AWSのセキュリティ_output
AWSのセキュリティについて学んだことについてアウトプットしていく。
AWSのセキュリティは、責任共有モデルで管理を行う。
■ 責任共有モデル
管理範囲が明確になっており、AWSが管理しているところ、AWSを使用している側が管理するところと分かれている。
-----------------------------------------
AWSの管理範囲:
・AZ
・リージョン
・エッジロケーション
・ネットワーク
・データベース
・ストレージ
-----------------------------------------
使用者の管理範囲:
・アプリコンテンツ
・データセキュリティ
・アクセスコントロール
・イベントリ管理
-----------------------------------------
■ AWSの物理セキュリティ
AZやリージョンなどの物理セキュリティ
・場所の秘密性
・監視カメラや侵入検知システム 24時間の警備
・2要素認証を2回以上での管理
・すべてのアクセスは管理され、ログが残っている
■ AWSのネットワークセキュリティ
AWSで管理されているネットワークのセキュリティについて
・ポートスキャニング対策 デフォルトではすべてのポートが閉じている
・パケット通信の盗聴対策
・IPなりすまし対策
・DDOS対策
※ポートスキャニング、とは
ネットワークに接続されている、通信可能なポートをひとつひとつ順番に特定のデータを送信し、その応答状況を調べること
サイバー攻撃者が、攻撃先を探す際に、行われることがある。
解放されているポートを調べることは違法なことではない。攻撃の事前準備として行われることが多い。
※IPなりすまし、とは
別名、IPスプーフィングと言い、IPアドレスを偽装することで、
WebサイトなどでのIPアドレス制限を突破して攻撃を行うことや、他人のIPアドレスを使って別人になりすますこと、サーバー攻撃を行う際に、攻撃元の特定を困難になるなどといったことができてしまう。
※DDOS、とは
攻撃者が一代の機器から対象の機器(サーバーなど)に過剰な攻撃をしかけるサイバー攻撃。
■ AWSが提供しているサービス
・IAM 必要なときにアクセスできる
・VPC プライベートネットワークが作れる
・データ暗号化
・Tusted Advisor 運用状況を監視 改善できるサービス
・WAF ファイヤーウォール
・Shield DDos保護 などなど
※ WAF、とは
Web Application Firewallの略。
ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護するセキュリティ対策の一つ。WAFを導入することで、ウェブサイトとウェブサイト利用者との間の通信の内容を機械的に検査する。
■ 論理アクセス管理
IAMアカウントを作り、IAMで管理すること
・AWSルートアカウントはなるべく使用しないことが重要。AWSルートアカウントは、マスターキーになるため、それ一つあればすべてにアクセス可能なため。
・利用者に対しては、個別のIAMユーザーを作り管理する
・認証情報は定期的に更新すること
・強度の高いパスワード設定をする
・アクセスキーは見られないところに厳重保存すること
まとめ
Amazonのセキュリティは現在、最強クラスと言われている。
よって、自社で管理するよりも100倍安全委管理できる。
もし、問題が発生した場合、サポートや、コンシェルジュなど専門家が常にバックアップ体制をとっている。
問題点について問い合わせを行うことで解決させることが容易である。