責任共有モデル
お客様で担保
利用者や要件によって様々な物が構築されるのでユーザー自身が勉強して設定する必要があります。
- 客のデータ
- プラットフォーム、アプリケーション、IDとアクセス管理
- クライアント側データ暗号化、データ整合性認証
- サーバー側暗号化(ファイルシステムやデータ)
- ネットワークトラフィック保護(暗号化、整合性、アイデンティティ)
AWS側で担保
インフラに近い部分なので誰がやってもそんなに変わらないためAWS側のベストプラクティスで担保してくれます。規模の経済もかかります。
- ソフトウェア
- コンピュート
- ストレージ
- データベース
- ネットワーキング
- ハードウェア/AWSグローバルインフラストラクチャー
- リージョン
- アベイラビリティゾーン
- エッジロケーション
客が扱う必要があるセキュリティ関連サービス
客がセキュリティを担保するためにAWSが用意している様々なサービスがあります。
アイデンティティ(ID管理/認証/認可)
ID管理/認証
AWS Single Sign-on(SSO)とは?
複数のAWSアカウントやビジネスアプリへのシングルサインオンを実現する。
Directory Service
マネージド型Microsoft Active Directory、複数のIDとパスワードを管理できる。
Cognito
カスタムアプリの認証機能とAWS Credentialsの発行
特徴
強固な認証
- 多要素認証
- パスワードポリシー
- AWS Credentialsを発行できる。
ユーザビリティ
- ソーシャル連携(Amazon、Googleアカウントなどと連携)
ガバナンスコンプライアンス
- 外部IDプロバイダ連携(SAML2.0に対応)
- CloudTrail対応(監査)
構築/運用
- プログラミング不要
- マネージドで負荷軽減
Cloud Directory
様々なユースケースに対応するディレクトリ機能を提供
認可
IAM
権限管理を扱うサービスで、セキュリティにおいて最も重要なサービスです。
Secrets Manager
パスワードのライフサイクル管理
リソース管理
Organizations
複数のAWSアカウントのリソースをポリシーで制御
Resource Access Manager
複数のAWSアカウントへのリソース共有を制御
発見的コントロール
Security Hub
GuardDuty
CloudTrail
操作ログを残せます。監査証跡ログを残したりするために使います。
- 操作ログを記録することができる機能のことです。
- S3にログが保存されて永続的に保存することが可能です。
- CloudTrail自体は無料ですが、S3の料金は有料になります。
設定
証跡情報を全てのリージョンに適用
全てのリージョンにおいてログの記録を行うことが可能です。
管理イベント
読み込みや書き込み等どのような操作をされたかを記録区分を設定できます。基本的にはどのような操作も記録しておいた方が良いので「全て」を選択するのが良いでしょう。
データイベント
どこにログを保存するか設定できます。S3かLambdaから選択することが可能です。
ストレージバケット
バケット名はそのままURLになるためS3の中で全ユーザー、全世界で唯一の保存先(S3バケット)を指定します。
Config
CloudWatch
VPC Flow Logs
基盤セキュリティ(インフラ保護)
Systems Manager
Shield
WAF
フルマネージドなWebアプリケーションファイアウォールサービスです。
複数のルールを組み合わせてトラフィックがアプリケーションに到達する方法を制御できます。
ルール
様々なルールを定義できます。
- 特定のIPアドレスのみを許可するルール
- 特定のヘッダが付与されているGETリクエストのみ許可するルール
- SQLインジェクション、クロスサイトスクリプティングなどの一般的な攻撃をブロックするルール
ルールグループ
ルールを集約した定義になります。検査するルールの優先度を定義できます。
ウェブACL
「ルールグループ」と「適用するAWSリソース」の紐付けの役割です。
紐付け先の例
- ALB
- API Gateway
- CloudFront
Inspector
EC2にエージェントを導入してセキュリティを評価するホスト型解析ツールです。
メリット
通常は脆弱性診断をしたい場合はAWSへの攻撃かもしれないのでAWSへの事前申請が必要になりますが、InspectorはAWSのサービスとして提供されているので事前の申請は必要なく開発の手間の削減になります。
提供する価値
AWSが提供する複数のルールパッケージによる評価
利用者は選択します。
評価結果のエグゼクティブサマリを提供
エージェントで評価した結果の評価結果を集計結果を表示してくれます。
自動化によるDevOpsプロセスへの統合
APIとして提供されているのでデプロイ時に脆弱性診断も組み込むことができます。
VPC
データ保護
KMS
暗号鍵を作成、運用、管理できるマネージドサービスです。
背景
鍵の管理は大変で鍵が失われたら全情報へのアクセスが損なわれてしまいます。鍵管理をAWSへ任せることで客は本来の開発作業に集中できる。
特徴
- 暗号鍵の可用性、機密性を保護
- 暗号鍵の有効化、ローテーション
- AWSサービスにおけるデータを暗号化
- SDKとの連携でお客様の独自アプリケーションデータを暗号化
CloudHSM
Macle
AWS Certificate Manager(ACM)
簡単にSSL/TLS証明書を作成、管理、配置できるサービスです。
特徴
- ドメイン認証(DV)タイプの証明書を無料で提供する。
- 秘密鍵はAWSサービスで安全に管理されている。
メリット
利用は無料
全ての通信経路で有償の証明書を使って暗号化するのはコストがかかりすぎる。
AWSが更新処理をマネージドサービスとして管理
自動でやってくれる。
この記事へのコメントはありません。