AWS セキュリティ(データ保護)-削除処理からの保護-

1. S3のデータ保護

• ボールトロック
• オブジェクトロック
  • リテンションモード
    リテンションとは保持、維持を指す言葉
    • ガバナンスモード
      特定のユーザを除き削除不可
    • コンプライアンスモード
      すべてのユーザが削除不可

2. KMS キー
3. XXX

AWS セキュリティ(データ保護)-SNS-

• メッセージデータ保護
  SNSに公開される個人情報を保護できる。
  　情報をスキャンし、適切なアクションを取ることができる。
  • Autit
    AWSに送信される99%を監査し、S3、Cloudwatch、Firehoseに監査結果を送信できる。
    おそらく公開は避けられない。
  • De-identiy
    機密データをマスクする。
  • Deny
    機密データが存在する場合、公開自体をブロックする。

AWS セキュリティ(データ保護)-転送時の暗号化-

1. S3

• バケットポリシーでのコントロール
  バケットポリシーにaws:SecureTransportの条件を使用する。
  例：aws:SecureTransportがfalseの場合、アクセスを拒否(Deny)する。
• CloudFrontからの転送
  CloudFrontのビューワープロトコルポリシーを以下のどちらかで設定する。
  なお、オリジンプロトコルポリシーはマッチビューワー(ビューワーに合わせる)のみ設定可能。
  • Redirect HTTP to HTTPS
  • HTTPS Only

---

2. ALB

• リスナーでHTTPSを設定
• リスナーでHTTPを設定する場合、HTTPSにリダイレクトするルールを作成する
• ALB + EC2
  ALBでSSLを終端 ⇒ HTTPSでEC2に接続

---

3. CloudFront

---

4. NLB

• NLB＋EC2
  TCPパススルーを設定し、EC2でSSLを終端する

---

5. ACM+Route53+CloudFront

• ドメインの検証？
• 証明書の自動更新？

AWS セキュリティ(データ保護)-保存時の暗号化-

KMS

1. キーの種類
   • AWSマネージドキー
     ユーザが管理できない
   • カスタマーマネージドキー
     ユーザーが管理できる
2. キーストア(標準キーストア、カスタムキーストア、CloudHSMなど)

AWS セキュリティ(データ保護)-バックアップ-

1. EBS クロスアカウントのスナップショット
   カスタマーマネージドキーで暗号化したスナップショットを別のアカウントにコピーする。
   これによりアカウント侵害時にバックアップを保護できる。

AWS セキュリティ(データ保護)-コスト効率-

1. KMS
   AWS Encryption SDKはデータキーキャッシュを利用できる。