AWSのセキュリティ

• AWSはクラウド本体のセキュリティ部分を担当する。
• ユーザーはクラウド内のセキュリティを担当する。
• AWS が用意するセキュリティサービスを適切に活用して、 ユーザーはクラウド内のセキュリティを管理できる。

AWS セキュリティの利点は次の4つです。

1. データの保護 AWS インフラストラクチャには、ユーザーのプライバシーを保護 するための強力な安全対策が用意されています。 すべてのデータは安全性が非常に 高いAWSデータセンターに保存されます。
2. コンプライアンスの要件に準拠: AWSでは、インフラストラクチャ内で数多くの コンプライアンスプログラムを管理できます。 つまり、コンプライアンスの一部は 最初から達成されています。
3. コスト削減: AWS データセンターを利用することでコストを削減できます。 ユー ザーが独自の施設を管理する必要なく、最上位のセキュリティを維持できます。
4. 迅速なスケーリング: AWS クラウドの使用量に合わせてセキュリティをスケーリ ングできます。 ビジネスの規模にかかわらず､ AWS インフラストラクチャによっ てユーザーのデータが保護されます。

• AWS のデータセンターのセキュリティはAWSの担当。

• ハイパーバイザーのセキュリティはAWSの担当。

• 管理プレーンの保護はユーザーの担当。

• IDとパスワードはユーザーが適切に管理する。 権限が強いアカウントにはMFA を組み合わせて利用する。

• キーペアはユーザーが適切に管理する。

• APIキーはユーザーが適切に管理する。 必要最低限の権限のみを付与する。 ルートアカウントのAPIキーは作成しない。

• マネージドでないサービスのセキュリティの責任については、ユーザーが操作で きる部分はすべてユーザーの責任。

• ユーザーが操作できるマネージドでない部分は、オンプレミスのシステムで行っ てきたことと同等。

• Amazon EC2 などのコンピューティングサービスは、 OS層以上はユーザーの責 任。

• ファイアウォール(セキュリティグループ)の設定内容は、ユーザーの責任

• マネージドなサービスの責任は､ ユーザーと AWSでそれぞれが分担。

• サービスのプラットフォーム部分はAWSの責任。
• サービスのプラットフォーム上のデータや、その上に置くアプリケーションはユ レーザーの責任。
• サービスにアクセスするためのアクセスコントロール設定とアカウント認証情 報の保護は、 ユーザーの責任。
• マネージドなサービスを使うことで､ユーザーのセキュリティに関する負担は軽減。

• 転送中データを保護するには、適切なプロトコルおよび暗号化アルゴリズムを選択する｡
• 蓄積データを保護するには、コンプライアンス要件に従い暗号化を行う。 AWS の提供する暗号化オプションを活用する。
• AWS資格情報を保護するには、 適切なユーザーの作成と、 必要最低限の権限設定 を行う。
• アプリケーションの安全性を確保するには、定期的な脆弱性診断と脆弱性情報の 確認、アプリケーションの改善を行う。

• 各IAMユーザー、IAMグループには、 必要最低限の権限を付与する。
• IAM ポリシーが相反するときは、 拒否が優先される。
• IAMユーザーには、最大2つのAPIキーが発行できる。
• IAMロールとは、ユーザーやAWS サービスがアクセス許可を一時的に利用する ために引き受ける認証情報。
• 一時的認証情報には IAMロールを利用する。
• ロールを引き受けた際には、元のIAMユーザーやIAMグループの権限は無効と なり、引き受けたIAMロールの権限のみが有効となる。

• AWS Shield はマネージド型のDDoS攻撃に対する保護サービス。
• AWS Shield Standardは一般的なDDoS攻撃からAWS上のシステムを保護する｡
• AWS Shield Advanced は、 Standard に加えて、DDoS Response Teamによる 緩和策を実施し、 攻撃を可視化する。
• Shield Response Team (SRT) の利用には、 AWS Shield Advanced への加入+ ビジネスプラン以上のサポートプランが必要。

• AWS WAFはマネージド型のWebアプリケーションファイアウォールサービス。 AWS WAFの基本利用料は無料。 Webセキュリティルールに基づき課金される。

• AWS WAF の Webセキュリティルールはユーザーが設定する必要がある。

• Web ACLの適用サービスは、 CloudFront, Application Load Balancer, API Gateway から選択する

• Amazon Inspector は脆弱性診断を自動で行うことができるサービス。

• EC2上にデプロイされたアプリケーションに対応。

• 各種ルールパッケージはAWSが最新のものにアップデート。

• スケジューリング設定により、完全に自動でチェック可能。

• AWSのコンプライアンスレポートを取得するには AWS Artifact からダウンロー ドする。

•  AWS Key Management Service (KMS) は、AWS上で暗号化のためのキーを作 成・管理し、 暗号化の制御が行えるサービス。

• AWSはクラウド本体のセキュリティ部分を担当し、ユーザーはクラウド内のセ キュリティを担当する(クラウドセキュリティの責任共有モデル)。

• Amazon EC2やAmazon VPCなど、 laaSのカテゴリーに分類される AWS 製品 はユーザーがすべてを管理するため、ユーザーは、 必要なセキュリティ設定と管 理タスクをすべて実行する必要がある。

• AWSは、ユーザーがクラウドにおけるセキュリティ対策を行う上で便利なツー ルやサービスを提供する。

• AWSセキュリティには、 データ保護､ コンプライアンス要件への準拠､コスト削 減、迅速なスケーリングという4つの利点がある。

• IAM とは、 ユーザーのAWSクラウドリソースへのアクセス管理サービス。 IAM でIAMユーザーやIAMグループを作成し、 適切なアクセス権限を割り当てる。

• セキュリティグループは、 1つ以上のインスタンスのトラフィックを制御する仮 想ファイアウォール。

• AWS Shield は、 マネージド型の DDoS攻撃に対する保護サービス。

• AWS WAFは、アプリケーションの可用性低下、セキュリティの侵害、 リソース の過剰消費などの一般的なWebの脆弱性からWebアプリケーションを保護す ある、マネージド型のWebアプリケーションファイアウォール。

• Amazon Inspector は､ 脆弱性診断を自動で行うことができるサービス。

• AWSのコンプライアンスレポートを取得するにはAWS Artifact からダウンロ ードする。

• AWS Key Management Service (KMS) は、 AWS上で暗号化のためのキーを作 成・管理し、 暗号化の制御が行えるサービス。