JAWS-UG 横浜支部 第3回勉強会「AWSとセキュリティ Bastion 1」
- rewtheblow
- 5722
- 0
- 0
- 33
物理セキュリティ。重要な特性として場所の秘匿。これは社員にも知らされていないとのこと。トップシークレットなのは確かにわかる。更に職務の分離がある。物理アクセス可能な人は論理アクセスは不可能という点。これ重要。 #jawsug
2013-02-16 15:43:43ネットワークセキュリティ。ここは意外に一般に知られている技術での対応。DDoSやIPスプーフィング等。 #jawsug
2013-02-16 15:45:44物理インタフェースーF/Wーセキュリティグループ-ハイパーバイザーインスタンス、という階層構造。ユーザの責任範囲はセキュリティグループとインスタンス #ヤマン #jawsug
2013-02-16 15:49:38VMセキュリティ。AWSでは物理層とFirewall、Hypervisor担当。ユーザーはインスタンス。なのでインスタンス同士の通信はAWSを介して行うようになる。 #jawsug
2013-02-16 15:49:53当たり前ながらよくできてるよなぁ。隣どうしで通信できないようにするの、結構むずかしいんだよなぁ。特にグローバル前提のホスティングならなおさらなんだけど #ヤマン #jawsug
2013-02-16 15:51:06管理者層による管理者権限アクセス。サービスのすべての変更は社内システムで管理される。 #jawsug
2013-02-16 15:52:19認定&認証評価。ISO27001も持っており、HIPPA等の医療関係も取っている。SSAE16/ISAE3402 SOC1レポート…米国の監査についても取得している。またSOC2レポートというより高度な監査も受けている。なので信頼が高い。 #jawsug
2013-02-16 15:55:40AWSにとってセキュリティは最優先事項。物理論理問わずに徹底した対策を実施している。なのでユーザはユーザ責任分野に専心していればOK。 #jawsug
2013-02-16 15:57:50ユーザ側でのセキュリティの責任ポイント。見てみると今までのセキュリティ対策とほとんど変わらない。AWS独自でやってほしい推奨事項。VPC利用、MFA、IAMの利用。 #jawsug
2013-02-16 16:00:06VPCは先にNWを作ってその後EC2でインスタンスを立てるイメージ。セキュリティグループはアウトバウンドのコントロールもできる。他にネットワークACL、ENI(EC2に追加のネットワークカードを付与できる)、VPN接続。尚、VPN!=VPC。 #jawsug
2013-02-16 16:02:54今日のJAWS-UG横浜ハンズオンはEC2環境からVPC環境への移行を実際に体験できるよ! #jawsug
2013-02-16 16:04:11