AWSでのセキュリティ運用　～IAM,VPCその他

AWSでのセキュリティ運用IAM,VPCその他

2016年5月17日

(C) Recruit Technologies Co.,Ltd. All rights reserved.

自己紹介

2

宮崎幸恵 (みやざきさちえ)

株式会社リクルートテクノロジーズ

ITソリューション統括部

2011年のリクルート入社以来(希望はしていない)クラウド一筋

JAWS登壇はたまに...

• 2014/3 JAWS DAYS2014

• 2014/6 クラウド女子会 (伝説？の学園もののときです。体育の先生になろうと思ってジャージで登壇）

• (2015年はAWS Summitに登壇していました)


業務内容

この場にいてなんですが…

いわゆるよく言われるセキュリティ業務をやっているわけで

はないのです

3

• 社内のシステム向けセキュリティ規程を定める• 規程が守られているかどうかを定期的に監査する• CSIRT• 脆弱性検査• セキュリティの教育講座開催

別の会社&別の部署別の会社&別の部署

別の部署

別の会社

別の会社&別の部署


業務内容

4

リクルートキャリア

リクルートジョブズ

リクルートスタッフィング

リクルート住まいカンパニー

リクルートライフスタイル

リクルートマーケティングパートナーズ

スタッフサービス・ホールディングス

リクルートアドミニストレーション

リクルートコミュニケーションズ

事業会社

機能会社

リクルートホールディングス

リクルートグループとは、主要７事業会社＋３機能会社で構成されるグループ企業群

ネットインフラ

大規模プロジェクト推進

UXD/SEO

ビッグデータ機能

テクノロジーR&D

事業・社内IT推進

セキュリティAP基盤・オフショア開発

オンプレミス基盤

社内インフラ

クラウド基盤


業務内容

5

55


Bサイト

共通機能 ※踏み台、LDAP、VPN機器、監視サーバ…etc

クラウド基盤CサイトBサイト

・・・・・

分類機能説明

ネットワークオンプレミス環境との接続オンプレミスとの専用回線によるセキュアな接続

セキュリティ認証/ID管理/ログ保管サーバへの個人認証、操作ログ取得、ID管理機能を提供

運用監視/モニタリング他監視機能、モニタリング等いくつかのツールの提供を実施

ライセンス提供・管理商用MWのライセンス提供

コスト一括請求管理・社内課金管理 AWSへの支払の取りまとめと社内への利用額振り分け

これらの諸々の管理運用が業務範囲

クラウドのメリットを活かしつつ、最低限必要なセキュリティ担保と運用の

ための共通機能を提供するスタイル


業務内容

なんですが、気づいたらクラウドのセキュリティの人みたいになっていた…

6

もっと自由なインフラが使いたい！

ログとかはとっといてくれるんでしょ

セキュリティ規程の監査で質問が

ここのセキュリティの規程にかかわる実装どうなってんの？

IDクリーニングの結果一覧提出よろしく

事故らしいけど操作ログの調査お願い

開発会社に何をしてもらえばいいのかわからない

FWのログとってるよね？内容について教えて

操作権限もっと絞れないの？

このサービス使いたいんだけどセキュリティが心配…

利用サイド

セキュリティサイド

※各コメントは実際のものではありません


業務内容

AWS 責任共有モデルでCustomerがやるべき範囲の一部を持っている状態

7

・rootアカウント管理・ログインID管理・定期IDクリーニング・ネットワーク設定・監視・バックアップ・モニタリング提供


業務内容

社内にあるオンプレミス基盤の運用と比較してみると….

8

オンプレミス基盤管理/運用主体クラウド基盤

アプリケーション

フレームワーク

ミドルウェア

OS

サーバ

ストレージ

ネットワーク

DCファシリティ

アプリチーム(事業会社)

インフラチームAWS

インフラチーム

インフラチーム

AWS

アプリチーム(事業会社)


結局なにをやっているのか？

決められたセキュリティの規程に従って、クラウドのインフラ運用を執行する業務を担っています

本日はその中での事例をお話します

9

(C) Recruit Technologies Co.,Ltd. All rights reserved.10

セキュリティ規程

パブリッククラウド向けの規程などはなく、原則すべての社内システムが同じセキュリティの規程に従っています

DCの要件等はAWSの範囲なので、多少検討事項が少ないかも

実は社内規程に対応すれば大体のことはOK


例えば…

11

• rootアカウントはMFA• rootのキーは発行しない、使わない• 通常運用にはIAMを利用する• IAMの権限は必要なものだけにする• ログインユーザーは必ず個人ごとに作成する• ユーザーのクリーニングを定期的に実施する• フェデレーションによるログインIDの一元管理• セキュリティグループが適切に設定されているかを監査する• VPCを使う• パブリックサブネットとプライベートサブネットを適切に設定する• 社内環境からプライベート接続をする• MWバージョンの管理• 変更監視• 操作ログの監査etc...


ログインユーザーはLDAPで統一管理

12

Management Console

SSH踏み台(OTP実装)

サイトA

ユーザ

サイトB

アイデンティティプロバイダ（IdP）

ユーザ管理(LDAP)

・・・

(※盛っています）


クリーニング

クリーニング

クリーニング

クリーニング

クリーニング

クリーニング

クリーニング

13


各アカウントで適切なユーザーが登録されており、必要な権限になっているかどうか

一定期間ログインがない場合はなぜID必要なのかを説明いただく

最終ログイン日をチェックしています

各アカウントごとにユーザーをリスト化しています

削除維持

必要と判断不要と判断

速やかに削除します

一定期間で繰り返し

最終結果を監査部署に提出


各サービスは社員だけでなく外部の開発パートナ様や、制作会社様、ベンダ様など多数の方々が関係しています

利用ユーザーの追加は忘れませんが(追加しないと使えないので）削除はしばしば忘れられます

人事情報と連携させたとしてもすべての利用ユーザーを網羅できないと考えると、クリーニング作業はとてつもなく地味ですが有効だと言わざるを得ません

さらに別の監査部署のチェックを受けることで、クリーニングを実施している自チーム(インフラ管理者）も例外なく平等に扱われます

15


IAMの機能は何か使っているのか

16

クリーニングの中ではほとんど使っていません

ユーザー一覧、最終ログイン日など必要な情報は基本的にLDAPからとっています


ではセキュリティの文脈でIAMの機能を一番使って

いるのは何か

17

適切な権限を設定する、リソースを制限する


security group

security group

規程に照らし合わせて不適切なルールを削除する仕組み

APIサーバー

APIサーバのみでキーを利用できるようにリソース制限

xxx.xxx.xxx tcp port○○

0.0.0.0/0 http 80xxx.xxx.xxx tcp port○○


どの権限をリスクと判断するか

AWSのサービス毎のアクションをそれぞれチェック

現在2000弱くらいのアクションが存在します

セキュリティのリスクとなるアクションはどれかを判別していく

権限設計の見直し


各リスクを洗い出しておくことで、起こりうる事象を明確にすることができます

しかし何しろ数が多いので、見直しだけで1週間くらいかかります

とても大変…

弊社での判断のよりどころはセキュリティの規程ですが、見直しの際に判断が変わる場合もあります


security group

security group

xxx.xxx.xxx tcp port○○0.0.0.0/0 http 80

0.0.0.0/0 http 80xxx.xxx.xxx tcp port○○

共通機能(ルーターや踏み台など)として運用しているシステムはセキュリティグループを変更するとメールがきます

システム管理者権限を持つ人の作業も監査を実施


許可していない業務外のログインがないかをチェック

システム管理者権限を持つ人の作業も監査を実施

休日のため、本来ログインはないはず


ここまでは結構普通だと思うのですが

数の力による運用増大というのがありまして

23


基本構成1サイト ≒ 1アカウント～

Elastic Load

BalancingVPC Subnet VPC Subnet

×70以上….

×200以上….


ユーザーは ×5? 10?

25


インフラT

1回作業するのに2か月×？

26

リスト送付

各利用者（承認者によるクリーニング）

クリーニングユーザー一覧抽出

（CSV）

削除一覧リスト作成クリーニング作業実施

証跡とりまとめ

リスト加工（各サイトの承認者と

突き合わせ）

メール

1か月弱概ね半月(返答待ち期間）

ここで1週間ここで1週間～

事前準備

証跡提出


• rootアカウントはMFA• rootのキーは発行しない、使わない• 通常運用にはIAMを利用する• IAMの権限は必要なものだけにする• ログインユーザーは必ず個人ごとに作成する• ユーザーのクリーニングを定期的に実施する• フェデレーションによるログインIDの一元管理• セキュリティグループが適切に設定されているかを監査する• VPCを使う• パブリックサブネットとプライベートサブネットを適切に設定する• 社内環境からプライベート接続をする• MWバージョンの管理• 変更監視• 操作ログの監査etc...

管理はまあ大変

運用での対応。そうでもない


大変


大変


運用での対応。



最初だけ

自らが管理者として悩み中


すみません、地味な内容で

28


社内規程が既にある

執行側としてはシステム上必要なものは用意する

しかし最後は運用が大事！！！良いものを入れても業務設計ができてい

なければ意味がない

29


どちらも満たしたインフラを！

30

利用サイドセキュリティサイド


数が増えることで比例的に増える運用については

是非この先に議論できれば幸いです

ありがとうございました

31

出演：リクルートテクノロジーズ非公式キャラクターテックル

AWSでのセキュリティ運用　～IAM,VPCその他

Technology

Transcript of AWSでのセキュリティ運用　～IAM,VPCその他

AWSでのセキュリティ運用 ～IAM,VPCその他

Technology

Transcript of AWSでのセキュリティ運用 ～IAM,VPCその他

AWSでのセキュリティ運用　～IAM,VPCその他

Transcript of AWSでのセキュリティ運用　～IAM,VPCその他