AWSome Day Online Conference(セッション3)

<この記事は 3分くらい で読むことができます。>

9月18日(水)にAWSome Day Online Conferenceを拝聴したので、備忘的にまとめておきたいと思います。
・AWSome Day Online Conference(セッション3:AWSのセキュリティの基本)
・2019/09/18(水)16:20 – 16:50
https://aws.amazon.com/jp/blogs/news/awsomeday-online-conference-20190918/

  1. 「セキュリティ」はAWSにとって最重要事項である。
  2. クラウドベンダーとの責任分界点(責任共有モデル)を把握し、その範囲内でセキュリティレベルを担保する。
  3. ルートアカウントは使わない。

責任共有モデル

 「責任共有モデル」とは、AWSと利用者とで「どっちが何のセキュリティを担保するか分担しましょう。」という様々なリソースに対しての責任分界点を明示的に示した考え方です。例えばAWSは、データセンターの物理的なセキュリティやハードウェアに関わるセキュリティ、また仮想化基盤を提供するハイパーバイザーの部分についてのセキュリティを担保してくれます。一方利用者側では、OSレイヤーから上の領域に関して、各々でセキュリティレベルを保つための対策を取らなければなりません。責任共有モデルはこちら
 提供されているサービス(インフラ、コンテナなど)によって責任共有モデルが異なるので、利用するサービスに対応した責任範囲を把握しておく必要があります。

VPCのセキュリティ

 VPCではファイアウォール、ルーティング、インターネットとの通信、オンプレミス環境との接続などのセキュリティ設定を行うことが出来ます。また、ひとことにファイアウォールと言っても、サブネットに対して設定できるファイアウォールはネットワークACLという設定で制御をおこない、インスタンスに対して制御をおこなう設定は、セキュリティグループと呼ばれます。

IAM

 IAMとは、AWSのリソースに対してアクセスする際の、認証/認可を行うサービスです。AWSアカウントを作成した際、最初に使うユーザーは「ルートアカウント」と呼ばれ超強力な権限を持っています。そこで「ルートアカウント」についての運用はAWSからベストプラクティスが出ているので、素直に従った方が良いと思います。
 【ベストプラクティス(抜粋)

  • ルートユーザーのアクセスキーを削除する。絶対に!
  • 管理者アカウントは、IAMユーザーを作成して管理者用のアクセス権を割り当てて使う。
  • リソースに対してIAMロールを使用し、認証情報を共有するのではなく、ロールを使用して委任する。
  • 「強力なパスワードポリシーを設定する」「MFAを使う」「定期的に認証情報を更新する」「不要なユーザーと認証情報を削除する」※この辺はオンプレと変わらずお決まりで。
  • AWSアカウントのアクティビティをモニタリングする。


  •  責任共有モデルは本当に重要な考えであるので、今一度熟読しておく必要があります。また、VPC、IAMはAWSを利用する上で必要不可欠なサービスなので、これらのサービスで何が出来るのか?セキュリティの担保の仕方は?など、機能と併せて非機能な要件についても実現方法を提案できるように知識と技術を習得しておく必要があります。特にIAMロールはオンプレミス環境では実現が難しくクラウドならではのセキュリティ設定なのでしっかりと把握しておきたいと思います。セッション4に続く。

    コメントを残す

    メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

    CAPTCHA