ここからはじめるAWSセキュリティ -Developers.IO 2017 WORLD in 名古屋-

͔͜͜Β͸͡ΊΔ"84ηΩϡϦςΟ Ϋϥεϝιου Ѩ෦ᔨथ DNEFWJP

͓఻͍͑ͨ͜͠ͱ ᶅηΩϡϦςΟରࡦͰָΛ͢ΔͨΊͷख๏ ᶃ৘ใηΩϡϦςΟͱ͸Կ͔ ᶄAWSηΩϡϦςΟͷجຊ ηΩϡϦςΟͱ͍͏ݴ༿͸ࡍݶͳ͘࢖ΘΕ͕ͪ AWS΍ฐࣾͷϕετϓϥΫςΟεʹج͍ͮͨରࡦ ੹೚ڞ༗Ϟσϧ ηΩϡϦςΟΛࢧԉ͢ΔαʔϏε

ΞδΣϯμ w৘ใηΩϡϦςΟͱ͸ w *".ͷॏཁੑͱϕετϓϥΫςΟε w ূ੻ͷऔಘ w ੹೚ڞ༗ϞσϧͰߟ͑Δ໾ׂ෼୲ w
&$ͷηΩϡϦςΟϕετϓϥΫςΟε w ϚωʔδυαʔϏεͷݕ౼ w αʔόʔϨεΞʔΩςΫνϟͷݕ౼ w ิ଍ͱ·ͱΊ

৘ใηΩϡϦςΟͱ͸ ̏େཁ݅ɺ̏ཁૉͱ΋ݺ͹ΕΔ ػີੑʢ$POpEFOUJBMJUZʣ ׬શੑʢ*OUFHSJUZʣ Մ༻ੑʢ"WBJMBCJMJUZʣ ༷ʑͳڴҖ͔Βɺ৘ใࢿ࢈Λ ػີੑɺ׬શੑɺՄ༻ੑͷ֬อΛߦ͍ͭͭɺ ਖ਼ৗʹҡ࣋͢Δ͜ͱ

ػີੑ ৘ใࢿ࢈Λਖ਼౰ͳݖརΛ࣋ͬͨਓ͚͕ͩ ࢖༻Ͱ͖Δঢ়ଶʹ͓ͯ͘͜͠ͱ

ػີੑ͕ଛͳΘΕͨঢ়ଶ څ༩৘ใ Ӧۀσʔλ ਓࣄ෦ Ӧۀ෦

ػີੑ͕ଛͳΘΕͨঢ়ଶ څ༩৘ใ Ӧۀσʔλ ਓࣄ෦ Ӧۀ෦ ϑΝΠϧαʔόઃఆͷޡΓ

ػີੑ͕ଛͳΘΕͨঢ়ଶ ഇغґཔ ۀऀ

ػີੑ͕ଛͳΘΕͨঢ়ଶ ഇغґཔ ୈࡾऀ΁ͷԣྲྀ͠ ۀऀ ਖ਼ৗͳϓϩηε͔Βͷҳ୤

ػີੑ͕ଛͳΘΕͨঢ়ଶ ਖ਼ৗͳ௨৴ ̋̋ͷϗʔϜϖʔδ ҰൠϢʔβʔ ѱҙͷ͋Δ௨৴ ੬ऑੑͷ͋Δ ΞϓϦέʔγϣϯ

׬શੑ ৘ใࢿ࢈͕ਖ਼౰ͳݖརΛ࣋ͨͳ͍ਓʹΑΓมߋ͞Ε ͍ͯͳ͍͜ͱΛ࣮֬ʹ͓ͯ͘͜͠ͱ

׬શੑ͕ଛͳΘΕͨঢ়ଶ ̋̋ͷϗʔϜϖʔδ 8FCվ͟Μ ίϯςϯπͷվ͟Μ Ϛϧ΢ΣΞ഑෍͢ΔڪΕ ˠҙਤͤͣɺ໎࿭ߦҝΛߦ͏Մೳੑ

Մ༻ੑ ৘ใࢿ࢈Λඞཁͳͱ͖ʹ࢖༻Ͱ͖Δ͜ͱ

Մ༻ੑ͕ଛͳΘΕͨঢ়ଶ ̋̋ͷϗʔϜϖʔδ %%P4߈ܸ ਖ਼౰ͳϢʔβʔ Ϙοτωοτ

ΞδΣϯμ w ৘ใηΩϡϦςΟͱ͸ w*".ͷॏཁੑͱϕετϓϥΫςΟε w ূ੻ͷऔಘ w ੹೚ڞ༗ϞσϧͰߟ͑Δ໾ׂ෼୲ w
&$ͷجຊతͳηΩϡϦςΟରࡦ w ϚωʔδυαʔϏεͷݕ౼ w αʔόʔϨεΞʔΩςΫνϟͷݕ౼ w ิ଍ͱ·ͱΊ

*".ͷॏཁੑ IAMͷྲྀग़΍ѱ༻͸ 3େཁ͕݅ଛͳΘΕΔ Մೳੑ͕͋Δ

ػີੑ͕ଛͳΘΕͨঢ়ଶ ෆਖ਼μ΢ϯϩʔυ 4όέοτ

׬શੑ͕ଛͳΘΕͨঢ়ଶ ઃఆมߋ

Մ༻ੑ͕ଛͳΘΕͨঢ়ଶ EC2ͷఀࢭ/࡟আ &$Πϯελϯε

*".Λѱ༻͞Εͳ͍ͨΊʹ IAMͷϕετϓϥΫςΟεΛ ࣮ફ͠Α͏ IAM ͷϕετϓϥΫςΟε http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/best-practices.html

*".Ξϯνύλʔϯ ϧʔτΞΧ΢ϯτ IAMϢʔβʔ ೔ৗతͳϧʔτΞΧ΢ϯτͷར༻ IAMϢʔβʔͷڞ༗

*".ϕετϓϥΫςΟε ਓʹ͖ͭɺͭͷ*".Ϣʔβʔ

*".ϕετϓϥΫςΟε "ENJOJTUSBUPST 7JFXFS &$"ENJO *".άϧʔϓͷར༻

*".ϕετϓϥΫςΟε .'"ͷར༻ "84ίϯιʔϧ΁ͷϩάΠϯ .'"σόΠε

*".Ξϯνύλʔϯ &$΁ͷ*".Ωʔͷొ࿥ "84$-*ɺ4%,ͷ࣮ߦ ϑΝΠϧΞοϓόοΫΞοϓ Ωʔ৘ใ͕ॻ͔ΕͨϓϩάϥϜɺ ઃఆϑΝΠϧΛγΣΞ ˠ࿙Ӯ

*".ϕετϓϥΫςΟε *".ϩʔϧͷར༻ Ωʔͷొ࿥͕ෆཁ ىಈதͷ&$΁ͷׂΓ౰ͯɺ ׂΓ౰ͯղআ͕Մೳ ϑΝΠϧΞοϓόοΫΞοϓ /FX

*".ϕετϓϥΫςΟε IAMͷఆظతͳݟ௚͠

ҟಈͳͲʹ͋Θͤͨ*".ͷมߋ *".Ϣʔβʔͷ௥Ճ࡟আɺ*".Ωʔͷ࡟আ ҟಈ ୀ৬ ݕূΩʔͷ࡟আ

"84αʔϏεΛ࢖ͬͨݟ௚͠ IAMೝূ৘ใϨϙʔτ CSVܗࣜͷϨϙʔτ Trusted Advisor ίετɺύϑΥʔϚϯεɺηΩϡϦςΟɺ৑௕ੑʹؔ͢ΔΞυόΠε AWS Conﬁg Rules
ΧελϜϧʔϧΛ࡞੒Մೳ ఆظతʹνΣοΫ͍ͨ͠αʔϏε IAMίϯιʔϧ ઃఆঢ়گͷ֬ೝ AWSϦιʔε͕ϧʔϧʹԊͬͯ࡞੒͞Ε͍ͯΔ͔νΣοΫ

ΞδΣϯμ w ৘ใηΩϡϦςΟͱ͸ w *".ͷॏཁੑͱϕετϓϥΫςΟε wূ੻ͷऔಘ w ੹೚ڞ༗ϞσϧͰߟ͑Δ໾ׂ෼୲ w

"84$MPVE5SBJM "84Ͱ࣮ߦ͞Εͨ"1*ΛϩΪϯά ૹ৴ݩ*1ΞυϨε Կ͕͋ͬͨͷ͔ɺͳ͔ͬͨͷ͔Λ֬ೝ ࣌ؒ Ϣʔβʔ ΞΫγϣϯ 165

"84$POpH "84ͷߏ੒ه࿥ ਓ͕ݟͯΘ͔Γ΍͍͢ "84Ϧιʔεͷ࡞੒มߋΛه࿥ λΠϜϥΠϯͰදࣔ

"84$POpHͷλΠϜϥΠϯ ྫɿηΩϡϦςΟάϧʔϓͷλΠϜϥΠϯ &$΁ͷׂΓ౰ͯ ʢϦϨʔγϣϯγοϓͷมߋʣ "84ϦιʔεͷมߋཤྺΛ௥੻Ͱ͖Δ ϧʔϧͷมߋ ʢઃఆͷมߋʣ 'SPN 5P

"84$POpHͱ&$4ZTUFNT.BOBHFSͷ࿈ܞ 04Ξοϓσʔτʹ͍ͭͯ΋௥੻Մೳ ྫɿΧʔωϧΞοϓσʔτͷه࿥ 44.ΤʔδΣϯτͷΠϯετʔϧ͕ඞཁ ྫ Χʔωϧͷόʔδϣϯ͕ˠʹΞοϓσʔτ Πϯετʔϧ೔࣌

֤αʔϏεͷϩά༗ޮԽ &-#ʢϩʔυόϥϯαʔʣ ϩάͷղੳྫʣ 4ʹΞΫηεϩάΛ165 "NB[PO"UIFOBʹΑΔղੳ 42-ΫΤϦ࣮ߦ $MPVE'SPOUʢ$%/ʣ αϙʔτ΁ͷ໰͍߹Θͤʹඞཁ 165
ղੳ

ΞδΣϯμ w ৘ใηΩϡϦςΟͱ͸ w *".ͷॏཁੑͱϕετϓϥΫςΟε w ূ੻ͷऔಘ w੹೚ڞ༗ϞσϧͰߟ͑Δ໾ׂ෼୲ w

੹೚ڞ༗Ϟσϧ "84ͷηΩϡϦςΟ"84ͱϢʔβʔ͕࿈ܞͯ͠ୡ੒ "84ͷ୲౰Ϋϥ΢υͷηΩϡϦςΟ Ϣʔβʔͷ୲౰Ϋϥ΢υ಺ͷηΩϡϦςΟ αʔϏεͷछྨ͝ͱʹɺ୲౰ൣғ͕ҟͳΔ ΠϯϑϥετϥΫνϟαʔϏε ίϯςφαʔϏε ந৅ԽαʔϏε

ΠϯϑϥετϥΫνϟαʔϏεʢ&$౳ʣ ސ٬σʔλ ϓϥοτϑΥʔϜͱ ΞϓϦέʔγϣϯͷ؅ཧ 04ɺωοτϫʔΫɺ ϑΝΠΞ΢Υʔϧߏ੒ ҉߸Խɺ੔߹ੑ Ϣʔβʔͷ୲౰ "84ͷ୲౰
ج൫αʔϏε "84άϩʔόϧ ΠϯϑϥετϥΫνϟ ࢀߟ: AWS ηΩϡϦςΟͷϕετ ϓϥΫςΟε

୲౰ͷྫᶃ σΟεΫͷഇغ "84 ηΩϡϦςΟϓϩηεͷ֓ཁ ʢϗϫΠτϖʔύʔʣ Amazon Web Services: Overview
of Security Processes August 2016

୲౰ͷྫᶄ 04ɺϛυϧ΢ΣΞͷόʔδϣϯΞοϓ Ϣʔβʔ ఆظతͳύονద༻ ৘ใऩू ૊৫಺प஌ "NB[PO-JOVY".*4FDVSJUZ$FOUFS 5XJUUFSͷΑ͏ͳ4/4 ϓϥοτϑΥʔϜ਍அ
ਂࠁͳ੬ऑੑ΁ͷରԠ ύονద༻

ΞδΣϯμ w ৘ใηΩϡϦςΟͱ͸ w *".ͷॏཁੑͱϕετϓϥΫςΟε w ূ੻ͷऔಘ w ੹೚ڞ༗ϞσϧͰߟ͑Δ໾ׂ෼୲
w&$ͷجຊతͳηΩϡϦςΟରࡦ w ϚωʔδυαʔϏεͷݕ౼ w αʔόʔϨεΞʔΩςΫνϟͷݕ౼ w ิ଍

"84ηΩϡϦςΟͷϕετϓϥΫςΟε AWSͷϗϫΠτϖʔύʔ

৴པͰ͖Δ".*Λ࢖͏ ىಈ EC2 AMI AMI͸୭Ͱ΋ެ։Մೳ AWS΍৴པͰ͖Δϕϯμ͕ఏڙ͢ΔAMIΛར༻ "AMI IDΛΑ֬͘ೝͤͣʹར༻

৴པͰ͖Δ".*Λ࢖͏8JOEPXTͷྫ ॴ༗ऀ=AmazonΠϝʔδ ྫɿ8JOEPXT4FSWFS3 ೔ຊޠ ͷݕࡧ ϓϥοτϑΥʔϜ=Windows AMI໊=Windows-Server-2012-R2_RTM-Japanese

ඞཁͳ௨৴ͷΈڐՄ ϓϩτίϧ ૹ৴ݩ 44) ϝϯςφϯεڌ఺ )551 ෆཁͳϓϩτίϧ͸ϒϩοΫ ؅ཧ༻ΞΫηε͸઀ଓݩΛߜΔ
ड৴ ϓϩτίϧ ૹ৴ݩ "-- ૹ৴ ཁ݅ʹԠ੍ͯ͡ޚ ※ NTP, AWS API, ύονద༻ͳͲʹ஫ҙ

࠷৽ͷ04ɺϛυϧ΢ΣΞΛ࢖͏ EC2 ϓϥοτϑΥʔϜ਍அ *OTQFDUPS ϕϯμ "αϙʔτظݶ͕੾Εͨ04ɿύον͕ఏڙ͞Εͳ͍ "ݹ͍ϛυϧ΢ΣΞɿ੬ऑੑ͕͋ΔՄೳੑ ఆظతʹ04ɺϛυϧ΢ΣΞΛΞοϓσʔτ ఆظతͳϓϥοτϑΥʔϜ਍அ

࠷৽ͷΞϓϦέʔγϣϯΛ࢖͏ EC2 ΞϓϦέʔγϣϯ਍அ ϕϯμ "ݹ͍ΞϓϦέʔγϣϯʹ͸੬ऑੑ͕͋Δ͜ͱ͕ଟ͍ ఆظతͳΞϓϦέʔγϣϯ਍அ ϕϯμʹґཔ͢Δࡍ͸ɺ"84ʹ৵ೖςετਃ੥͕ඞཁ

Ϛϧ΢ΣΞରࡦ EC2 ΢ΠϧεεύϜରࡦιϑτ΢ΣΞͷಋೖ ϗετํࣜͷ*%4ιϑτ΢ΣΞͷಋೖ

w &$ͷجຊతͳηΩϡϦςΟରࡦ wϚωʔδυαʔϏεͷݕ౼ w αʔόʔϨεΞʔΩςΫνϟͷݕ౼ w ิ଍ͱ·ͱΊ

ϚωʔδυαʔϏεͷݕ౼ DBαʔόͰ͸ RDSΛݕ౼

ίϯςφαʔϏεʢ3%4౳ʣ ސ٬σʔλ ϓϥοτϑΥʔϜͱ ΞϓϦέʔγϣϯͷ؅ཧ ϑΝΠΞ΢Υʔϧߏ੒ ҉߸Խɺ੔߹ੑ Ϣʔβʔͷ୲౰ "84ͷ୲౰ ج൫αʔϏε
"84άϩʔόϧ ΠϯϑϥετϥΫνϟ 04ɺωοτϫʔΫߏ੒ ࢀߟ: AWS ηΩϡϦςΟͷϕετ ϓϥΫςΟε

3%4ͷ04ɺϓϥοτϑΥʔϜ؅ཧ ϝϯςφϯεϑϦʔͰ͸ແ͍ Ϣʔβʔͷ୲౰ൣғ ϝϯςφϯε΢Οϯυ΢ʢि࣍ͷϝϯςφϯε࣌ؒʣͷࢦఆ ৑௕Խ/γϯάϧߏ੒ ※ ຊ൪؀ڥ͸৑௕ԽΛਪ঑ ϝϯςφϯε࣮ࢪλΠϛϯάͷࢦఆ AWS͔Βͷϝʔϧͷ֬ೝ
ͳͲ

3%4ͷϝϦοτ 3%4 ৑௕Խ͕؆୯ %#Τϯδϯɺ04ͷߋ৽͕؆୯ όοΫΞοϓɺϦετΞ͕؆୯ ઐ໳஌͕ࣝඞཁͳ࡞ۀΛ؆୯ʹ࣮ࢪՄೳ

w &$ͷجຊతͳηΩϡϦςΟରࡦ w ϚωʔδυαʔϏεͷݕ౼ wαʔόʔϨεΞʔΩςΫνϟͷݕ౼ w ิ଍ͱ·ͱΊ

੩తͳ8FCαΠτʢ4 $MPVE'SPOUʣ $MPVE'SPOU 4 Ωϟογϡ ௿ίετ Ϣʔβʔ͸ύονద༻Λҙࣝ͠ͳͯ͘ྑ͍ ੈքதʹ͋ΔΤοδϩέʔγϣϯ ʢΩϟογϡαʔόʔʣ

ந৅ԽαʔϏεʢ4ͳͲʣ ސ٬σʔλ ϓϥοτϑΥʔϜͱ ΞϓϦέʔγϣϯͷ؅ཧ ҉߸Խɺ੔߹ੑ Ϣʔβʔͷ୲౰ "84ͷ୲౰ ج൫αʔϏε "84άϩʔόϧ
ΠϯϑϥετϥΫνϟ 04ɺωοτϫʔΫߏ੒ S3ઃఆ͸Ϣʔβʔͷ୲౰ ࢀߟ: AWS ηΩϡϦςΟͷϕετ ϓϥΫςΟε

w &$ͷجຊతͳηΩϡϦςΟରࡦ w ϚωʔδυαʔϏεͷݕ౼ w Ϋϥ΢υωΠςΟϰͳΞʔΩςΫνϟͷ࠾༻ wิ଍ͱ·ͱΊ

"84͔Βͷ࿈བྷΛແࢹ͠ͳ͍ ҧ๏ߦҝͷ௨஌ εύϜϝʔϧͷૹ৴ DDoS΁ͷՃ୲ ϝϯςφϯε৘ใ ηΩϡϦςΟΠϯγσϯτ IAM৘ใ࿙ӮͷՄೳੑ S3όέοτͷΞΫηεઃఆʹؔ͢Δ஫ҙשى S3όέοτͷΞΫηεઃఆ

ҧ๏ߦҝͷ௨஌Λड͚औͬͨΒ εύϜϝʔϧͷྫ ΦʔϓϯϦϨʔͷՄೳੑ DDoS߈ܸՃ୲ͷྫ Ϛϧ΢ΣΞײછͷ͍͕ٙ͋ΔͷͰɺΠϯελϯε͸ഁغ ΫϦʔϯͳEC2ʹσϓϩΠ ҧ๏ߦҝͷϦεΫ AWSΞΧ΢ϯτɺΠϯελϯεͷఀࢭ ࣾձతͳ৴༻௿Լ
ૌু

·ͱΊᶃ"84ηΩϡϦςΟͷجຊ ηΩϡϦςΟͷ3େཁ݅ ػີੑɺ׬શੑɺՄ༻ੑ IAM͸ॏཁ 3େཁ͕݅ଛͳΘΕΔՄೳੑ ূ੻ͷऔಘ AWS CloudTrailɺAWS ConﬁgΛ༗ޮԽ
੹೚ڞ༗Ϟσϧ AWSͷηΩϡϦςΟ͸ϢʔβͱAWS͕ڠྗͯ͠ରԠ

·ͱΊᶄηΩϡϦςΟରࡦͰָΛ͢ΔͨΊʹ ϚωʔδυαʔϏεͷݕ౼ αʔόϨεΞʔΩςΫνϟͷݕ౼ Ϣʔβʔͷ୲౰ൣғΛॖখ͢Δ AWS΍৴པͰ͖Δ૊৫ͷϕετϓϥΫςΟεʹै͏ IAMϕετϓϥΫςΟε AWSͷηΩϡϦςΟϕετϓϥΫςΟε AWSαʔϏε΍֎෦ϕϯμʔͷαʔϏεΛ࢖ͬͨ਍அɺݟ௚͠ IAMೝূ৘ใϨϙʔτɺTrusted
AdvisorɺAWS Conﬁg Rules ϓϥοτϑΥʔϜ਍அɺΞϓϦέʔγϣϯ਍அ

ここからはじめるAWSセキュリティ -Developers.IO 2017 WORLD in 名古屋-

ここからはじめるAWSセキュリティ -Developers.IO 2017 WORLD in 名古屋-

More Decks by 阿部洸樹

Other Decks in Technology

Featured

Transcript