前回に引き続き、AWSクラウドプラクティショナーについて学習します。
今回はAWSのセキュリティについてです。
AWSのセキュリティ
- AWSではセキュリティは最優先事項
- セキュリティを維持するためにAWSとユーザの責任範囲が明確に分けて、責任を負うことをAWS責任共有モデルと呼ぶ
- クラウド本体と、クラウド内のセキュリティの2種類に分けられる
- クラウド本体のセキュリティをAWSが負い、ハードウェアなどを管理する
- クラウドの内のセキュリティをユーザが負い、OS、ソフトウェア、AWSが提供するセキュリティグループファイアウォールの設定を行う
- AWSセキュリティの利点は次の4つ:データ保護、コンプライアンス要件の準拠、コスト削減、迅速なスケーリング
- 物理的なセキュリティには4つのレイヤーが存在し、AWSが担当する:環境レイヤー、物理的な境界防御レイヤー、インフラストラクチャレイヤー、データレイヤー
- 仮想化を実現するハイパーバイザーのセキュリティ管理はAWSが担当する
- 管理プレーン(IDとパスワード、キーペア、APIキー、アクセス制御・権限管理)はユーザが担当する
- AWSの登録時のメールアドレスをルートアカウントと呼ぶ
- ルートアカウントはMFA(多要素認証)を設定してアカウントの保護を行う
- ルートアカウントは普段使用せず、目的用途にのみ権限を設定したユーザを使用する
- キーペアはEC”などへのインスタンスのログインで使用する
- キーペアの秘密鍵はユーザが管理する
- APIキーはアクセスキーとシークレットアクセスきーのペアで構成される
- APIキーはユーザが管理する
- Amazon RDSやAmazon DynamoDBなどデータベースサービスは、OSやDBのぱち適用、ファイアウォール設定、災害対策なども含めAWSが管理
- ユーザが責任を負う部分のセキュリティにはベストプラクティスがある:転送中データの保護、蓄積データの保護、AWS視覚情報の保護、アプリの安全性確保
- AWSはセキュリティに関する規格・規制に準拠しているかの監査を受けており、レポートをAWS Artifactで提供している
- IAM(AWS Identity and Access Management)はユーザのアクセス管理サービス
- IAMユーザ、IAMグループを作成することができ、IAMユーザには1人2つまでAPIキーも作成できる
- セキュリティグループはトラフィックを制御する仮想ファイアウォール
- セキュリティグループは次の特徴がある:許可ルールの指定が可能、拒否ルールの指定は不可能、インバウンドトラフィックとアウトバウンドトラフィックのルールを個別に指定可能
- AWSではインスタンスごとに仮想ファイアウォールを設定できる
- AWS Shieldはマネージド型のDDoS攻撃に対する保護サービス
- アプリのダウンたいむとレイテンシを最小限い抑える常時稼働の検出と自動インライン緩和策を提供する
- AWS ShieldはStandardとAdvancedの2つのレベルに分けられている
- AWS Shield Advancedでは攻撃通知、分析、レポートをDDoS Response Teamに委託でき、AWS WAFサービスを無償で無制限に利用可能
- AWS WAF(Web Application Firewall)はアプリケーションファイアウォール(マネージド型)で、アプリの可用性低下、セキュリティ侵害、リソース過剰消費などのWebの脆弱性からアプリを保護する
- どのトラフィックをアプリに許可、ブロックさせるかの定義をユーザが行う
- SQLインジェクションやクロスサイトスクリプトなどをブロックするカスタムルールを作成できる
- AWS WAFはサードパーティが提供しているものを利用することができる
- AWS WAFの適用範囲はCloudFront Application Load Balancer API Gatewayから選ぶ
- Amazon API GatewayはAPIの運用管理を行う(APIの作成、公開、保守、モニタリング、保護)
- AWSは基本利用料は無料で、Webセキュリティルールに基づき課金される
- Amazon Inspector はアプリのセキュリティ・コンプライアンス向上のために脆弱性診断ができる
- AWS Key Management ServiceはAWS上で暗号化キーを作成・管理し、AWSのサービスやアプリでの使用を制御できる
メモ
Azureでもそうですが、独特の個別名称が多いです。
それぞれのクラウドサービスに大量にあるので1つ1つ覚えていく必要があります。
一般的な用語も含めて、学習中に出てきたものでわからなかった言葉をまとめます。
- Amazon EC2
- Amazon VPC
- AWS WAF
- インスタンス
- ISMS
- PCI DSS:クレジットカード会員の情報保護を目的にした情報セキュリティ水準
- RDS
- ALB:Application Load Balancer
クラウドを利用する上では業界やその国での規格・規制をクリアしていることが求められることが多いです。
ドイツではデータは国内に置いておく必要があると言いますし、中国のAWSでは北京と寧夏の2つのリージョンがありますが、それぞれ中国企業が運営しています。
また、PCI DSSなどクレジットカード会員の情報保護を目的にした情報セキュリティ水準が出てきましたが、
医療情報に関する規格・規制も存在します。Azureでは医療情報に関する情報を扱う機能が管理画面に用意されているほどです。
金融機関が利用する上ではFISCに対応しているかという点もありますが、TV会議システムを利用する上でもセキュリティ面が重視されています。
Webex,Teams,Zoomなど複数ありますが、Zoomが敬遠されるのもこのセキュリティの不安があるためとされていますね。
参考書籍
学習にあたり、以下の書籍を使用しています。
実際に受験する際には、より詳しい内容を読むことができるので購入をお勧めします。
こちらはテキストです。サービス体系や試験の内容が変わっている可能性が高いので、
これに加えてAmazonが無料で提供するWebの学習コンテンツにも触れておくと合格率が高まります。
こちらは模擬問題集です。試験2回分の問題良があります。
やはり実際の問題形式に触れることができるという点でメリットは大きいです。
こちらも試験内容が更新されている可能性が高いので、やはりWebの学習コンテンツを利用した方が良いと思われます。
また、模擬問題集はKindle Unlimitedの対象です。
こちらに登録することで模擬問題集を無料でダウンロードすることができます。
月額1000円必要ですが、月に2冊も読めば十分元は取れるでしょう。
この機会に読書を習慣づけることも兼ねて利用をお勧めします。
次回はテクノロジー
次回はAWSのテクノロジーについてです。
コメント