「クラウドの基礎と、クラウドのセキュリティの基本的な考え方(AWSを例に)」

3.1K Views

August 27, 23

スライド概要

【第9回】サイバーセキュリティ勉強会2023夏 in 塩尻
https://shiojiri-cyber.connpass.com/event/286135/
AWS Japan 平賀博司 氏

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

関連スライド

各ページのテキスト
1.

サイバーセキュリティ勉強会2023夏 IN 塩尻 サイバーセキュリティ勉強会2023夏 IN 塩尻 クラウドの基礎と クラウドのセキュリティの 基本的な考え方(AWSを例に) アマゾン ウェブ サービス ジャパン合同会社 AWS Academy Technical Program Manager 平賀博司 2023年8月26日 © 2023, Amazon Web © 2023, Services, Amazon Inc. or Web its Services, affiliates.Inc. All or rights its affiliates. reserved.All rights reserved.

2.

サイバーセキュリティ勉強会2023夏 IN 塩尻 このセッションでお話しすること • AWSを利用した、「オンプレ相当の」基本システム構成 • Web3層構成アーキテクチャーを題材に・・ • AWSを利用する際の基本的なセキュリティーの考え方と機能 • 責任共有モデルの考え方 • 具体的なセキュリティー設定のいくつか • Identity&Access制御 • • • IAMユーザー、IAMポリシー、IAMロール AWS Cloud Trail ファイアウォール • • • セキュリティグループ ネットワークアクセスコントロールリスト Web Application Firewall © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.

3.

サイバーセキュリティ勉強会2023夏 IN 塩尻 AWSを利用した 基本的なシステム構成 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.

4.

サイバーセキュリティ勉強会2023夏 IN 塩尻 AWSを利用した基本的なシステム構成 • Webシステムの基礎知識 • Web3層アーキテクチャーのAWSでの実装 ▪ ネットワーク(VPCとサブネット) ▪ サーバー(EC2) ▪ データベース(RDS) ▪ ストレージ(S3) © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.

5.

サイバーセキュリティ勉強会2023夏 IN 塩尻 Webシステム構成 一般的な 「Web3層アーキテクチャー」 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.

6.

サイバーセキュリティ勉強会2023夏 IN 塩尻 Web3層システムの例 インターネット インターネット Web層 (Webサーバー) ユーザー アプリケーション層 (アプリケーションサーバー) 一般的に 「Web3層アーキテクチャー」と 呼びます © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. 永続化層 (データベースサーバー) ユーザー

7.

サイバーセキュリティ勉強会2023夏 IN 塩尻 これをAWSを利用して 構築してみるとどうなる? © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.

8.

サイバーセキュリティ勉強会2023夏 IN 塩尻 AWSを支える 物理レイヤー (AWS の管理部分) © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.

9.

サイバーセキュリティ勉強会2023夏 IN 塩尻 AWS グローバルインフラストラクチャー • AWS が管理、運用している世界規模の 「ネットワーク」「データセンター」などのインフラ群のこと • このインフラ群のユーザーの視点からみた各種拠点を3つに分類している • AWSリージョン:地理的なエリア(2023年8月現在、世界32か所(日本2か所)) • アベイラビリティーゾーン:各リージョン内のデータセンターのグループ • Point Of Presence (POP): (エッジロケーション) リージョン、アベイラビリティーゾーンとは独立したデータセンター データ配信を高速化する目的などで利用 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.

10.

サイバーセキュリティ勉強会2023夏 IN 塩尻 AWSの基本的な サービスたち © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.

11.

サイバーセキュリティ勉強会2023夏 IN 塩尻 AWSの基本的なサービスたち • ネットワーク(VPCとサブネット) • サーバー(EC2) • データベース(RDS) • ストレージ(S3) © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.

12.

サイバーセキュリティ勉強会2023夏 IN 塩尻 AWSの基本的なサービスたち • ネットワーク(VPCとサブネット) • サーバー(EC2) • データベース(RDS) • ストレージ(S3) © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.

13.

サイバーセキュリティ勉強会2023夏 IN 塩尻 ネットワークサービス • VPC (Virtual Private Cloud): ▪ 論理的に独立したネットワーク ▪ 1 つの AWS リージョンに属す AWS クラウド リージョン ▪ 複数のアベイラビリティーゾーンに またがることが可能 • サブネット: アベイラビリ ティーゾーン 1 アベイラビリ ティーゾーン 2 サブネット サブネット VPC ▪ VPC を分割 する IP アドレスの範囲 ▪ 1 つのアベイラビリティーゾーンに属す ▪ ルーティング先ごとに設定 (一般に「パブリック」「プライベート」に分割) © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. 14

14.

サイバーセキュリティ勉強会2023夏 IN 塩尻 (再掲)Web3層システムの例 インターネット インターネット Web層 (Webサーバー) ユーザー ユーザー システムそのものの配置 (ネットワーク) 一般的に 「Web3層アーキテクチャー」と 呼んでいます © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. アプリケーション層 (アプリケーションサーバー) 永続化層 (データベースサーバー)

15.

サイバーセキュリティ勉強会2023夏 IN 塩尻 Web3層システムアーキテクチャー(ネットワーク部分) リージョン Web層 (Webサーバー) VPC インターネットゲートウェイ アベイラビリ ティーゾーン 1 アベイラビリ ティーゾーン 2 パブリック サブネット パブリック サブネット プライベート サブネット プライベート サブネット アプリケーション層 (アプリケーションサーバー) 永続化層 (データベースサーバー) © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.

16.

サイバーセキュリティ勉強会2023夏 IN 塩尻 (再掲)Web3層システムの例 インターネット インターネット Web層 (Webサーバー) ユーザー ユーザー 「サーバー」が必要 一般的に 「Web3層アーキテクチャー」と 呼びます © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. アプリケーション層 (アプリケーションサーバー) 永続化層 (データベースサーバー)

17.

サイバーセキュリティ勉強会2023夏 IN 塩尻 Amazon EC2 (仮想サーバー) • Amazon Elastic Compute Cloud (Amazon EC2) ▪ EC2 インスタンスと呼ばれる仮想マシンを提供 ▪ 各インスタンスのオペレーティングシステム (Windows、Linux または MacOS) を完全に制御可能 • 任意のサイズ(スペック) のインスタンスを作成可能 Amazon EC2 ▪ Amazon マシンイメージ (AMI) から起動 ▪ 数分で準備完了 • インスタンスに出入りするトラフィックを制御可能 ▪ セキュリティグループ © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.

18.

サイバーセキュリティ勉強会2023夏 IN 塩尻 Web3層システムアーキテクチャー(サーバー) リージョン インターネットゲートウェイ VPC アベイラビリティーゾーン 1 Web層 (Webサーバー) パブリックサブネット パブリックサブネット セキュリティ グループ プライベートサブネット アプリケーション層 (アプリケーションサーバー) アベイラビリティーゾーン 2 プライベートサブネット セキュリティグループ Webサーバー Webサーバー セキュリティグループ 永続化層 (データベースサーバー) © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. APサーバー APサーバー

19.

サイバーセキュリティ勉強会2023夏 IN 塩尻 (再掲)Web3層システムの例 インターネット インターネット Web層 (Webサーバー) ユーザー ユーザー アプリケーション層 データを保管する場所 ・ストレージ (アプリケーションサーバー) ・データベース 一般的に 「Web3層アーキテクチャー」と 呼びます © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. 永続化層 (データベースサーバー)

20.

サイバーセキュリティ勉強会2023夏 IN 塩尻 Amazon Relational Database Service • Amazon Relational Database Service (Amazon RDS) ▪ DB インスタンスと呼ばれるRDBインストール済み インスタンスを提供 ▪ RDBMS運用に必要な各種タスクはAWS側で実施 ▪ Amazon Aurora、MySQL、MariaDB、 Microsoft SQL Server、Oracle、PostgreSQL の 各データベースを利用可能 Amazon Relational Database Service ユーザーが選択するもの DB インスタンスクラス (Amazon RDS) • • • © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. CPU メモリ ネットワークパフォーマンス DB インスタンスストレージ • • • マグネティック 汎用機 (ソリッドステートドライブ、SSD) プロビジョンド IOPS データベースエンジン ・Aurora、MySQL、MariaDB、SQL Server、Oracle、PostgreSQL

21.

サイバーセキュリティ勉強会2023夏 IN 塩尻 Web3層システムアーキテクチャー(DB) リージョン インターネットゲートウェイ VPC Web層 (Webサーバー) アベイラビリティーゾーン 1 アベイラビリティーゾーン 2 パブリックサブネット パブリックサブネット プライベートサブネット プライベートサブネット セキュリティグループ アプリケーション層 (アプリケーションサーバー) Webサーバー Webサーバー セキュリティグループ APサーバー 永続化層 (データベースサーバー) © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. APサーバー セキュリティグループ RDSインスタンス スタンバイ

22.

サイバーセキュリティ勉強会2023夏 IN 塩尻 基本的なセキュリティーの 考え方と機能 professional © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. services © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.

23.

サイバーセキュリティ勉強会2023夏 IN 塩尻 基本的なセキュリティーの考え方と機能 • 責任共有モデルの考え方 • AWSでのセキュリティー設定の基本 • ユーザー管理とアクセス管理(IAM) ▪ アクセスログ • ネットワーク関連 ▪ ファイアウォール ▪ ルーティング制御(ルートテーブル) © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.

24.

責任共有モデル © 2022, Amazon Web Services, Inc. or its affiliates.

25.

サイバーセキュリティ勉強会2023夏 IN 塩尻 AWS の責任共有モデル © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.

26.

AWS Identity and Access Management (IAM) © 2022, Amazon Web Services, Inc. or its affiliates.

27.

サイバーセキュリティ勉強会2023夏 IN 塩尻 IAM: 基本コンポーネント AWS アカウントで認証できるユーザー または アプリケーション IAM ユーザー 同一の認可が付与されている IAM ユーザーの集合 IAM グループ アクセスできるリソースと、各リソースへのアクセスのレベル を 定義するドキュメント IAM ポリシー IAM ロール AWS サービスリクエストを行うためのアクセス許可セットを 付与するために使用できる仕組み © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.

28.

サイバーセキュリティ勉強会2023夏 IN 塩尻 認可: 許可されるアクション(IAM ポリシー) ユーザーまたはアプリケーションが AWS アカウントに接続された後、どのようなアクションが許可されるか フル アク セス IAM ユーザー IAM グループ IAM ロール 読み取 り専用 インスタンス S3 バケット (ストレージ) IAM ポリシー © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. EC2

29.

サイバーセキュリティ勉強会2023夏 IN 塩尻 アクセスログ:AWS CloudTrail • ユーザーアクティビティのログの作成と監視 • AWS アカウントのイベント履歴 • • • AWS CloudTrail AWS マネジメントコンソール、SDK、AWS CLI 経由でアクションを実行 ユーザーとリソースアクティビティの可視性を向上 90 日間のイベント履歴を無料で提供 (デフォルト) • 次の項目が特定できる • • • アカウントにアクセスしたユーザー アクセスしたタイミングとリソース AWS のサービスに対するアクションの内容 • 次の用途に役立つツール • • セキュリティ分析の実行 ブロックされたコールの検出(IAM ポリシーなど) © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.

30.

サイバーセキュリティ勉強会2023夏 IN 塩尻 いろいろなファイアウォール 「セキュリティグループ」 「ネットワークACL」 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. © 2023, Amazon Web Services, Inc. or its affiliates.

31.

サイバーセキュリティ勉強会2023夏 IN 塩尻 ファイアウォール(セキュリティグループ) AWS クラウド リージョン アベイラビリティーゾーン インスタンスの「仮想ファイアウォール」 ・「インバウンドトラフィック」 ・「アウトバウンドトラフィック」 を制御 VPC: 10.0.0.0/16 パブリックサブネット: 10.0.1.0/24 セキュリティグループ プライベートサブネット: 10.0.2.0/24 セキュリティグループ © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. セキュリティグループは インスタンスレベルで動作 同一サブネット内の各インスタンスを 異なるセキュリティグループのセットに 割り当てることが可能 32

32.

サイバーセキュリティ勉強会2023夏 IN 塩尻 セキュリティグループ インバウンド タイプ プロトコル ポート範囲 ソース 説明 HTTP TCP 80 0.0.0.0/0 すべてのウェブトラフィック HTTPS TCP 443 0.0.0.0/0 すべてのウェブトラフィック SSH TCP 22 54.24.12.19/32 オフィスのア ドレス アウトバウンド タイプ プロトコル ポート範囲 ターゲット すべてのトラフィック すべて すべて 0.0.0.0/0 すべてのトラフィック すべて すべて ::/0 • • • • 説明 デフォルトはすべてのトラフィックを拒否 許可ルールは指定できますが、拒否ルールは指定できない トラフィックの許可を決定する前に、すべてのルールが評価される リクエストのみチェックし、許可されたリクエストのレスポンスは自動許可(ステートフル) © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. 33

33.

サイバーセキュリティ勉強会2023夏 IN 塩尻 Web3層システムアーキテクチャー リージョン インターネットゲートウェイ VPC Web層 (Webサーバー) アベイラビリティーゾーン 1 アベイラビリティーゾーン 2 パブリックサブネット パブリックサブネット プライベートサブネット プライベートサブネット セキュリティグループ アプリケーション層 (アプリケーションサーバー) Webサーバー Webサーバー セキュリティグループ APサーバー 永続化層 (データベースサーバー) © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. APサーバー セキュリティグループ RDSインスタンス スタンバイ

34.

サイバーセキュリティ勉強会2023夏 IN 塩尻 (参考)ネットワークアクセスコントロールリスト 特定のネットワークセキュリティ要件がある場合に推奨 (それ以外はあまり利用しない) VPC パブリック サブネット © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. • サブネットレベルで動作 • デフォルトですべてのトラフィックを許可 • インバウンドとアウトバウンドの すべてのトラフィックそれぞれに 明示的なルールが必要

35.

サイバーセキュリティ勉強会2023夏 IN 塩尻 Web Application Firewall © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. © 2023, Amazon Web Services, Inc. or its affiliates.

36.

サイバーセキュリティ勉強会2023夏 IN 塩尻 Web Application Firewall AWS クラウド VPC DDoS 攻撃 パブリック サブネット X AWS WAF ユーザー Amazon Route 53 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon CloudFront プライベート サブネット セキュリティ グループ セキュリティ グループ Elastic Load Balancing ウェブアプリケー ション EC2 イン スタンス

37.

ネットワークルーティング (ルートテーブル) © 2022, Amazon Web Services, Inc. or its affiliates.

38.

サイバーセキュリティ勉強会2023夏 IN 塩尻 ルートテーブルの役割イメージ リージョン インターネット VPC (10.0.0.0/16) ユーザー ルートテーブル ↓ どのサブネットにアクセス可能 かを決めている 送信先 ターゲット 10.0.0.0/16 ローカル 0.0.0.0/0 インターネット ゲートウェイ © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. インターネットゲートウェイ アベイラビリ ティーゾーン 1 アベイラビリ ティーゾーン 2 パブリック サブネット パブリック サブネット アクセス可能 プライベート サブネット プライベート サブネット アクセス不可能

39.

サイバーセキュリティ勉強会2023夏 IN 塩尻 クラウドを考えるとき 選択肢のいろいろ professional © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. services © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.

40.

マネージド型サービス と アンマネージド型サービス © 2022, Amazon Web Services, Inc. or its affiliates.

41.

サイバーセキュリティ勉強会2023夏 IN 塩尻 アンマネージド型サービスとマネージド型サービスの比較 アンマネージド型: スケーリング、耐障害性、可用性を お客様が管理 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. マネージド型: スケーリング、耐障害性、可用性は 通常サービスに組み込み

42.

サイバーセキュリティ勉強会2023夏 IN 塩尻 マネージド型の例:データベースサービス アプリケーションの最適化 アプリケーションの最適化 スケーリング スケーリング 高可用性 データベースバックアップ 利用者 による 管理 DB ソフトウェアのパッチ 利用者 による 管理 データベースバックアップ データベースバックアップ DB ソフトウェアのパッチ DB ソフトウェアのパッチ OS パッチ OS パッチ OS のインストール OS のインストール ラックおよびスタック 電源、HVAC、ネットワーク オンプレミス © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. スケーリング 高可用性 DB ソフトウェアのインストール AWS に よる管 理 アプリケーションの最適化 高可用性 DB ソフトウェアのインストール サーバーメンテナンス 利用者 による 管理 AWS による 管理 DB ソフトウェアのインストール OS パッチ OS のインストール サーバーメンテナンス サーバーメンテナンス ラックおよびスタック ラックおよびスタック 電源、HVAC、ネットワーク 電源、HVAC、ネットワーク Amazon EC2 内 マネージド型の AWS データベースサービス内

43.

サイバーセキュリティ勉強会2023夏 IN 塩尻 【再掲】AWS の責任共有モデル © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.

44.

サイバーセキュリティ勉強会2023夏 IN 塩尻 【再掲】AWS の責任共有モデル AWS が自動的に対応 お客様が設定内容を判断 機能として AWS が自動対応 機能としては AWS が用意している © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.

45.

さらに進めば・・・ サーバーレスアーキテクチャー © 2022, Amazon Web Services, Inc. or its affiliates.

46.

サイバーセキュリティ勉強会2023夏 IN 塩尻 サーバーレスとは サーバーを意識せずに アプリケーションとサービスの 構築や実行を行う方法 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.

47.

サイバーセキュリティ勉強会2023夏 IN 塩尻 サーバーレスの例:Amazon S3(ストレージ) • データをバケット内に保存 • 事実上無制限のストレージ 1 つのオブジェクトは最大5 TB • Amazon Simple Storage Service (Amazon S3) © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. • 99.999999999% の耐久性 • インターネットから直接アクセス可能 アクセス制御設定はきちんと行う必要あり • • デフォルトはアクセス不可

48.

サイバーセキュリティ勉強会2023夏 IN 塩尻 サーバーレスの例: AWS Lambda(プログラム実行基盤) • フルマネージド型のコンピューティングサービス AWS Lambda © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. • Amazon S3 や Amazon DynamoDB の変更などの イベントや、スケジュールに従って コードを実行する基盤サービス • Java、Go、PowerShell、Node.js、C#、Python、 Ruby、ランタイム API をサポート

49.

サイバーセキュリティ勉強会2023夏 IN 塩尻 まとめ © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.

50.

サイバーセキュリティ勉強会2023夏 IN 塩尻 まとめ ✓ AWSを利用した、「オンプレ相当の」基本システム構成 ✓ Web3層構成アーキテクチャーを題材に・・ ✓ AWSを利用する際に考慮すべきセキュリティー ✓ 責任共有モデルの考え方 ✓ 具体的なセキュリティー設定のいくつか ✓ Identity&Access制御 ✓ ✓ IAMユーザー、IAMポリシー、IAMロール ファイアウォール ✓ セキュリティグループ / ネットワークアクセスコントロールリスト ✓ いきつくところ「サーバーレスアーキテクチャー」 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.

51.

サイバーセキュリティ勉強会2023夏 IN 塩尻 Thank you! おつかれさまでした! © 2023, Amazon Web © 2023, Services, Amazon Inc. or Web its Services, affiliates.Inc. All or rights its affiliates. reserved.All rights reserved.