セッション

aws INNOVATE
「セキュアなアプリケーションおよびアーキテクチャを規定する」
各セッション情報はこちら

概要

セキュアなアプリケーションおよびアーキテクチャを規定する

• アプリケション層の保護方法を決定する
• データの保護方法を決定する
• 単一VPCアプリケーション向けのネットワーキングインフラストラクチャを定義する

押さえるワード

• インフラストラクチャ

  • 責任共有モデル
    • AWSが提供するサービスについてはAWSが責任を持って管理する
      利用者が負うべき責任はオンプレに比べて少なくなる

• AWS IAM

  • AWSリソースへの権限管理を行う
  • ポリシー(権限情報)をユーザ・グループ・ロールに設定する
  • IAMユーザは一人一人に払い出すようにする
  • アクセスキーよりIAMロールが好ましい

• AWSリソースの保護

  • 最小権限の原則

    • ユーザに必要最低限の権限のみ付与する
    • 最低限から必要に応じて権限を追加していく

  • アイデンティティ

    • IAMユーザ
    • ロール
    • フェデレーション
    • ウェブIDフェデレーション

• VPC

  • AWS上でプライベートなネットワークを構築する
  • ファイアウォールやRoute設定が可能(利用者責任)
  • プライベートIPをサブネットに分割して使用する
  • ネットワークアクセス可否を元にサブネットを分割する

ENIは、EC2にアタッチされている

• 転送中データ

  • AWSから外部への転送
    SSL,IPsec,Snowball

  • APIコール
    HTTPS/SSL(デフォルト設定)

• 保管中データ

  • アクセスコントロール

    • S3はデフォルトでプライベート設定
    • ポリシーによってアクセス制御を設定

  • 暗号化

    • S3側で受け取ったデータを自動で暗号化する方式
    • クライアント側で暗号化してからS3に送信する方式

• 暗号化キーを管理する

  • AWS KMS
    キーの作成/管理が容易にできる

  • AWS CloudHMS
    ハードウェアベースのキー管理