。

特徴
  • 暗号鍵の可用性、機密性を保護
  • 暗号鍵の有効化、ローテーション
  • AWSサービスにおけるデータを暗号化
  • SDKとの連携でお客様の独自アプリケーションデータを暗号化

CloudHSM

Macle

AWS Certificate Manager(ACM)

簡単にSSL/TLS証明書を作成、管理、配置できるサービスです。

特徴
  • ドメイン認証(DV)タイプの証明書を無料で提供する。
  • 秘密鍵はAWSサービスで安全に管理されている。
メリット
利用は無料

全ての通信経路で有償の証明書を使って暗号化するのはコストがかかりすぎる。

AWSが更新処理をマネージドサービスとして管理

自動でやってくれる。

CloudFront、ELBなどのAWSサービスへ統合

Server-Side Encryption

インシデントレスポンス(訂正的統制)

Config Rules

Lambda

スポンサーリンク
  • 2021 01.16
  • miyabisan2
  • コメントを書く
  • AWS
  • Tweets Twitter
  • このエントリーをはてなブックマークに追加
  • LINEで送る

関連記事

  1. 2019 11.24

    【AWS】「Amazon EC2インスタンス」、「セキュリティグループ」や「ACL」について

  2. 2020 12.28

    【AWS】EC2の「インスタンスタイプ」、「購入オプション」について

  3. 2020 06.09

    【AWS】EC2の構築手順、SSH設定手順

  4. 2020 12.31

    【AWS】「EKS」、「eksctl」

  5. 2021 01.16

    【AWS】各サービスにかかるコストまとめ、コスト把握方法

  6. 2020 02.24

    【AWS】「S3」、設定など

  • コメント ( 0 )
  • トラックバック ( 0 )
  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。

返信をキャンセルする。

【AWS】「RDS」で使えるスペックの種類

【AWS】「SES」、送信アクティビティのモニタリング…

RETURN TOP

著者プロフィール

エンジニア歴10年で過去に業務系、Webデザイン、インフラ系なども経験あります。現在はWeb系でフロントエンド開発中心です。

詳細なプロフィールはこちら

スポンサーリンク

カテゴリー

  • Android
  • AngularJS
  • API
  • AWS
  • C++
  • CSS
  • cursor
  • C言語
  • DDD
  • DevOps
  • Django
  • Docker
  • Figma
  • Git
  • GitLab
  • GraphQL
  • gRPC
  • Hasura
  • Java
  • JavaScript
  • Kubernetes
  • Laravel
  • linux
  • MySQL
  • Next.js
  • nginx
  • Node.js
  • NoSQL
  • Nuxt.js
  • Oracle
  • PHP
  • Python
  • React
  • Redux
  • Rspec
  • Ruby
  • Ruby on Rails
  • Sass
  • Spring Framework
  • SQL
  • TypeScript
  • Unity
  • Vue.js
  • Webサービス開発
  • Webデザイン
  • Web技術
  • インフラ
  • オブジェクト指向
  • システム開発
  • セキュリティ
  • その他
  • データベース
  • デザインパターン
  • テスト
  • ネットワーク
  • プログラミング全般
  • マイクロサービス
  • マイクロソフト系技術
  • マルチメディア
  • リファクタリング
  • 副業
  • 未分類
  • 業務知識
  • 生成AI
  • 設計
  • 関数型言語
RETURN TOP

Copyright ©  プログラミングマガジン | プライバシーポリシー