・AWSでシステム構築することになったけど、セキュリティ設定が気になる
・ちゃんとセキュリティ設定できているかな
本ページでは、AWSのセキュリティ設定についてまとめました。
基本のネットワークアクセスリスト、セキュリティグループの設定ではなく、
忘れがちなセキュリティ対策や少し複雑な内容のものを掲載しています。
ログ取得や請求/コスト管理の設定の基本も掲載しています。
AWSの経験が浅いと思う人、初心者の方は一度は目を通してみてください。
AWSのドキュメントは、コンソール画面が書いてないし、文字多い・・・
読みにくい!!って、なりませんか?
なので、できるだけシンプルに設定を紹介するようにしました。
セキュリティ対策「ec2-user」の削除などもまとめてて、AWSで絶対にやっておいた方が良いセキュリティ対策をまとめています。
Guard Duty、AWS Trust Advisor、AWS Config、ペネトレーションテストについては、掲載してませんが、いずれ載せるかもです。
AWS セキュリティ設定のノウハウをまとめてみた
AWS ネットワークの基礎知識(おさらい)
AWSの基本のネットワークのこと、AWSのことはあんまり知らないけど興味があるって人は、Google先生に聞いてみてくださいね。
※記事はいずれ準備して掲載したいと思います。
様々なサービスがありますが、
AWSを理解するためには、ネットワークの基本はおさえておく必要があります。
この辺のワードの意味は分かっている前提です。
リージョン、VPC、パブリックサブネット、プライベートサブネット、
AZ(アベイラビリティゾーン)
ネットワークアクセスリスト、セキュリティグループ
プライベートIP、バブリックIP、EIP(グローバルIP)
VPCネットワーク上のサービス(閉域接続)
AWSネットワーク上のサービス(インターネット接続)
エンドポイント
Direct connect
ネットワーク
ネットワークのセキュリティ対策について紹介しています。
サブネットの設計に関しての記事です。
DBサーバは機密情報を扱いがちのため、インターネットに接続できないサブネット設計が大事ってことを紹介しています。
AWSの設定の初期状態ではデフォルトでVPCがあります。
そのまま使うと最初からインターネットと接続されているので危ないです。
新しくVPCを作って、設定をしていきましょうって記事です。
VPC内のEC2(仮想サーバ)等とVPC外にあるサービスとの通信は、
エンドポイントを使った方が、セキュリティ的に良いって話の記事です。
オンプレミスのシステムとAWS間で通信する際には、
IPSecによるVPNした方が良いよって話の記事です。
ルートアカウント/IAMユーザ
AWSのアカウントのセキュリティ対策について紹介しています。
AWS初心者の方は、以下の記事は絶対読んだ方が良いです。
AWSを最初に動かすときに、絶対にやっておくべきアカウントのセキュリティ対策の記事です。
ルートアカウントを使うのは、危険なので絶対避けましょう。
IAMロールの設定、IAMロールの切り替え(スイッチ)を使って、
別のAWSアカウントのシステム設定を行う方法の記事です。
IAMユーザそれぞれにワンタイムパスワードを設定して、不適切な利用を防ぐ話の記事です。
ログ管理
コンソール操作の履歴を追えるログ取得の紹介しています。
不正な操作が無いようにログを取っておきましょう。
請求/コスト管理
クラウドサービスを使うとどうしても気になるのが支払い。
請求やコスト管理のための機能について紹介しています。
データ暗号化
データの暗号化方法について掲載している記事です。
KMS(Key Management Service)を設定して、仮想サーバのハードディスクやストレージのS3に保存しているデータを暗号化しておくと良いって話の記事です。
自社で設備をメンテナンスしているわけではないので、勝手にハードディスクを抜き取られると情報漏洩が怖いので、万が一に備えましょう。
KMSはAWSのドキュメントを見てもわかりにくいと思います。
その辺も踏まえて、できるだけ分かりやすくワードについて説明しつつ、紹介しています。
KMSを理解して、データを保護するのは重要なセキュリティ対策です。
EC2(仮想サーバ)のデータを暗号化する方法を紹介しています。
S3のデータを暗号化する方法を紹介しています。
S3(ストレージ)
S3のセキュリティ対策について紹介しています。
S3の設定を誤って、情報漏洩してしまったという企業がポツポツとニュースになることがあります。
S3については、よく理解しておいて、情報漏洩を防いでください。
S3はVPC外のサービスなので、通常インターネットを経由します。
通信の暗号化(HTTPS)アクセスや、エンドポイントを使えば、閉域アクセスになります。
S3のアクセスについて、設定したVPCエンドポイントからの通信のみを許可する設定を紹介しています。
S3のアクセスについて、設定したVPCからの通信のみを許可する設定を紹介しています。
S3のアクセスについて、HTTPSからの通信のみを許可する設定を紹介しています。
Linux系OS利用時のデフォルトユーザ(ec2-user)の削除
EC2でLinux系のOSを使う場合に、忘れがちなec2-userの削除について紹介しています。
法的対応措置を考慮した日本準拠法の適用
AWS利用時はデフォルトでワシントン州法になっています。
訴訟問題があっても良くないですが、日本準拠法への変更について紹介しています。
まとめ
・AWSのセキュリティ対策のまとめをしました。
是非ご一読をお願いします。
AWS 参考書
AWSを初めて学ぶ人、操作する人は以下の書籍が、とっかかり(最初の第一歩)としてお勧めです。
① コンソール操作画面付きで、基礎知識と合わせて、丁寧に設定方法を解説
② AWSシステムを構築する上で基礎となる概念「VPC」、「AZ」、「パブリック/プライベートサブネット」、「ネットワークACL」、「セキュリティグループ」等の解説もある
③ パターン別の設計として、Wordpress(Webサーバ)、MySQL(DBサーバ)を使ったシステム構築等も解説している
初心者には非常に役に立つ解説本となっていますので、一番お勧めします。
以下の書籍もAWSシステムの基礎概念や様々なサービスを紹介しています。
資格取得に向けた問題も掲載されています。
AWSのことはあまり知らない & 資格も取りたいって人向けです。
コンソール操作画面が掲載されていないので、実際に設定する感覚も知りたい人は、上の本をお勧めです。
コメント