Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Tenable.ioで監査するAWSセキュリティベストプラクティス

takashi
October 31, 2018

 Tenable.ioで監査するAWSセキュリティベストプラクティス

10/25 (木)に行われたAWS向けTenable.ioソリューション活用セミナーで、 「Tenable.ioで監査するAWSセキュリティベストプラクティス」というタイトルで登壇させて頂きましたので、資料を公開いたします。

takashi

October 31, 2018
Tweet

More Decks by takashi

Other Decks in Technology

Transcript

  1. 2 about me 豊崎 隆 • クラスメソッド株式会社 • AWS事業本部 •

    コンサルティング部所属 • 2017年1月入社 • ソリューションアーキテクト • CloudFormationとWorkSpacesが好き
  2. 13 AWSベストプラクティスについて AWS責任共有モデルの概要 AWSの安全なグローバルインフラストラクチャについて IAMサービスの使用 リージョン、アベイラビリティゾーン、エンドポイント AWSサービスのセキュリティ上の責任共有 インフラストラクチャサービスの責任共有モデル コンテナサービスの責任共有モデル 抽象化されたサービスの責任共有モデル

    Trusted Advisorツールの使用 AWSでのアセットの定義と分類 AWSでアセットを保護するためのISMSの設計 AWSアカウント、IAMユーザー、グループ、ロールの管理 複数のAWSアカウントを使用する場合の戦略 IAMユーザの管理 IAMグループの管理 AWS認証情報の管理 IAMロールと一時的なセキュリティ認証情報を使用した委任について Amazon EC2のIAMロール クロスアカウントアクセス IDフェデレーション Amazon EC2インスタンスへのOSレベルのアクセスの管理 データの保護 リソースへのアクセス承認 クラウドでの暗号化キーの保管と管理 データ保管時のデータの保護 Amazon S3 での保管時のデータ保護 Amazon EBS での保管時のデータ保護 Amazon RDS での保管時のデータ保護 Amazon Glacier での保管時のデータ保護 Amazon DynamoDB での保管時のデータ保護 Amazon EMR での保管時のデータ保護 データとメディアの安全な廃棄 伝送中のデータ保護 アプリケーションの管理とAWSパブリッククラウドサービスへの管理アクセス AWSサービスを管理する際の伝送中のデータの保護 Amazon S3 に伝送中のデータの保護 Amazon RDS に伝送中のデータの保護 Amazon DynamoDB に伝送中のデータの保護 Amazon EMR に伝送中のデータの保護 オペレーディングシステムとアプリケーションのセキュリティによる保護 カスタムAMIの作成 ブートストラッピング パッチの管理 パブリックAMIのセキュリティ管理 マルウェアからのシステム保護 侵害と迷惑行為の軽減 その他アプリケーションセキュリティ慣行の採用 インフラストラクチャの保護 Amazon Virtual Private Cloud (VPC)の使用 セキュリティゾーンニングとネットワークセグメンテーションの使用 ネットワークセキュリティの強化 周辺システムの保護:ユーザリポジトリ、DNS、NTP 脅威保護レイヤーの構築 セキュリティのテスト メトリクスの管理と向上 DoS&DDoS攻撃の緩和と保護 セキュリティのテスト メトリクスの管理と向上 DoS&DDoS攻撃の緩和と保護 セキュリティモニタリング、アラート、監査証跡、インシデント対応の管理 変更管理ログの使用 重要なトランザクションの管理 ログ情報の保護 障害のログ記録 まとめ 寄稿者 参考資料と参考文献
  3. 20 TenableでAWSアセスメント AWSでは以下からスキャンをすることが可能 ・Tenable AWS Best Practice Audit ・CIS Amazon

    Web Services Three-tier Web Architecture L1 1.0.0 ・CIS Amazon Web Services Three-tier Web Architecture L2 1.0.0 ・CIS Amazon Web Services Foundations L1 1.0.0 ・CIS Amazon Web Services Foundations L2 1.0.0 ・A custom Amazon AWS audit file
  4. 21 TenableでAWSアセスメント AWSでは以下からスキャンをすることが可能 ・Tenable AWS Best Practice Audit ・CIS Amazon

    Web Services Three-tier Web Architecture L1 1.0.0 ・CIS Amazon Web Services Three-tier Web Architecture L2 1.0.0 ・CIS Amazon Web Services Foundations L1 1.0.0 ・CIS Amazon Web Services Foundations L2 1.0.0 ・A custom Amazon AWS audit file
  5. 37