Open6

リスキリング!40代おっさんのAWSセキュリティ(データ保護)

ththrobotththrobot

AWS セキュリティ(データ保護)-削除処理からの保護-

  1. S3のデータ保護
  • ボールトロック
  • オブジェクトロック
    • リテンションモード
      リテンションとは保持、維持を指す言葉
      • ガバナンスモード
        特定のユーザを除き削除不可
      • コンプライアンスモード
        すべてのユーザが削除不可
  1. KMS キー
  2. XXX
ththrobotththrobot

AWS セキュリティ(データ保護)-SNS-

  • メッセージデータ保護
    SNSに公開される個人情報を保護できる。
     情報をスキャンし、適切なアクションを取ることができる。
    • Autit
      AWSに送信される99%を監査し、S3、Cloudwatch、Firehoseに監査結果を送信できる。
      おそらく公開は避けられない。
    • De-identiy
      機密データをマスクする。
    • Deny
      機密データが存在する場合、公開自体をブロックする。
ththrobotththrobot

AWS セキュリティ(データ保護)-転送時の暗号化-

1. S3

  • バケットポリシーでのコントロール
    バケットポリシーにaws:SecureTransportの条件を使用する。
    例:aws:SecureTransportがfalseの場合、アクセスを拒否(Deny)する。
  • CloudFrontからの転送
    CloudFrontのビューワープロトコルポリシーを以下のどちらかで設定する。
    なお、オリジンプロトコルポリシーはマッチビューワー(ビューワーに合わせる)のみ設定可能。
    • Redirect HTTP to HTTPS
    • HTTPS Only

2. ALB

  • リスナーでHTTPSを設定
  • リスナーでHTTPを設定する場合、HTTPSにリダイレクトするルールを作成する
  • ALB + EC2
    ALBでSSLを終端 ⇒ HTTPSでEC2に接続

3. CloudFront


4. NLB

  • NLB+EC2
    TCPパススルーを設定し、EC2でSSLを終端する

5. ACM+Route53+CloudFront

  • ドメインの検証?
  • 証明書の自動更新?
ththrobotththrobot

AWS セキュリティ(データ保護)-保存時の暗号化-

KMS

  1. キーの種類
    • AWSマネージドキー
      ユーザが管理できない
    • カスタマーマネージドキー
      ユーザーが管理できる
  2. キーストア(標準キーストア、カスタムキーストア、CloudHSMなど)
ththrobotththrobot

AWS セキュリティ(データ保護)-バックアップ-

  1. EBS クロスアカウントのスナップショット
    カスタマーマネージドキーで暗号化したスナップショットを別のアカウントにコピーする。
    これによりアカウント侵害時にバックアップを保護できる。
ththrobotththrobot

AWS セキュリティ(データ保護)-コスト効率-

  1. KMS
    AWS Encryption SDKはデータキーキャッシュを利用できる。