210 Views
February 09, 13
スライド概要
2013.2.9に行われたJAWS-UG東京勉強会で発表した資料です。
コイニーさんのAWS環境をPCI DSS対応にするための内容をまとめてます。
2013.2.8 JAWS-UG東京 第15回勉強会 よりセキュアなAWS環境構築 〜PCI DSS対応〜 コイニー株式会社 CTO David Asikin cloudpack エバンジェリスト 後藤 和貴 Confidential
自己紹介 プロフィール アイレット株式会社 cloudpack エバンジェリスト JAWS-UG 副代表 出没するJAWS-UG: 東京、大阪、福岡、宮崎、 浜松、静岡、鹿児島、沖縄、名古屋、札幌、 北陸、熊本、長崎、神戸、岩手 受賞歴: AWS SAMURAI 2012/2013!! (個人) 2011年度パートナー特別賞(会社) 好きなAWSサービス: プレミアムサポート 好きなCDP: Confidential @kaz_goto facebook.com/kaz.goto slideshare.net/kaz.goto
AWS/OS/ミドルウェア での対応について Confidential
PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を 維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値 を使用しない 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および 監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する Confidential
PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を 維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値 を使用しない 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および 監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する Confidential
プロジェクト体制 •PCI DSS準拠⽀支援 •QSA •PCI DSSレベル1 サービスプロバイダ •インフラ構築 •PCI DSS準拠対策 Confidential
システム概念図 Confidential
対応サマリ Firewall設定 セキュリティソフトウェア導入 アカウント管理 アクセス記録・ログ集約管理 脆弱性対策 Confidential
Firewall 一旦すべてアクセス不可 必要な箇所を許可 サーバー毎の通信許可 個別のセキュリティグループ (サブネットは通信要件毎に分けている) Confidential
セキュリティソフトウェア導入 Trend Micro Deep Security IPS/IDS/改ざん検知/Firewall/WAF/ログ監視 ServerProtect ウィルス対策(リアルタイムスキャン) Confidential
http://jp.trendmicro.com/jp/products/enterprise/tmds/pcidss/ Confidential
アカウント管理 サーバー毎ではなく個人毎のアカウント OpenLDAP導入・権限管理 パスワード有効期限 ロックアウト対応 Confidential
アクセス記録・ログ集約管理 ログ管理 EC2インスタンス内に1週間分残す fluentd経由でログサーバーへまとめ、S3へアーカイブ [参考] FluentdでWeb Storage Archiveパターン http://blog.cloudpack.jp/2013/01/aws-‐‑‒news-‐‑‒cdp-‐‑‒web-‐‑‒storage-‐‑‒archive-‐‑‒fluentd.html Confidential
アクセス記録・ログ集約管理 Management Consoleアクセス制限とログ記録 多要素認証に加えて誰が何をしたか記録が必須 プロキシ経由のみアクセス可 プロキシサーバー上でアクセスログ記録 [参考] Squid経由でAWSマネジメントコンソールにアクセスしてソースIP制限や認証やログ取得 http://blog.cloudpack.jp/2013/02/aws-‐‑‒news-‐‑‒squid-‐‑‒aws-‐‑‒console-‐‑‒ip-‐‑‒log.html Confidential
脆弱性対策 ミドルウェア最新化 Apacheはパッケージでは不可だったため、最新版ソー スをコンパイル • CVSS 4.0以上(レベルIII危険+レベルII警告)はすべて対策必須のため Deep Security仮想パッチ ソフトウェアのセキュリティパッチ提供前に脆弱性を保 護 パッチ適用後は自動的に外れる Confidential
cloudpack 担当範囲 Confidential
最後にお知らせ Confidential
プレスリリース (PCFさんと提携リリース画面キャプチャ) Confidential
ワンストップでサービス提供 エンドユーザー PCI DSS準拠 インフラ構築サービス •PCI DSSレベル1 サービスプロバイダ •インフラ構築 •PCI DSS準拠対策 Confidential •PCI DSS準拠⽀支援 •QSA
Confidential
Thanks! http://www.cloudpack.jp/ [email protected] @cloudpack_jp Confidential