導入事例から掴む、ハイブリッド環境におけるセキュアなシステム構築手法
>100 Views
April 22, 16
スライド概要
2016.4.22に行われた「クラウドネイティブ時代の安全なデータ連携の実現セミナー ~もっと安心&安全なデータ保護&転送の方法とは~」にて話した資料です。AWS, HULFT, Deep Security, cloudpackが講演しました。
関連スライド
各ページのテキスト
2016.4.20 クラウドネイティブ時代の安全なデータ連携の実現セミナー 導入事例から掴む、ハイブリッド環境における セキュアなシステム構築手法 cloudpack 後藤 和貴
アジェンダ ☁ cloudpackご紹介 ☁ AWSにおけるセキュリティ基礎 ☁ セキュアなシステム構築・運用 ☁ セキュリティ関連事例
☁ cloudpack事業 執行役員 • エバンジェリスト • 営業→PR・ウェブ • マーケティングチーム ☁ バックグラウンド 執行役員 / エバンジェリスト 後藤 和貴 @kaz_goto fb.com/kaz.goto • Oracle カスタマーサポート→開発@HQ • ウェブデザイン会社 • テクニカルディレクター(フリーランス)
アイレット株式会社 設立 2003年10月15日 資本金 7,000万円 代表者 齋藤 将平 従業員数 124名(2016年4月現在) 事業内容 システム開発・保守 マネジドホスティング (運用保守)
について
AWSを活用しながらビジネスに集中できる コンシェルジュサービス
cloudpackビジネス 設計支援 コンサル MSP 運用保守 システム 開発
24時間365日 監視運用保守 企業 定額課金/ 請求書払い PCI DSS、ISMS、Pマーク取得済みの運用体制 AWS
50,000時間 連続稼働 (※) (2,100日以上) ※ 2010年5月cloudpackサービススタート
6年間AWSのみで運用保守 4社 6年間 600 1200 プロジェクト超 社超
ワンストップでシステム開発から運用保守まで
プレミアコンサルティングパートナー アジア地域5社 最上位パートナー 世界46社
企業規模別 cloudpack利用比率 36 % 中小企業 27 % 中堅企業 37 % 大企業
アンケート
クラウド利用経験あり? ハイブリッド環境ですでに運用している? 独自のセキュリティポリシーが存在する?
cloudpack セキュリティの取り組み
セキュリティ ガイドライン / スタンダード ☁ Pマーク • 情報資産保護に関する法令順守の方針 ☁ ISO 27001(ISMS) • 情報資産を保護するための仕組み作りへの指針 ☁ PCI DSS • クレジットカード情報・取引情報を安全に守るために策定されたグローバルセキュリティ基準 • 要件が具体的で、セキュリティ実装の達成度合いを測るための指標 ☁ FISC安全対策基準 • 日本の金融機関がシステム構築をする際に参照される指針 ☁ SOC2レポート • 米国公認会計士協会(AICPA)が定める内部統制の保証報告書 • セキュリティ、可用性、処理の一貫性、機密保持、プライバシーのいずれかを対象とする
認証・セキュリティの取り組み PCI DSS監査証明マーク ICMS-PCI0162/PCI DSS PCI DS PC ICMS +セキュリティルーム ※写真はイメージです ICMS-PCI0162/PCI DSS PC ICMS
SOC2レポート受領 • 米国公認会計士協会(AICPA)が定める 内部統制の保証報告書 • 監査法人や公認会計士が独立した第三者 の立場から、客観的に検証した結果を記 載したもの • セキュリティ、可用性、処理の一貫性、 機密保持、プライバシーの内、cloudpack ではセキュリティおよび可用性を対象 • AWS上でのSOC2受領は日本初!
セキュリティ ホワイトペーパー • 国際・国内セキュリティ基準への取 り組み • ソフトウェア脆弱性情報に関する取 り組み • 業務ネットワークのセキュリティ • 運用上のセキュリティ保持体制
ドコモ・クラウド パッケージ • NTTドコモ社のクラウド導入・構 築・運用管理ノウハウやツールを パッケージ化 • セキュリティデザインパータンやテ ンプレートを提供 • 準拠したSIをcloudpackで実施可能
AWSにおけるセキュリティ基礎
共有責任モデル ☁ データセンターの物理的ファシリティ、ネット ワーク・ハイパーバイザなどクラウド基盤の部 分はAWSが責任をもつ ☁ 基盤以外の部分はオンプレミスと同様の考え方 でユーザー責任 ☁ 必要に応じて外部パートナーのソリューション も必須
初心者向けポイントの例 ☁ セキュリティグループ • 従来のFirewallとの違い(例: ホスト単位、ステートフル) ☁ パスワード認証以外 • サーバーログインは公開鍵 • AWS管理はIAMでMFA必須に ☁ サーバーコピーによる危険性 • サーバーイメージ(AMI)で複製できるがソフトウェアアッ プデート漏れに注意
複数の要素でセキュリティを高める ☁ セキュリティグループ ☁ サブネット&ネットワークACL ☁ OSレベル • iptables「SSHプロトコルの通信 で、ログイン操作を○分間に○回繰 り返していたら、送信元IPアドレス との通信を遮断する」 プライベートサブネットとインターネット接続する パブリックサブネットのハイブリッド構成例 http://www.keyman.or.jp/kc/30008563/ セキュリティグループとネットワーク ACL の比較 http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_Security.html#VPC_Security_Comparison
セキュアなシステムの 基本(抜粋)
セキュアなシステム構築 ☁ 権限管理 • IAM / IAM Role ☁ ID認証基盤 • ID統合(Active Directory) • 多要素認証 • ID連携(フェデレーション) ☁ セキュリティソリューション • サードパーティ製 IPS/IDS, WAF ☁ OSレベル対策 • デフォルトユーザーの要不要整理 • デフォルトプロセスの要不要整理 • rootログイン不可、必要な時のみ管理者に 昇格する • PAMの設定によりsu利用ユーザーを制限 • chrootでアクセス可能範囲を最小限にする • データ伝送は基本暗号化(SCP/FTPS) • ログの保管・保全 • iptablesアクセス制限 ☁ セキュアなコーディングと脆弱性テ スト ☁ ログイン不要なメンテ方法 • Inspector • サードパーティのサービス • EC2 Run Command, Ansible...
セキュアなシステム運用 ☁ アップデートの仕組み • ゴールデンイメージから新規インスタンス起 動してパッチ適用&アプリデプロイ • 動いているシステムにはアップデートかけな い ☁ アクセス制御 • 管理画面をインターネットに露出させない • Firewall設定 ☁ 脆弱性対策 • CSIRT, AWSなどの情報源 ☁ 監視とチューニング • IPS/IDS/WAF検知状況分析& ルール設定管理
セキュリティ関連事例
PCI DSS
ハイレベルなセキュリティ基準 ☁ AWSで国内初のPCI-DSS Level1環境の構築の実績 • PCI-DSSとは • PCI DSS (Payment Card Industry Data Security Standard) は国際カードブランド5 社(Visa、MasterCard、JCB、American Express、Discover) が共同で設立したPCI SSC(Payment Card Industry Security Standard Council)によって策定されたグロー バルセキュリティ基準。 • 世界のクレジットカード会社が求める プレスリリース(http://www.cloudpack.jp/press/20130308.html) セキュリティ実装のスタンダード
Coiney 既存サイトをPCI DSS Level1に準拠させる為、 cloudpackはインフラ構築・セキュリティ面でのコンサルティングを担当
実践的セキュリティ対策 アプリケーション ☁ ユーザー責任範囲 データ • 権限設定、ネットワーク設定 ランタイム • ソフトウェアのアップデート ミドルウェア OS 仮想化 サーバー ストレージ ネットワーク • セキュリティログの収集・管理 • データの暗号化 • ウイルス対策 etc… ☁ AWS責任範囲
NTTドコモ 統合分析基盤
オンプレミス環境 AWS環境
confidential 構築の背景 o ドコモにおけるビックデータ活用 業務システム のデータ 様々なログ CRMシステム ファイル の顧客データ Webサイト, ブログ ソーシャル メディア 静止画,動画 センサデータ ペタバイト級のデータ+機械学習+並列分散計算モデル マーケティング リコメンデーション オペレーション最適化 ビッグデータからの行動パ ターン分析によるサービス利 用促進/ユーザビリティ向上 多種多様なログに基づくクロ スリコメンド/チューニングに よる精度向上/対象ユーザ・ コンテンツのカバレッジ向上 ビッグデータを用いたネット ワークルーティングの最適化 Business Intelligence © 2014 NTT DOCOMO, INC. All Rights Reserved. セキュリティ メディア理解 ビッグデータを用いたハザー ドマップ/犯罪発生マップの 高精度化・カバレッジ向上 ビッグデータを用いた辞書構 築による文字認識・画像認識 精度の向上/ソーシャルメ ディア情報活用によるユーザ 動向把握 社会インフラ最適化 交通機関・公共施設の運行 最適化による待ち時間の最 小化 Data-Driven Innovation 22
confidential 数TB 毎日 のデータ 例えば1レコード1KBとすると… 数十億超 の レコード相当の処理 AWSで構築する ビッグデータ基盤 - 第4回 セキュリティ:ITpro http://itpro.nikkeibp.co.jp/atcl/column/15/041400088/041400004/ ※安全性を保つため 個人情報は予めフィルタ済み
ポイント クラウドの拡張性の高さ • • 毎日数TB、PB級のデータ量に対応 • • • ドコモ・クラウドパッケージ MFAやCloudTrailによる証跡など継続的な機能アップ 独自セキュリティ基準確立と実装 ポリシー準拠した環境の事前準備 すべてのロールごとに権限はわける
大陸間データ伝送
システム構成 bIlIrd If t Ik F , F AD A m > ( B A > ( > 3 -‐‑‒ B E F AD A v m B A v I B Am ot u I ot O H B B AD A A 2B ( A m 1 m If y m ot B A m lha hnw u I ot B A 1 B A ) 3) 3) em G yO 3) 3) NP S LWOH If 1 BE A 1 If 1 BE A 3) 1 GbI h I If y C B
転送状態の管理 システム構成 bIlIrd If t Ik F , F AD A m > ( B A > ( > 3 -‐‑‒ B E F AD A v m B A v I B Am ot u I ot O H B B AD A A 2B ( A m 1 m If y m ot lha hnw u I ot 3) 3) em G yO 3) m 3) B A 1 NP S LWOH If 1 BE A h I If y C B 現地に近いリージョンで 毎回環境起動 B A B A ) 3) GbI 1 If 1 BE A 1
システム構成 bIlIrd If t Ik F , F AD A m > ( B A AD A v m > ( > 3 -‐‑‒ B E F ファイル分割制御・リトライ 優先度制御 B A v I B Am ot u I ot O H B B AD A A 2B ( A m 1 m If y m ot B A m lha hnw u I ot B A 1 B A ) 3) 3) em G yO 3) 3) NP S LWOH If 1 BE A 1 If 1 BE A 3) 1 GbI h I If y C B
システム構成 高速ファイルファイル転送 bIlIrd If t Ik F , F AD A m > ( B A > ( > 3 -‐‑‒ B E F AD A v m B A v I B Am ot u I ot O H B B AD A A 2B ( A m 1 m If y m ot B A m lha hnw u I ot B A 1 B A ) 3) 3) em G yO 3) 3) NP S LWOH If 1 BE A 1 If 1 BE A 3) 1 GbI h I If y C B
ポイント 通信の最適化と安全性 • • • 都度リージョン選択 伝送優先度調整 プロトコルレベルで暗号化、データ整合性維持 (Skeed) 安全確実&高速伝送 • • ツールとしてHULFT + Skeed利用 ファイル分割、リトライ制御
ソリューション
securitypack ☁ Deep Security導入から 運用保守までをサポート ☁ 24時間365日、 システム監視と運用・保守 ☁ 脆弱性情報の提供 ルール設定代行 ログ分析など
まとめ
まとめ • さまざまなセキュリティガイドライン・スタンダードが 存在し、既存のノウハウとして利用する • 単一の要素ではなく、複数の要素を合わせて堅牢な仕組 みにしていく • 特性・用途にあったサードパーティ製ソリューションの 導入により、堅牢・安全なハイブリッド環境も構築可能