![アクセス記録・ログ集約管理
ログ管理
EC2インスタンス内に1週間分残す
fluentd経由でログサーバーへまとめ、S3へアーカイブ
[参考] FluentdでWeb Storage Archiveパターン
http://blog.cloudpack.jp/2013/01/aws-‐‑‒news-‐‑‒cdp-‐‑‒web-‐‑‒storage-‐‑‒archive-‐‑‒fluentd.html](https://image.slidesharecdn.com/20130622jawsugsecurity-130622003720-phpapp01/85/20130622-JAWS-UG-AWS-54-320.jpg)
![アクセス記録・ログ集約管理
Management Consoleアクセス制限とログ記録
多要素認証に加えて誰が何をしたか記録が必須
プロキシ経由のみアクセス可
プロキシサーバー上でアクセスログ記録
[参考] Squid経由でAWSマネジメントコンソールにアクセスしてソースIP制限や認証やログ取得
http://blog.cloudpack.jp/2013/02/aws-‐‑‒news-‐‑‒squid-‐‑‒aws-‐‑‒console-‐‑‒ip-‐‑‒log.html](https://image.slidesharecdn.com/20130622jawsugsecurity-130622003720-phpapp01/85/20130622-JAWS-UG-AWS-55-320.jpg)
Uploaded by真吾 吉田
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
2013/6/22(土) JAWS-UG大阪で発表した資料「AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜」です。
More Related Content
Similar to 20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
![Oracle Cloud Infrastructure セキュリティの取り組み [2021年8月版]](https://cdn.slidesharecdn.com/ss_thumbnails/202108ocisecurityoverviewforslideshare-210820075200-thumbnail.jpg?width=640&height=640&fit=bounds)
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
- 1.
- 2. 自己紹介 プロフィール 名前:吉田真吾 アイレット株式会社 cloudpack エバンジェリスト JAWS-UG横浜 代表 好きなAWSサービス:Amazon S3 好きなAWSクラウドデザインパターン:Direct Hostingパターン
- 3.
- 5.
- 6.
- 7. Confidential http://www.atmarkit.co.jp/ait/articles/1301/24/news087.html Sunday, March 3,13 AWSエバンジェリスト堀内さん資料より抜粋 http://www.slideshare.net/horiyasu/ja
- 8.
- 9.
- 10.
- 11.
- 12.
- 13.
- 14.
- 15.
- 16.
- 17.
- 18.
- 19.
- 20.
- 21.
- 22.
- 23. SOC 報告書 米国公認会計士協会(AICPA)が分類 受託会社の「内部統制」に関する3種類の報告書 SOC 1/SSAE16(米国)/ISAE 3402(国際) (formerly SAS 70 Type II) ※要NDA • 財務諸表に関する統制の評価 SOC 2 ※要NDA • 情報セキュリティ、可用性、処理の整合性、プライバシーに関わる統制 SOC 3 ※Webで参照可能 • 情報セキュリティ、可用性、処理の整合性、プライバシーに関わる統制
- 24.
- 25.
- 26.
- 27. FISMA, DIACAP, andFedRAMP FISMA 連邦政府および外部委託先に米法で義務づけられた情報セキュリティ強 化義務 DIACAP 国防総省の情報システムの適用規則、不測事態対応計画の立案&テスト 義務 FedRAMP 2012年から米国で運用が開始された、政府のクラウド調達の際に、1つ の省庁で認証を受けた事業者は、別の省庁でも追加仕様部分以外の認証 を引き継げる制度
- 28. FISMA, DIACAP, andFedRAMP 我が社のサービスは 米国政府の調達基準を満た しています!
- 29. ITAR International Traffic inArms Regulations = 武 器国際取引に関する規則 武器輸出管理法の実施細目規定 米国の国家安全保障の防衛 防衛・軍事技術に関する情報は、アメリカ市民に よってのみ共用してもよい
- 30. Confidential (ITAR) Sunday, March 3,13 AWSエバンジェリスト堀内さん資料より抜粋 http://www.slideshare.net/horiyasu/ja
- 31. PCIDSS Level 1 PCIDSS v2 年間600万件以上(VISA※JCBは100万件以上)の 決済件数を扱ってよい認定 州によっては運営が準拠していたことを証明できる と対象ブランドからの訴訟回避が可能(違約金一 部免除なども)
- 32.
- 33.
- 35. 金融サービス業態に特化した「コミュニティ・クラウ ド」 Amazon VPC +AWS Direct Connect でインターネ ットを介さない独立したネットワーク内に存在 ブローカーディーラーのシステムから、NASDAQ OMXのDCを経由(暗号GW)してAWS内の環境に接 続される 2つのサービス:R3=ストレージサービス、SSR=デ ータマイニングサービス FinQloud by NASDAQ OMX
- 36. 金融機関向け『Amazon Web Services』 対応セキュリティリファレンス 2012/9 iSiD、NRI、SCSK 3社で共同発表 金融機関等コンピュータシステムの安全対策基準 (FISC安全対策基準)第8版に対応 金融情報システムセンター(FISC)の作成した金融機関等 の自主基準 ※第8版追補版はクラウドコンピューティングについて言及
- 37. 金融機関向け『Amazon Web Services』 対応セキュリティリファレンス AWSはFISC安全対策基準に 適合しうる!
- 38.
- 39.
- 41. PCI DSSとは クレジットカードブランド5社により策定された、 クレジット業界のセキュリティ基準 クレジットカード会社は加盟店に対し要求を満たさない場合にペナルティを科したり 保険料率に差をつけたりしている 米国では「PCI DSSの重要部分に適合しない場合、刑事罰を受ける」と法制化してい る州も データの漏洩などが発生した場合にPCIDSS運用を正しく行っていたことを30日以内 に証明できると、金融機関からの基礎を回避することができると規定している州も 12の要件から細かくドリルダウンした実装レベルでの明確な規定が されている クレジット業界以外でのグローバルなセキュリティ基準として対応するケースが多い 業務委託先も含めて対応が必要
- 42. System Challenge PCI-DSS complianton the cloud? Mostly, PCI-DSS on own server. Differences between cloud vs. own server. AWS Management Console logging? DMZ, WAF implementation? NTP server? Antivirus software? System auto-lockout? Log, Log, and LOG! i.e. Firewall log? File consistency? File monitoring? Coiney社の資料より抜粋 クラウド上でPCI DSSを取ることができるのか? 必要な対策を講じることができるのか?
- 43. プロジェクト体制 •PCI DSS準拠⽀支援 •QSA •インフラ構築 •PCI DSS準拠対策 •PCI DSSレベル1 サービスプロバイダ
- 44. cloudpack(に期待したこと) Leverage cloudpack knowledge Discussionwith PCI consultants Establish the PCI-compliant environment on AWS Coiney社の資料より抜粋 AWS上でのシステム構築ノウハウ提供 PCI DSS準拠支援会社とコラボ
- 45.
- 46. PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する 要件2:システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しな い 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する
- 47. PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する 要件2:システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しな い 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する
- 48.
- 49.
- 50.
- 51. セキュリティソフトウェア導入 Trend Micro DeepSecurity IPS/IDS/改ざん検知/Firewall/WAF/ログ監視 ServerProtect ウィルス対策(リアルタイムスキャン)
- 52.
- 53.
- 54. アクセス記録・ログ集約管理 ログ管理 EC2インスタンス内に1週間分残す fluentd経由でログサーバーへまとめ、S3へアーカイブ [参考] FluentdでWeb Storage Archiveパターン http://blog.cloudpack.jp/2013/01/aws-‐‑‒news-‐‑‒cdp-‐‑‒web-‐‑‒storage-‐‑‒archive-‐‑‒fluentd.html
- 55.
- 56. 脆弱性対策 ミドルウェア最新化 Apacheはパッケージでは不可だったため、最新版ソース をコンパイル • IPA(独立行政法人 情報処理推進機構)の定めるCVSS4.0以上(レベル III危険+レベルII警告)はすべて対策必須のため Deep Security仮想パッチ ソフトウェアのセキュリティパッチ提供前に脆弱性を保 護 パッチ適用後は自動的に外れる
- 57.
- 58.
- 60.
- 61.
- 62. ワンストップでサービス提供 •PCI DSS準拠⽀支援 •QSA •インフラ構築 •PCI DSS準拠対策 エンドユーザー •PCI DSSレベル1 サービスプロバイダ PCI DSS準拠 インフラ構築サービス
- 63. AWSで便利に使えるセキュリティ機能 Amazon VPC AWS IAM Rolesfor EC2 エンタープライズトラックで!
- 64. ベストプラクティス=CDP Back Net PatternOndemand NAT Pattern Operational Firewall PatternFunctional Firewall Pattern WAF Proxy Pattern
- 65. CDP 2.0 候補 OndemandBastion Pattern Ondemand Firewall Pattern
- 66.
- 67.
- 68. 参考文献 Amazon Web Servicesセキュリティプロセス 概要のホワイトペーパー http://media.amazonwebservices.com/pdf/ AWS_Security_Whitepaper.pdf セキュリティのベストプラクティス http://media.amazonwebservices.com/ Whitepaper_Security_Best_Practices_2010.pdf
- 69.
- 70.
- 71.