当社で手掛けるデータセンタ・パブリッククラウド構築・運用で実績の多いAWS(Amazon Web Service)のセキュリティについて、その多様性や水準について、アウトラインを説明しています(AWS公式サイトの情報をもとに、当社が独自に解説を加えています)。
また、当社独自に導入・デザインしているセキュリティサービス・機構もあり、それについても解説しています。
物理セキュリティ
1,AWSデータセンタの場所は、保安上非公開となっています。また、一見しただけではデータセンタとはわからない頑強なビルに収容されています。
2,データセンタ周囲の警備はガードマンの配置、ビデオ監視システムに加えて、最新式の侵入者検知システムなど多様な電子装置が使用されています。
3,データセンタへの来訪者や外部の作業員は、身分証明書の提示後、サインをして入館します。また、データセンタ内部では常に専任のスタッフが横に付き添っています。
4,データセンタのスタッフに対しても厳しい基準の内部監査があり、入室する際には2要素認証を最低2回パスしないとデータセンターのフロアに到達できないルールになっています。また顧客のデータにアクセスする権限を有する社員については、法律を遵守しつつも、より詳細な身上調査を実施しています。
ネットワークセキュリティ
1,DDoS対策
AWSの各種サービスは、Amazonのウェブサイトを構築した経験を持つエンジニアがそのノウハウ・経験則を駆使して、同様の水準で構築したインフラ上に設置されています。また、Amazon独自のDDoS緩和技術が使用されています。さらに、Amazonのネットワークはマルチホーム、マルチプロバイダー(ネットワーク的な諸般の制約が基本的にはない)です。
2,中間者攻撃対策
AWSの管理サービスは全てSSLで暗号化保護されているので、通信中の傍受リスクを回避しています。
3,IPなりすまし対策
AWSで使用する仮想サーバは送信元を偽装したデータをネットワークに送信できない機構になっています。Amazonが制御する、ホストベースファイアーウォールがソースIPとMacアドレス(仮想ethの固有番号)の整合性をチェックしています。
4,ポートスキャン対策
AWSで使用する仮想サーバは明示的にポートを開放しない限り、そのポートへの通信はブロック
されています。
5,通信の盗聴対策
プロミスキャスモード(同一ネットワーク内を流れるすべてのパケットを受信して読み込むモード)を使用しても、自サーバ以外への全ての通信はAWS側で選別されているので、盗聴ができない仕様になっています。
仮想サーバセキュリティ
1,ホストOS
ホストOS(仮想サーバを動作させるためにAWS側が使用しているOS )は、AWSのサービスのために特別にデザインされています。要塞化された仕様で、全てのアクセスは記録され、監査されています。
2,ゲストOS
ゲストOS(実際にお客さま向けに提供されるサーバのOS )の管理者権限は当社が持ち、AWS側はこのゲストOS(仮想サーバ)にログイン・アクセスする権限を持っていません。
3,ファイアーウォール
デフォルトでは、仮想サーバへのインバウンド通信(外部からサーバへの通信)は全て拒否されます。通信の制御はプロトコル毎、ポート単位、ソースIP(CIDRでの指定も可能)単位で、細かく条件指定することが可能です。このファイアーウォールはゲストOSからは制御不可能で、セキュリティを維持しています。
4,API
仮想サーバの起動・停止・ファイアーウォール操作のAPI利用には「X.509」規格の証明書もしくは Amazon Secret AccessKey を利用した認証が必要です。また、このAPIへのアクセスはSSLで暗号化することも可能です。
ストレージの廃棄
AWSで使用されるストレージが廃棄される際には、「DoD 5520.22-M」 もしくは 「NIST 800-88」 というガイドラインに沿って、適切に処理した上で廃棄されるので、国際基準に沿った廃棄がなされています。
WAFの設置
WAFとは、Web Application Firewall の略で、従来からあるファイアウォールや、 IDS/IPS では防ぐことができない攻撃レベル(Webアプリケーションを狙ったレベル)を防御する目的で設置されます。当社では、当社が独自にデザインしたLB(ロードバランサー)上にさらに WAF を設置し、従来よりもよりセキュアな環境水準を実現しています。
※LB(ロードバランサー)および WAF は、オプションサービスです。お客さまのご要望により設置します(別途費用が必要です)。
DDos攻撃対策
今日、企業・官公庁向けサーバにおいて相変わらず悩ましい攻撃が、「DDos攻撃」です。これは、短時間に大量のアクセス数をサーバに送りつけることにより、本来アクセスすべきユーザをアクセスできなくしてしまう攻撃の総称です。防御が困難な攻撃としても有名です。
近年、企業や官公庁のウェブサイトやシステムにおいて、このような攻撃を受けた報道が増加しています。企業・官公庁においてその対策は必須といえます。AWSでは、その対策がデフォルトで実装されています。また、上記のとおり、当社独自の LB/WAF をオプションで設置することにより、さらなる堅牢性を図ることが可能です。
[参考記事] 自社環境よりもクラウド環境の方がセキュアな理由
近年発生したセキュリティ事件をたどると、オンプレミス(自社環境)よりもクラウド環境の方が安全性が高いと記事では述べています[外部サイト(TC)へジャンプします]。
関連ページへのリンク
関連ページへのリンク
関連ページへのリンク
関連ページへのリンク