ここからはじめるAWSセキュリティ

͔͜͜Β͸͡ΊΔ"84ηΩϡϦςΟ Ѩ෦ᔨथ

εϥΠυͱϨϙʔτ͸ޙ೔ Developers.IOʹͯެ։͠·͢ Attention

ࣗݾ঺հ Ϋϥεϝιουגࣜձࣾ "84ࣄۀ෦ Ѩ෦ᔨथʢ!"CFJLBʣ "84ࢿ֨ף

ຊηογϣϯͷΰʔϧ ᶃηΩϡϦςΟରࡦ͕େ੾ͳཧ༝Λཧղ͢Δ ᶄ"84ͷηΩϡϦςΟʹؔ͢ΔΞΫγϣϯ͕Θ͔Δ

ΞδΣϯμ w৘ใηΩϡϦςΟͱ͸ w *".ͷॏཁੑͱϕετϓϥΫςΟε w ূ੻ͷऔಘ w ੹೚ڞ༗ϞσϧͰߟ͑Δ໾ׂ෼୲ w
&$ͷجຊతͳηΩϡϦςΟରࡦ w ϚωʔδυαʔϏεͷݕ౼ w αʔόʔϨεΞʔΩςΫνϟͷݕ౼ w ิ଍

৘ใηΩϡϦςΟͱ͸ ̏େཁ݅ɺ̏ཁૉͱ΋ݺ͹ΕΔ ػີੑʢ$POpEFOUJBMJUZʣ ׬શੑʢ*OUFHSJUZʣ Մ༻ੑʢ"WBJMBCJMJUZʣ ༷ʑͳڴҖ͔Βɺ৘ใࢿ࢈Λ ػີੑɺ׬શੑɺՄ༻ੑͷ֬อΛߦ͍ͭͭɺ ਖ਼ৗʹҡ࣋͢Δ͜ͱ

ػີੑ ৘ใࢿ࢈Λਖ਼౰ͳݖརΛ࣋ͬͨਓ͚͕ͩ ࢖༻Ͱ͖Δঢ়ଶʹ͓ͯ͘͜͠ͱ

ػີੑ͕ଛͳΘΕͨঢ়ଶ څ༩৘ใ Ӧۀσʔλ ਓࣄ෦ Ӧۀ෦

ػີੑ͕ଛͳΘΕͨঢ়ଶ څ༩৘ใ Ӧۀσʔλ ਓࣄ෦ Ӧۀ෦ ϑΝΠϧαʔόઃఆͷޡΓ

ػີੑ͕ଛͳΘΕͨঢ়ଶ ഇغґཔ ۀऀ

ػີੑ͕ଛͳΘΕͨঢ়ଶ ഇغґཔ ୈࡾऀ΁ͷԣྲྀ͠ ۀऀ

׬શੑ ৘ใࢿ࢈͕ਖ਼౰ͳݖརΛ࣋ͨͳ͍ਓʹΑΓมߋ͞Ε ͍ͯͳ͍͜ͱΛ࣮֬ʹ͓ͯ͘͜͠ͱ

׬શੑ͕ଛͳΘΕͨঢ়ଶ ̋̋ͷϗʔϜϖʔδ 8FCվ͟Μ ίϯςϯπվ͟Μ Ϛϧ΢ΣΞ഑෍

Մ༻ੑ ৘ใࢿ࢈Λඞཁͳͱ͖ʹ࢖༻Ͱ͖Δ͜ͱ

Մ༻ੑ͕ଛͳΘΕͨঢ়ଶ ̋̋ͷϗʔϜϖʔδ %%P4߈ܸ ਖ਼౰ͳϢʔβʔ Ϙοτωοτ

ΞδΣϯμ w ৘ใηΩϡϦςΟͱ͸ w*".ͷॏཁੑͱϕετϓϥΫςΟε w ূ੻ͷऔಘ w ੹೚ڞ༗ϞσϧͰߟ͑Δ໾ׂ෼୲ w

*".ͷॏཁੑ IAMͷྲྀग़΍ѱ༻͸ 3େཁ͕݅ଛͳΘΕΔ Մೳੑ͕͋Δ

ػີੑ͕ଛͳΘΕͨঢ়ଶ ෆਖ਼μ΢ϯϩʔυ 4όέοτ

׬શੑ͕ଛͳΘΕͨঢ়ଶ ઃఆมߋ

*".͕ѱ༻͞Εͳ͍ͨΊʹ IAMͷϕετϓϥΫςΟεΛ ࣮ફ͠Α͏

*".Ξϯνύλʔϯ ϧʔτΞΧ΢ϯτ IAMϢʔβʔ ೔ৗతͳϧʔτΞΧ΢ϯτͷར༻ IAMϢʔβʔͷڞ༗

*".ϕετϓϥΫςΟε ਓʹ͖ͭɺͭͷ*".Ϣʔβʔ

*".ϕετϓϥΫςΟε "ENJOJTUSBUPST 7JFXFS &$"ENJO *".άϧʔϓͷར༻

*".ϕετϓϥΫςΟε .'"ͷར༻ "84ίϯιʔϧ΁ͷϩάΠϯ .'"σόΠε

.'"σόΠε ෺ཧ.'"σόΠε Ծ૝.'"σόΠε ෺ཧతͳִ཭͕Մೳ "ి஑੾Ε ಋೖ͕؆୯ "౷੍͕औΓͮΒ͍

*".Ξϯνύλʔϯ &$΁ͷ*".Ωʔͷొ࿥ "84$-*ɺ4%,ͷ࣮ߦ ϑΝΠϧΞοϓόοΫΞοϓ Ωʔ৘ใ͕ॻ͔ΕͨϓϩάϥϜɺ ઃఆϑΝΠϧΛγΣΞ ˠ࿙Ӯ

*".ϕετϓϥΫςΟε *".ϩʔϧͷར༻ Ωʔͷొ࿥͕ෆཁ ϑΝΠϧΞοϓϩʔυ ىಈதͷ&$΁ͷׂΓ౰ͯɺ ׂΓ౰ͯղআ͕Մೳ

*".ϕετϓϥΫςΟε IAMͷఆظతͳݟ௚͠

ҟಈͳͲʹ͋Θͤͨ*".ͷมߋ *".Ϣʔβʔͷ௥Ճ࡟আɺ*".Ωʔͷ࡟আ ҟಈ ୀ৬ ݕূΩʔͷ࡟আ

*".ೝূ৘ใϨϙʔτ $47ϑΝΠϧͷμ΢ϯϩʔυ͕Մೳ $47ϑΝΠϧ QBTTXPSE@FOBCMFEϩάΠϯͷ༗ޮແޮ NGB@BDUJWF.'"ͷ༗ޮແޮ QBTTXPSE@MBTU@VTFE࠷ऴϩάΠϯ࣌ࠁ BDDFTT@LFZ@@MBTU@VTFE@EBUF࠷ऴΞΫηεΩʔར༻࣌ࠁ

*".ೝূ৘ใϨϙʔτ .'"͕༗ޮͰͳ͍ΞΧ΢ϯτ $47ϑΝΠϧ QBTTXPSE@FOBCMFE5SVF ϩάΠϯՄೳ NGB@BDUJWF'BMTF .'"ແޮ QBTTXPSE@MBTU@VTFE࠷ऴϩάΠϯ࣌ࠁ BDDFTT@LFZ@@MBTU@VTFE@EBUF࠷ऴΞΫηεΩʔར༻࣌ࠁ

*".ೝূ৘ใϨϙʔτ Ұఆظؒར༻͞Ε͍ͯͳ͍ΞΧ΢ϯτ $47ϑΝΠϧ QBTTXPSE@FOBCMFEϩάΠϯͷ༗ޮແޮ NGB@BDUJWF.'"ͷ༗ޮແޮ QBTTXPSE@MBTU@VTFE࠷ऴϩάΠϯ࣌ࠁ BDDFTT@LFZ@@MBTU@VTFE@EBUF࠷ऴΞΫηεΩʔར༻࣌ࠁ

ΞδΣϯμ w ৘ใηΩϡϦςΟͱ͸ w *".ͷॏཁੑͱϕετϓϥΫςΟε wূ੻ͷऔಘ w ੹೚ڞ༗ϞσϧͰߟ͑Δ໾ׂ෼୲ w

"84$MPVE5SBJM "84Ͱ࣮ߦ͞Εͨ"1*ΛϩΪϯά ૹ৴ݩ*1ΞυϨε Կ͕͋ͬͨͷ͔ɺͳ͔ͬͨͷ͔Λ֬ೝ ࣌ؒ Ϣʔβʔ ΞΫγϣϯ

"84$POpH "84ͷߏ੒ه࿥ ਓ͕ݟͯΘ͔Γ΍͍͢ "84Ϧιʔεͷ࡞੒มߋΛه࿥ λΠϜϥΠϯͰදࣔ

"84$POpHͷλΠϜϥΠϯ ྫɿηΩϡϦςΟάϧʔϓͷλΠϜϥΠϯ &$΁ͷׂΓ౰ͯ ʢϦϨʔγϣϯγοϓͷมߋʣ "84ϦιʔεͷมߋཤྺΛ௥੻Ͱ͖Δ ϧʔϧͷมߋ ʢઃఆͷมߋʣ 'SPN 5P

"84$POpHͱ&$4ZTUFNT.BOBHFSͷ࿈ܞ 04Ξοϓσʔτʹ͍ͭͯ΋௥੻Մೳ ྫɿΧʔωϧΞοϓσʔτͷه࿥ 44.ΤʔδΣϯτͷΠϯετʔϧ͕ඞཁ ྫ Χʔωϧͷόʔδϣϯ͕ˠʹΞοϓσʔτ Πϯετʔϧ೔࣌

֤αʔϏεͷϩά༗ޮԽ &-#ʢϩʔυόϥϯαʔʣ $MPVE'SPOUʢ$%/ʣ 4ʹϩά഑৴ αϙʔτ΁ͷ໰͍߹Θͤʹඞཁ

ΞδΣϯμ w ৘ใηΩϡϦςΟͱ͸ w *".ͷॏཁੑͱϕετϓϥΫςΟε w ূ੻ͷऔಘ w੹೚ڞ༗ϞσϧͰߟ͑Δ໾ׂ෼୲ w

੹೚ڞ༗Ϟσϧ "84ͷηΩϡϦςΟ"84ͱϢʔβʔ͕࿈ܞͯ͠ୡ੒ "84ͷ୲౰Ϋϥ΢υͷηΩϡϦςΟ Ϣʔβʔͷ୲౰Ϋϥ΢υ಺ͷηΩϡϦςΟ αʔϏεʹΑͬͯɺ୲౰ൣғ͕ҟͳΔ

ΠϯϑϥετϥΫνϟαʔϏεʢ&$౳ʣ ސ٬σʔλ ϓϥοτϑΥʔϜͱ ΞϓϦέʔγϣϯͷ؅ཧ 04ɺωοτϫʔΫɺ ϑΝΠΞ΢Υʔϧߏ੒ ҉߸Խɺ੔߹ੑ Ϣʔβʔͷ୲౰ "84ͷ୲౰
ج൫αʔϏε "84άϩʔόϧ ΠϯϑϥετϥΫνϟ

୲౰ͷྫᶃ σΟεΫͷഇغ "84

୲౰ͷྫᶄ 04ɺϛυϧ΢ΣΞͷόʔδϣϯΞοϓ Ϣʔβʔ

ΞδΣϯμ w ৘ใηΩϡϦςΟͱ͸ w *".ͷॏཁੑͱϕετϓϥΫςΟε w ূ੻ͷऔಘ w ੹೚ڞ༗ϞσϧͰߟ͑Δ໾ׂ෼୲
w&$ͷجຊతͳηΩϡϦςΟରࡦ w ϚωʔδυαʔϏεͷݕ౼ w αʔόʔϨεΞʔΩςΫνϟͷݕ౼ w ิ଍

৴པͰ͖Δ".*Λ࢖͏ ىಈ EC2 AMI AMI͸୭Ͱ΋ެ։Մೳ AWS΍৴པͰ͖Δϕϯμ͕ఏڙ͢ΔAMIΛར༻ "AMI IDΛΑ֬͘ೝͤͣʹར༻

৴པͰ͖Δ".*Λ࢖͏8JOEPXTͷྫ ॴ༗ऀ=AmazonΠϝʔδ ྫɿ8JOEPXT4FSWFS3 ೔ຊޠ ͷݕࡧ ϓϥοτϑΥʔϜ=Windows AMI໊=Windows-Server-2012-R2_RTM-Japanese

ඞཁͳ௨৴ͷΈڐՄ ϓϩτίϧ ૹ৴ݩ 44) ϝϯςφϯεڌ఺ )551 ෆཁͳϓϩτίϧ͸ϒϩοΫ ؅ཧ༻ΞΫηε͸઀ଓݩΛߜΔ
ड৴ ϓϩτίϧ ૹ৴ݩ "-- ૹ৴ ཁ݅ʹԠ੍ͯ͡ޚ ※ NTP, AWS API, ύονద༻ͳͲʹ஫ҙ

࠷৽ͷ04ɺϛυϧ΢ΣΞΛ࢖͏ EC2 ϓϥοτϑΥʔϜ਍அ *OTQFDUPS ϕϯμ "αϙʔτظݶ͕੾Εͨ04ɿύον͕ఏڙ͞Εͳ͍ "ݹ͍ϛυϧ΢ΣΞɿ੬ऑੑ͕͋ΔՄೳੑ ఆظతʹ04ɺϛυϧ΢ΣΞΛΞοϓσʔτ "NB[PO*OTQFDUPS౳Ͱఆظతʹ਍அ

࠷৽ͷΞϓϦέʔγϣϯΛ࢖͏ EC2 ΞϓϦέʔγϣϯ਍அ ϕϯμ "ݹ͍ΞϓϦέʔγϣϯʹ͸੬ऑੑ͕͋Δ͜ͱ͕ଟ͍ ઐ໳ͷϕϯμʔʹґཔ͠ఆظతʹ਍அɺमਖ਼ ϕϯμʹґཔ͢Δࡍ͸ɺ"84ʹ৵ೖςετਃ੥͕ඞཁ

Ϛϧ΢ΣΞରࡦ EC2 ΢ΠϧεεύϜରࡦιϑτ΢ΣΞͷಋೖ ϗετํࣜͷ*%4ιϑτ΢ΣΞͷಋೖ

ϒϥοΫϦετొ࿥ 71$4VCOFU 71$4VCOFU /FUXPSL"$- 71$αϒωοτ୯Ґʹઃఆ ϧʔϧͷ্ݶ਺͕গͳ͍ "848"' $MPVE'SPOU·ͨ͸"-#ʹઃఆ ϧʔϧ্ݶ਺͕ଟ͍

ಛఆͷࠃ͔Βͷ઀ଓͷϒϩοΫ "NB[PO$MPVE'SPOU ಛఆͷࠃ͔Βͷ߈ܸ͕ೝΊΒΕΔέʔεͰ͸༗ޮ "(FP*1͸ඞͣ͠΋ਖ਼֬Ͱ͸ͳ͍ (FP*1ʹΑΔࠃ͝ͱͷڐՄڋ൱

w &$ͷجຊతͳηΩϡϦςΟରࡦ wϚωʔδυαʔϏεͷݕ౼ w αʔόʔϨεΞʔΩςΫνϟͷݕ౼ w ิ଍

ϚωʔδυαʔϏεͷݕ౼ WEBαʔόͰ͸ ELBΛݕ౼

&-#Λ࢖͏ϝϦοτ 44-ऴ୺ 4:/ϑϥου 0QFO44-ͳͲ͕ෆཁ 6QEBUF ༗ޮͳ5$1ϦΫΤετͷΈαϙʔτ )5514ʹඞཁͳ44-λʔϛωʔτΛ&-#ʹΦϑϩʔυ &$ͷϩʔϦϯάΞοϓσʔτ͕Մೳ

ϚωʔδυαʔϏεͷݕ౼ DBαʔόͰ͸ RDSΛݕ౼

ίϯςφαʔϏεʢ3%4౳ʣ ސ٬σʔλ ϓϥοτϑΥʔϜͱ ΞϓϦέʔγϣϯͷ؅ཧ ϑΝΠΞ΢Υʔϧߏ੒ ҉߸Խɺ੔߹ੑ Ϣʔβʔͷ୲౰ "84ͷ୲౰ ج൫αʔϏε
"84άϩʔόϧ ΠϯϑϥετϥΫνϟ 04ɺωοτϫʔΫߏ੒

3%4ͷ04ɺϓϥοτϑΥʔϜ؅ཧ ϝϯςφϯεϑϦʔͰ͸ແ͍ Ϣʔβʔͷ୲౰ൣғ ϝϯςφϯε΢Οϯυ΢ʢि࣍ͷϝϯςφϯε࣌ؒʣͷࢦఆ ৑௕Խ/γϯάϧߏ੒ ※ ຊ൪؀ڥ͸৑௕ԽΛਪ঑ ϝϯςφϯε࣮ࢪλΠϛϯάͷࢦఆ AWS͔Βͷϝʔϧͷ֬ೝ
ͳͲ

3%4ͷϝϦοτ 3%4 ৑௕Խ͕؆୯ %#Τϯδϯɺ04ͷߋ৽͕؆୯ όοΫΞοϓɺϦετΞ͕؆୯ ઐ໳஌͕ࣝඞཁͳ࡞ۀΛ؆୯ʹ࣮ࢪՄೳ

w &$ͷجຊతͳηΩϡϦςΟରࡦ w ϚωʔδυαʔϏεͷݕ౼ wαʔόʔϨεΞʔΩςΫνϟͷݕ౼ w ิ଍

੩తͳ8FCαΠτʢ4 $MPVE'SPOUʣ $MPVE'SPOU 4 Ωϟογϡ ௿ίετ Ϣʔβʔ͸ύονద༻Λҙࣝ͠ͳͯ͘ྑ͍ ੈքதʹ͋ΔΤοδϩέʔγϣϯ ʢΩϟογϡαʔόʔʣ

ந৅ԽαʔϏεʢ4ͳͲʣ ސ٬σʔλ ϓϥοτϑΥʔϜͱ ΞϓϦέʔγϣϯͷ؅ཧ ҉߸Խɺ੔߹ੑ Ϣʔβʔͷ୲౰ "84ͷ୲౰ ج൫αʔϏε "84άϩʔόϧ
ΠϯϑϥετϥΫνϟ 04ɺωοτϫʔΫߏ੒ S3ઃఆ͸Ϣʔβʔͷ୲౰

w &$ͷجຊతͳηΩϡϦςΟରࡦ w ϚωʔδυαʔϏεͷݕ౼ w Ϋϥ΢υωΠςΟϰͳΞʔΩςΫνϟͷ࠾༻ wิ଍

"845SVTUFE"EWJTPSΛ࢖ͬͨϨϏϡʔ ηΩϡϦςΟάϧʔϓ - ແ੍ݶΞΫηε CloudTrailͷར༻ঢ়گ S3ͷόέοτڐՄ ͳͲ

"84͔Βͷ࿈བྷΛແࢹ͠ͳ͍ ҧ๏ߦҝͷ௨஌ εύϜϝʔϧͷૹ৴ DDoS΁ͷՃ୲ ϝϯςφϯε ηΩϡϦςΟΠϯγσϯτ IAM৘ใ࿙ӮͷՄೳੑ

ҧ๏ߦҝͷ௨஌Λड͚औͬͨΒ εύϜϝʔϧͷྫ ΦʔϓϯϦϨʔͷՄೳੑ DDoS߈ܸՃ୲ͷྫ EC2Λִ཭͠ɺඞཁͳσʔλΛൈ͖ग़͢ ΫϦʔϯͳEC2ʹσϓϩΠ ҧ๏ߦҝͷϦεΫ AWSΞΧ΢ϯτɺΠϯελϯεͷఀࢭ ࣾձతͳ৴༻௿Լ
ૌু

ڴҖ෼ੳ w ׬ᘳͳηΩϡϦςΟରࡦ͸ଘࡏ͠ͳ͍ w ݸʑͷγεςϜ๊͕͑ΔϦεΫΛચ͍ग़͢ w ༏ઌ౓͕ߴ͍΋ͷ͔ΒରԠ

·ͱΊᶃ ηΩϡϦςΟͷ3େཁ݅ ػີੑɺ׬શੑɺՄ༻ੑ IAM͸ॏཁ 3େཁ͕݅ଛͳΘΕΔՄೳੑ IAMϕετϓϥΫςΟεʹै͍ɺఆظతʹݟ௚͢ ূ੻ͷऔಘ AWS CloudTrailɺAWS
ConﬁgΛ༗ޮԽ AWSͷηΩϡϦςΟ͸ϢʔβͱAWS͕ڠྗͯ͠ରԠ

·ͱΊᶄ EC2ͷηΩϡϦςΟͷجຊ AWSͳΒͰ͸ͷରࡦ + ҰൠతͳηΩϡϦςΟ׳ߦ ϚωʔδυαʔϏεͷݕ౼ αʔόϨεΞʔΩςΫνϟͷݕ౼ Ϣʔβʔͷ୲౰ൣғΛॖখ͠ɺָΛ͢Δ ׬ᘳͳηΩϡϦςΟରࡦ͸ଘࡏ͠ͳ͍

ここからはじめるAWSセキュリティ

ここからはじめるAWSセキュリティ

More Decks by 阿部洸樹

Other Decks in Technology

Featured

Transcript