Cloud days
-
Upload
tomoya-ishida -
Category
Documents
-
view
141 -
download
4
Transcript of Cloud days
キビシ~~ィ!!セキュリティ要件でこそ 選ばれているAWS x cloudpack
なぜ?!
CloudDays
今日みなさんにお伝えしたい事
皆さんがAWSを導入する上で、必ず社内で突っ込まれるセキュリティ !
どのように納得してもらうかcloudpackのノウハウをお話します!
WHO AM I石田 知也(いしだ ともや)
cloudpack エバンジェリスト&ソリューションアーキテクト
全国のJAWS-UG回ってます(今年:沖縄→札幌→大阪→さいたま)
AWS SAMURAI AWARD2014 受賞(JAWS-UG貢献)
JAWS-UG東京、JAWS FESTA・JAWS DAYS副実行委員長
好きなAWSサービス:SQS(クラウドの基本は疎結合だ!)
@tomyankuns
facebook.com/tomyankuns
cloudpack の価値AWS専門部隊 コンサルティング、アセスメント、導入設計
ホスピタリティ 24時間365日有人監視、保守対応
実績 350社を超えるアカウントを運用
セキュリティ PCI DSS Level 1 Service Provider 認定
スピード 最短30分でのデリバリー実績
Virtual Private Cloud(10.0.0.0/20)
Availability Zone A
IGW
Availability Zone B
VPC Subnet
NAT ELB ELB ELB
VPC Subnet
EC2 EC2
EC2 EC2
EC2
VPC Subnet
VPC Subnet
NAT
DB
VPC Subnet
EC2 EC2
EC2 EC2
EC2
VPC Subnet
VPC Subnet
NAT
VPC Subnet
ELB ELB ELB NAT
����������
���� � ������������
���� �
��������
��������
�������
����� ����������
トヨタ自動車様 エンタープライズ
バンダイナムコスタジオ様 ゲーム
Coiney様金融
'*/!+� &CF�
! ������������ ���������• p|sH5U�W{aI�Sk7ce7CF�
@ ��k7ce7g_c~7RE���k7ce7�@ �������D ��@ ��B���4��B��8 '*/!+� &C����¯�9A°®�
���
Hl7tU�W{aI�S¢¥���¢¥��HmzN�H7{Zz7J�ZaIaw7c�¢¥��H7{~7RZ�¢¥��<?:>�±£¶aRh\zw7Xx�[¢¥���KIp}3zsa_d�¢¥��Kn{�K{XZat[¢¥���¢¥��MJty_R�¢¥��MRX7d�����¢¥���¢¥�����b7]�¢¥�����b7]5J�cyr7c����¢¥��PJH_RZ�¢¥��RfM�
RyZu\_d¢¥���¢¥��R|ZU�¢¥��V7P�WJNZaRh}Y7¢¥���¢¥��W7j7~7RZ�¢¥����������¢¥��X7M7X7�=;Hdj�Zc5aRh}Y7¢¥���¢¥��Y7{�¢¥��ZOJH7^g_c~7RZ�¢¥��µ�¨§�\nIH��¯�¢¥���¢¥��]7�5H�d5n}�aIH�¢¥��]Sj�P7[����¢¥���¢¥��bIyJc�
¢¥��bY]{Qw7o�¢¥��ayZOJ�¢¥���¤XZat�¢¥��������W7lZ�¢¥����b7]g_c~7R�¢¥����� �UswfT7Xx�[�¢¥��e|_YUswfT7Xx��¢¥����©²���lYgZXZat[¢¥���¢¥��glyq�¢¥��i7cl7`�m7X7nL7[¢¥���lYwH{aRh}Y7¢¥���¢¥��������¢¥��o|J�k_d�����¢¥���
¢¥��iKJ�]7eXxe{�j7^v{UswfT7Xx�[¢¥���i�[yq¢¥���¢¥��lYgZ5H7QaR`�¢¥�����«¡��¢¥����\zw7Xx�[�¢¥��nGRczH{�¢¥��l_cHJ{�¬¦\nc¢¥���¢¥���/-$ �����¢¥���zH{a_RYvk�¢¥���z_R\nc¢¥����
��4�ªU�W{aI�Sk7ce7�
³´���6#..+����1-��(�2*)� *(�%+�-*'/.$*)-�-*'/.$*)�+,*0$!",-�%�+�)��
最近の案件の傾向
非常に高いセキュリティ要件を求めれられる案件が増加 •金融系 •エンタープライズ系
Amazonのクラウド? Publicクラウドって奴でしょ? ちょっとうちはセキュリティ厳しいんで…(略)
以前のお客様の声… 事実!!
Amazonのクラウドで、セキュリティの高い環境が作れるんでしょ?? ちょっとコンサルティングしてくれない!
最近のお客様の声… 事実!!
なにをもって「セキュリティが高い」と呼ぶか?
PCI DSS基準への対応 加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準
Payment Card Industry Data Security Standardsの頭文字をとったもので、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理
提案!!
主なPCI DSS要件要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する
AWSでセキュリティを担保するために抑えておくべきポイント
重要
共有責任モデル
・ファシリティ ・物理インフラ ・ネットワークインフラ
・物理セキュリティ ・仮想インフラ
・OS ・アプリケーション ・セキュリティグループ
・OSファイアウォール ・ネットワーク設定 ・アカウント管理
重要
共有責任モデル
・ファシリティ ・物理インフラ ・ネットワークインフラ
・物理セキュリティ ・仮想インフラ
・OS ・アプリケーション ・セキュリティグループ
・OSファイアウォール ・ネットワーク設定 ・アカウント管理
重要
http://www.slideshare.net/c95029/awsshared-responsibility-model-16612378
権限管理
多要素認証
VPC
セキュリティグループ
第三者
認証
NACL
共有責任モデル
・ファシリティ ・物理インフラ ・ネットワークインフラ
・物理セキュリティ ・仮想インフラ
・OS ・アプリケーション ・セキュリティグループ
・OSファイアウォール ・ネットワーク設定 ・アカウント管理
重要
PCI DSSに準拠するポイントを 事例を交えてご紹介
http://coiney.com/
日経コンピュータ
AWS導入事例ページ
PCI DSSに対応した仕組みと運用
Firewall設定 セキュリティソフトウェア導入 アカウント管理 アクセス記録・ログ集約管理 脆弱性対策
FirewallIDS/IPS Firewall
アカウント管理 ログ集約管理
脆弱性対策脆弱性対策脆弱性対策
PCI DSSに対応した仕組みと運用
Firewall設定 セキュリティソフトウェア導入 アカウント管理 アクセス記録・ログ集約管理 脆弱性対策
セキュリティソフトウェア導入
Trend Micro Deep Security IPS/IDS/改ざん検知/Firewall/WAF/ログ監視
ServerProtect ウィルス対策(リアルタイムスキャン)
セキュリティ+
�BWF\b�O`bPY?Dah0HC[^M>I^[�F\b<���
! �*)�#$&(� �'%�����"!�• ���������1O`bPY?Dah-U�OQFLW<���• ���,�u':)50HC[^M>I^[�F\b0���
���
E�T�0¤�{<m*$f&�jx,s�&4'����0HC[^M><jk,|�,#:��iE�T�HC[^M>n�IVO@A=,'��
E�T��$0@>_Gn�IVO,�D]?=bO2 ¡<�%. 8!/@?_G7GU?@A=<^=_J?Z/�f&�D]?=bO �"90��7E�T�"9D]?=bO �20���c<��&4'��
� ���������� �� ������� �� ����� ���
N>GD����0��r-��r/�u':¢�t0I^[�F\b,'�D]@P��0N�Js�<q}&��z.N�J<y�&+�$9;4'��
� ��������� ��� ������
O`bPY?Da��dh1�E�T�HC[^M>plFA=�������0HC[^M>XbK,'�(0��-R@S@<D]@P�����e0E�T�/6��&�D]@Pow0HC[^M><£~&+ #4'����v3�
�O`bPY?Da1����������0U�OQ��g,'��
まとめなにをもって「セキュリティが高い」と呼ぶか
→PCI DSSを参考に社内ルールを策定 セキュリティはコスト 自社に合わせて要件の取捨選択も必要 !
構築・保守運用どうしよう?? →cloudpackにご相談ください!
AWS専門部隊 コンサルティング、アセスメント、導入設計
ホスピタリティ 24時間365日有人監視、保守対応
実績 350社を超えるアカウントを運用する運用品質
セキュリティ PCI DSS Level 1 Service Provider 認定
スピード 最短30分でのデリバリー実績
Virtual Private Cloud(10.0.0.0/20)
Availability Zone A
IGW
Availability Zone B
VPC Subnet
NAT ELB ELB ELB
VPC Subnet
EC2 EC2
EC2 EC2
EC2
VPC Subnet
VPC Subnet
NAT
DB
VPC Subnet
EC2 EC2
EC2 EC2
EC2
VPC Subnet
VPC Subnet
NAT
VPC Subnet
ELB ELB ELB NAT
����������
���� � ������������
���� �
��������
��������
�������
����� ����������
まとめ
AWS運用をアウトソースしたい企業向けの月額費用固定型フルマネージドホスティング
24時間365日サーバー運用・保守
•電話/メールによるサポート 初期費用なし(基本移行作業含む)月額5万円からのスタート 日本円で請求書発行
まとめ
cloudpackの;3EH<1UY�
! ��������������� �������• AG2?8�C�4�� eO`\&Vb�*'j[$X,o�P���F�7�&qg&l$-Zk#hd/_+.-*���6�@:%X,^0"�,(���
• �� ������������� cfT$;3EH<1S]&)$+ �^iWU%��-�`\;3EH<1C>9DL=/WQUY"pn�!�,(���� ����N�R��M%X_�
• �������������� 5K�?I$JBI"&`\;3EH<1cf��C>9DL=UY/pn�!�,(���� ����N�R��M%am�
���
http://www.cloudpack.jp/ [email protected] @cloudpack_jp