クラウドネイティブ時代の安全なデータ連携の実現セミナー 導入事例から掴む、ハイブリッド環境における セキュアなシステム構築手法 cloudpack 後藤 和貴 2016.4.20
クラウドネイティブ時代の安全なデータ連携の実現セミナー
導入事例から掴む、ハイブリッド環境における セキュアなシステム構築手法
cloudpack
後藤 和貴
2016.4.20
アジェンダ
☁ cloudpackご紹介 ☁ AWSにおけるセキュリティ基礎 ☁ セキュアなシステム構築・運用 ☁ セキュリティ関連事例
後藤 和貴@kaz_goto
執行役員 / エバンジェリスト
☁ cloudpack事業 執行役員 • エバンジェリスト • 営業→PR・ウェブ • マーケティングチーム
☁ バックグラウンド • Oracle カスタマーサポート→開発@HQ • ウェブデザイン会社 • テクニカルディレクター(フリーランス)fb.com/kaz.goto
アイレット株式会社
設立
資本金
代表者
従業員数
事業内容 システム開発・保守 マネジドホスティング (運用保守)
2003年10月15日
7,000万円
齋藤 将平
124名(2016年4月現在)
について
AWSを活用しながらビジネスに集中できるコンシェルジュサービス
cloudpackビジネス
設計支援 コンサル
MSP 運用保守
システム 開発
24時間365日
定額課金/ 請求書払い
PCI DSS、ISMS、Pマーク取得済みの運用体制
監視運用保守
企業 AWS
(2,100日以上)
※ 2010年5月cloudpackサービススタート
50,000時間 連続稼働(※)
4 社 社超
プロジェクト超
6001200
6年間
6年間AWSのみで運用保守
ワンストップでシステム開発から運用保守まで
アジア地域5社世界46社最上位パートナー
プレミアコンサルティングパートナー
企業規模別 cloudpack利用比率
36% 27 37% %
中小企業 中堅企業 大企業
アンケート
クラウド利用経験あり? ハイブリッド環境ですでに運用している? 独自のセキュリティポリシーが存在する?
cloudpack セキュリティの取り組み
セキュリティ ガイドライン / スタンダード
☁ Pマーク • 情報資産保護に関する法令順守の方針
☁ ISO 27001(ISMS) • 情報資産を保護するための仕組み作りへの指針
☁ PCI DSS • クレジットカード情報・取引情報を安全に守るために策定されたグローバルセキュリティ基準
• 要件が具体的で、セキュリティ実装の達成度合いを測るための指標
☁ FISC安全対策基準 • 日本の金融機関がシステム構築をする際に参照される指針
☁ SOC2レポート • 米国公認会計士協会(AICPA)が定める内部統制の保証報告書
• セキュリティ、可用性、処理の一貫性、機密保持、プライバシーのいずれかを対象とする
認証・セキュリティの取り組み
+セキュリティルーム
ICMS-PCI0162/PCI DSS
ICMS-PCI0162/PCI DSS
PCI DSSICMS-PCIxxxx
PCI DSS監査証明マーク PCI DSSロゴマーク
PCI DSSICMS-PCIxxxx※写真はイメージです
• 米国公認会計士協会(AICPA)が定める内部統制の保証報告書
• 監査法人や公認会計士が独立した第三者の立場から、客観的に検証した結果を記載したもの
• セキュリティ、可用性、処理の一貫性、機密保持、プライバシーの内、cloudpackではセキュリティおよび可用性を対象
• AWS上でのSOC2受領は日本初!
SOC2レポート受領
• 国際・国内セキュリティ基準への取り組み
• ソフトウェア脆弱性情報に関する取り組み
• 業務ネットワークのセキュリティ
• 運用上のセキュリティ保持体制
セキュリティ ホワイトペーパー
• NTTドコモ社のクラウド導入・構築・運用管理ノウハウやツールをパッケージ化
• セキュリティデザインパータンやテンプレートを提供
• 準拠したSIをcloudpackで実施可能
ドコモ・クラウド パッケージ
AWSにおけるセキュリティ基礎
共有責任モデル
☁ データセンターの物理的ファシリティ、ネットワーク・ハイパーバイザなどクラウド基盤の部分はAWSが責任をもつ
☁ 基盤以外の部分はオンプレミスと同様の考え方でユーザー責任
☁ 必要に応じて外部パートナーのソリューションも必須
初心者向けポイントの例
☁ セキュリティグループ • 従来のFirewallとの違い(例: ホスト単位、ステートフル)
☁ パスワード認証以外 • サーバーログインは公開鍵
• AWS管理はIAMでMFA必須に
☁ サーバーコピーによる危険性 • サーバーイメージ(AMI)で複製できるがソフトウェアアッ
プデート漏れに注意
複数の要素でセキュリティを高める
☁ セキュリティグループ ☁ サブネット&ネットワークACL ☁ OSレベル
• iptables「SSHプロトコルの通信で、ログイン操作を○分間に○回繰り返していたら、送信元IPアドレスとの通信を遮断する」
セキュリティグループとネットワーク ACL の比較http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_Security.html#VPC_Security_Comparison
プライベートサブネットとインターネット接続する パブリックサブネットのハイブリッド構成例
http://www.keyman.or.jp/kc/30008563/
セキュアなシステムの 基本(抜粋)
セキュアなシステム構築
☁ 権限管理 • IAM / IAM Role
☁ ID認証基盤 • ID統合(Active Directory)
• 多要素認証
• ID連携(フェデレーション)
☁ セキュリティソリューション • サードパーティ製 IPS/IDS, WAF
☁ セキュアなコーディングと脆弱性テスト
• Inspector
• サードパーティのサービス
☁ OSレベル対策 • デフォルトユーザーの要不要整理
• デフォルトプロセスの要不要整理
• rootログイン不可、必要な時のみ管理者に昇格する
• PAMの設定によりsu利用ユーザーを制限
• chrootでアクセス可能範囲を最小限にする
• データ伝送は基本暗号化(SCP/FTPS)
• ログの保管・保全
• iptablesアクセス制限
☁ ログイン不要なメンテ方法 • EC2 Run Command, Ansible...
セキュアなシステム運用
☁ アップデートの仕組み • ゴールデンイメージから新規インスタンス起
動してパッチ適用&アプリデプロイ
• 動いているシステムにはアップデートかけない
☁ アクセス制御 • 管理画面をインターネットに露出させない
• Firewall設定
☁ 脆弱性対策 • CSIRT, AWSなどの情報源
☁ 監視とチューニング • IPS/IDS/WAF検知状況分析&
ルール設定管理
セキュリティ関連事例
PCI DSS
ハイレベルなセキュリティ基準☁ AWSで国内初のPCI-DSS Level1環境の構築の実績
• PCI-DSSとは • PCI DSS (Payment Card Industry Data Security Standard) は国際カードブランド5
社(Visa、MasterCard、JCB、American Express、Discover) が共同で設立したPCI SSC(Payment Card Industry Security Standard Council)によって策定されたグローバルセキュリティ基準。
• プレスリリース(http://www.cloudpack.jp/press/20130308.html)
世界のクレジットカード会社が求める セキュリティ実装のスタンダード
Coiney
既存サイトをPCI DSS Level1に準拠させる為、 cloudpackはインフラ構築・セキュリティ面でのコンサルティングを担当
実践的セキュリティ対策
アプリケーション
データ
ランタイム
ミドルウェア
OS
仮想化
サーバー
ストレージ
ネットワーク
☁ ユーザー責任範囲 • 権限設定、ネットワーク設定
• ソフトウェアのアップデート
• セキュリティログの収集・管理
• データの暗号化
• ウイルス対策 etc…
☁ AWS責任範囲
NTTドコモ 統合分析基盤
オンプレミス環境 AWS環境
confidential
© 2014 NTT DOCOMO, INC. All Rights Reserved.
構築の背景
o ドコモにおけるビックデータ活用
22
業務システムのデータ
様々なログファイル CRMシステム
の顧客データ
Webサイト,ブログ
ソーシャルメディア
静止画,動画 センサデータ
ペタバイト級のデータ+機械学習+並列分散計算モデル
マーケティング リコメンデーション オペレーション最適化 セキュリティ メディア理解 社会インフラ最適化
ビッグデータからの行動パターン分析によるサービス利用促進/ユーザビリティ向上
多種多様なログに基づくクロスリコメンド/チューニングによる精度向上/対象ユーザ・コンテンツのカバレッジ向上
ビッグデータを用いたネットワークルーティングの最適化
ビッグデータを用いたハザードマップ/犯罪発生マップの高精度化・カバレッジ向上
ビッグデータを用いた辞書構築による文字認識・画像認識精度の向上/ソーシャルメディア情報活用によるユーザ動向把握
交通機関・公共施設の運行最適化による待ち時間の最小化
Business Intelligence Data-Driven Innovation
confidential
毎日数TB のデータ
数十億超の
レコード相当の処理
※安全性を保つため 個人情報は予めフィルタ済み
例えば1レコード1KBとすると…
AWSで構築する ビッグデータ基盤 - 第4回 セキュリティ:ITpro http://itpro.nikkeibp.co.jp/atcl/column/15/041400088/041400004/
クラウドの拡張性の高さ • 毎日数TB、PB級のデータ量に対応
• MFAやCloudTrailによる証跡など継続的な機能アップ
独自セキュリティ基準確立と実装 • ドコモ・クラウドパッケージ
• ポリシー準拠した環境の事前準備
• すべてのロールごとに権限はわける
ポイント
大陸間データ伝送
システム構成
�
1 BE A1 BE A
3)
3)
11
�������������
B Am
B Am
B Am
If
1
B B A
v
B Am
3) 3) If yem G C B
yO
AD A AD A
AD A
1
B AmIf
m y
lha hnw NP Su I ot LWOH
I ot u I otB Am O H
If
(
)
F >(
F >(
3-‐‑‒ B E F
>
bIlIrd
GbI hv 3) I
ot
2B A
,
If t Ik
システム構成
�
1 BE A1 BE A
3)
3)
11
�������������
B Am
B Am
B Am
If
1
B B A
v
B Am
3) 3) If yem G C B
yO
AD A AD A
AD A
1
B AmIf
m y
lha hnw NP Su I ot LWOH
I ot u I otB Am O H
If
(
)
F >(
F >(
3-‐‑‒ B E F
>
bIlIrd
GbI hv 3) I
ot
2B A
,
If t Ik
現地に近いリージョンで 毎回環境起動
転送状態の管理
システム構成
�
1 BE A1 BE A
3)
3)
11
�������������
B Am
B Am
B Am
If
1
B B A
v
B Am
3) 3) If yem G C B
yO
AD A AD A
AD A
1
B AmIf
m y
lha hnw NP Su I ot LWOH
I ot u I otB Am O H
If
(
)
F >(
F >(
3-‐‑‒ B E F
>
bIlIrd
GbI hv 3) I
ot
2B A
,
If t Ik
ファイル分割制御・リトライ 優先度制御
システム構成
�
1 BE A1 BE A
3)
3)
11
�������������
B Am
B Am
B Am
If
1
B B A
v
B Am
3) 3) If yem G C B
yO
AD A AD A
AD A
1
B AmIf
m y
lha hnw NP Su I ot LWOH
I ot u I otB Am O H
If
(
)
F >(
F >(
3-‐‑‒ B E F
>
bIlIrd
GbI hv 3) I
ot
2B A
,
If t Ik
高速ファイルファイル転送
通信の最適化と安全性 • 都度リージョン選択
• 伝送優先度調整
• プロトコルレベルで暗号化、データ整合性維持(Skeed)
安全確実&高速伝送 • ツールとしてHULFT + Skeed利用
• ファイル分割、リトライ制御
ポイント
ソリューション
securitypack
☁ Deep Security導入から運用保守までをサポート
☁ 24時間365日、システム監視と運用・保守
☁ 脆弱性情報の提供ルール設定代行ログ分析など
まとめ
• さまざまなセキュリティガイドライン・スタンダードが存在し、既存のノウハウとして利用する
• 単一の要素ではなく、複数の要素を合わせて堅牢な仕組みにしていく
• 特性・用途にあったサードパーティ製ソリューションの導入により、堅牢・安全なハイブリッド環境も構築可能
まとめ