JAWS-UG東京 第15回勉強会 「よりセキュアなAWS環境構築 〜PCI DSS対応〜」

2013.2.8 JAWS-UG東京 第15回勉強会 よりセキュアなAWS環境構築 〜PCI DSS対応〜 コイニー株式会社 CTO David Asikin cloudpack エバンジェリスト 後藤 和貴 Confidential

自己紹介 プロフィール アイレット株式会社 cloudpack エバンジェリスト JAWS-UG 副代表 出没するJAWS-UG: 東京、大阪、福岡、宮崎、 浜松、静岡、鹿児島、沖縄、名古屋、札幌、 北陸、熊本、長崎、神戸、岩手 受賞歴: AWS SAMURAI 2012/2013!! (個人) 2011年度パートナー特別賞(会社) 好きなAWSサービス: プレミアムサポート 好きなCDP: Confidential @kaz_goto facebook.com/kaz.goto slideshare.net/kaz.goto

AWS/OS/ミドルウェア での対応について Confidential

PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を 維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値 を使用しない 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および 監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する Confidential

PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を 維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値 を使用しない 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および 監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する Confidential

プロジェクト体制 •PCI  DSS準拠⽀支援 •QSA •PCI  DSSレベル1 サービスプロバイダ •インフラ構築 •PCI  DSS準拠対策 Confidential

システム概念図 Confidential

対応サマリ Firewall設定 セキュリティソフトウェア導入 アカウント管理 アクセス記録・ログ集約管理 脆弱性対策 Confidential

Firewall 一旦すべてアクセス不可 必要な箇所を許可 サーバー毎の通信許可 個別のセキュリティグループ （サブネットは通信要件毎に分けている） Confidential

セキュリティソフトウェア導入 Trend Micro Deep Security IPS/IDS/改ざん検知/Firewall/WAF/ログ監視 ServerProtect ウィルス対策（リアルタイムスキャン） Confidential

http://jp.trendmicro.com/jp/products/enterprise/tmds/pcidss/ Confidential

• http://jp.trendmicro.com/jp/products/enterprise/tmds/pcidss/

アカウント管理 サーバー毎ではなく個人毎のアカウント OpenLDAP導入・権限管理 パスワード有効期限 ロックアウト対応 Confidential

アクセス記録・ログ集約管理 ログ管理 EC2インスタンス内に1週間分残す fluentd経由でログサーバーへまとめ、S3へアーカイブ [参考]  FluentdでWeb  Storage  Archiveパターン http://blog.cloudpack.jp/2013/01/aws-‐‑‒news-‐‑‒cdp-‐‑‒web-‐‑‒storage-‐‑‒archive-‐‑‒fluentd.html Confidential

アクセス記録・ログ集約管理 Management Consoleアクセス制限とログ記録 多要素認証に加えて誰が何をしたか記録が必須 プロキシ経由のみアクセス可 プロキシサーバー上でアクセスログ記録 [参考]  Squid経由でAWSマネジメントコンソールにアクセスしてソースIP制限や認証やログ取得 http://blog.cloudpack.jp/2013/02/aws-‐‑‒news-‐‑‒squid-‐‑‒aws-‐‑‒console-‐‑‒ip-‐‑‒log.html Confidential

脆弱性対策 ミドルウェア最新化 Apacheはパッケージでは不可だったため、最新版ソー スをコンパイル • CVSS 4.0以上（レベルIII危険＋レベルII警告）はすべて対策必須のため Deep Security仮想パッチ ソフトウェアのセキュリティパッチ提供前に脆弱性を保 護 パッチ適用後は自動的に外れる Confidential

cloudpack 担当範囲 Confidential

最後にお知らせ Confidential

プレスリリース （PCFさんと提携リリース画面キャプチャ） Confidential

ワンストップでサービス提供 エンドユーザー PCI DSS準拠 インフラ構築サービス •PCI  DSSレベル1 サービスプロバイダ •インフラ構築 •PCI  DSS準拠対策 Confidential •PCI  DSS準拠⽀支援 •QSA

Confidential

Thanks! http://www.cloudpack.jp/ [email protected] @cloudpack_jp Confidential

• http://www.cloudpack.jp