JAWS-UG東京 第15回勉強会 「よりセキュアなAWS環境構築 〜PCI DSS対応〜」

192 Views

February 09, 13

スライド概要

2013.2.9に行われたJAWS-UG東京勉強会で発表した資料です。



コイニーさんのAWS環境をPCI DSS対応にするための内容をまとめてます。

profile-image

アイレット株式会社 (cloudpack) エバンジェリスト / 公正取引委員会 デジタルアナリスト

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

関連スライド

各ページのテキスト
1.

2013.2.8 JAWS-UG東京 第15回勉強会 よりセキュアなAWS環境構築 〜PCI DSS対応〜 コイニー株式会社 CTO David Asikin cloudpack エバンジェリスト 後藤 和貴 Confidential

2.

自己紹介 プロフィール アイレット株式会社 cloudpack エバンジェリスト JAWS-UG 副代表 出没するJAWS-UG: 東京、大阪、福岡、宮崎、 浜松、静岡、鹿児島、沖縄、名古屋、札幌、 北陸、熊本、長崎、神戸、岩手 受賞歴: AWS SAMURAI 2012/2013!! (個人) 2011年度パートナー特別賞(会社) 好きなAWSサービス: プレミアムサポート 好きなCDP: Confidential @kaz_goto facebook.com/kaz.goto slideshare.net/kaz.goto

3.

AWS/OS/ミドルウェア での対応について Confidential

4.

PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を 維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値 を使用しない 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および 監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する Confidential

5.

PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を 維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値 を使用しない 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および 監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する Confidential

6.

プロジェクト体制 •PCI  DSS準拠⽀支援 •QSA •PCI  DSSレベル1 サービスプロバイダ •インフラ構築 •PCI  DSS準拠対策 Confidential

7.

システム概念図 Confidential

8.

対応サマリ Firewall設定 セキュリティソフトウェア導入 アカウント管理 アクセス記録・ログ集約管理 脆弱性対策 Confidential

9.

Firewall 一旦すべてアクセス不可 必要な箇所を許可 サーバー毎の通信許可 個別のセキュリティグループ (サブネットは通信要件毎に分けている) Confidential

10.

セキュリティソフトウェア導入 Trend Micro Deep Security IPS/IDS/改ざん検知/Firewall/WAF/ログ監視 ServerProtect ウィルス対策(リアルタイムスキャン) Confidential

11.

http://jp.trendmicro.com/jp/products/enterprise/tmds/pcidss/ Confidential

12.

アカウント管理 サーバー毎ではなく個人毎のアカウント OpenLDAP導入・権限管理 パスワード有効期限 ロックアウト対応 Confidential

13.

アクセス記録・ログ集約管理 ログ管理 EC2インスタンス内に1週間分残す fluentd経由でログサーバーへまとめ、S3へアーカイブ [参考]  FluentdでWeb  Storage  Archiveパターン http://blog.cloudpack.jp/2013/01/aws-‐‑‒news-‐‑‒cdp-‐‑‒web-‐‑‒storage-‐‑‒archive-‐‑‒fluentd.html Confidential

14.

アクセス記録・ログ集約管理 Management Consoleアクセス制限とログ記録 多要素認証に加えて誰が何をしたか記録が必須 プロキシ経由のみアクセス可 プロキシサーバー上でアクセスログ記録 [参考]  Squid経由でAWSマネジメントコンソールにアクセスしてソースIP制限や認証やログ取得 http://blog.cloudpack.jp/2013/02/aws-‐‑‒news-‐‑‒squid-‐‑‒aws-‐‑‒console-‐‑‒ip-‐‑‒log.html Confidential

15.

脆弱性対策 ミドルウェア最新化 Apacheはパッケージでは不可だったため、最新版ソー スをコンパイル • CVSS 4.0以上(レベルIII危険+レベルII警告)はすべて対策必須のため Deep Security仮想パッチ ソフトウェアのセキュリティパッチ提供前に脆弱性を保 護 パッチ適用後は自動的に外れる Confidential

16.

cloudpack 担当範囲 Confidential

17.

最後にお知らせ Confidential

18.

プレスリリース (PCFさんと提携リリース画面キャプチャ) Confidential

19.

ワンストップでサービス提供 エンドユーザー PCI DSS準拠 インフラ構築サービス •PCI  DSSレベル1 サービスプロバイダ •インフラ構築 •PCI  DSS準拠対策 Confidential •PCI  DSS準拠⽀支援 •QSA

20.

Confidential

21.

Thanks! http://www.cloudpack.jp/ [email protected] @cloudpack_jp Confidential