Open6
リスキリング!40代おっさんのAWSセキュリティ(データ保護)
AWS セキュリティ(データ保護)-削除処理からの保護-
- S3のデータ保護
- ボールトロック
- オブジェクトロック
- リテンションモード
リテンションとは保持、維持を指す言葉- ガバナンスモード
特定のユーザを除き削除不可 - コンプライアンスモード
すべてのユーザが削除不可
- ガバナンスモード
- リテンションモード
- KMS キー
- XXX
AWS セキュリティ(データ保護)-SNS-
- メッセージデータ保護
SNSに公開される個人情報を保護できる。
情報をスキャンし、適切なアクションを取ることができる。- Autit
AWSに送信される99%を監査し、S3、Cloudwatch、Firehoseに監査結果を送信できる。
おそらく公開は避けられない。 - De-identiy
機密データをマスクする。 - Deny
機密データが存在する場合、公開自体をブロックする。
- Autit
AWS セキュリティ(データ保護)-転送時の暗号化-
1. S3
-
バケットポリシーでのコントロール
バケットポリシーにaws:SecureTransportの条件を使用する。
例:aws:SecureTransportがfalseの場合、アクセスを拒否(Deny)する。 -
CloudFrontからの転送
CloudFrontのビューワープロトコルポリシーを以下のどちらかで設定する。
なお、オリジンプロトコルポリシーはマッチビューワー(ビューワーに合わせる)のみ設定可能。- Redirect HTTP to HTTPS
- HTTPS Only
2. ALB
- リスナーでHTTPSを設定
- リスナーでHTTPを設定する場合、HTTPSにリダイレクトするルールを作成する
- ALB + EC2
ALBでSSLを終端 ⇒ HTTPSでEC2に接続
3. CloudFront
4. NLB
- NLB+EC2
TCPパススルーを設定し、EC2でSSLを終端する
5. ACM+Route53+CloudFront
- ドメインの検証?
- 証明書の自動更新?
AWS セキュリティ(データ保護)-保存時の暗号化-
KMS
- キーの種類
- AWSマネージドキー
ユーザが管理できない - カスタマーマネージドキー
ユーザーが管理できる
- AWSマネージドキー
- キーストア(標準キーストア、カスタムキーストア、CloudHSMなど)
AWS セキュリティ(データ保護)-バックアップ-
- EBS クロスアカウントのスナップショット
カスタマーマネージドキーで暗号化したスナップショットを別のアカウントにコピーする。
これによりアカウント侵害時にバックアップを保護できる。
AWS セキュリティ(データ保護)-コスト効率-
- KMS
AWS Encryption SDKはデータキーキャッシュを利用できる。