AWSにおけるマイクロソフトプラットフォームセキュリティ
- 2. Amazon Web Servicesとマイクロソフト プラットフォーム ! Amazon Web Services (AWS)は、マイクロソフトコ ミュニティのITプロフェッショナルに対して、コン ピュート、ストレージおよびネットワークの調達に関す るあたらしい選択肢を提供 ! 従量量課⾦金金によるインフラの提供によりマイクロソフトプ ラットフォームを補完 • Windows ServerとSQL Serverが時間課⾦金金で利利⽤用可能 ! ソフトウェアアシュアランス(SA)によるライセンス モビリティ • http://aws.amazon.com/jp/windows/mslicensemobility/ 2
- 3. システムセキュリティの重要性 ! セキュリティの脅威は⾼高まっておりサイバー攻撃はより 巧妙になっている ! この資料料では、アーキテクチャ設計にかかわるITプロ フェッショナル向けにセキュリティの脅威への対応につ いて解説 ! AWSセキュリティホワイトペーパーをあわせて参照 • http://d36cz9buwru1tt.cloudfront.net/jp/wp/AWS %20Security%20Whitepaper%20-‐‑‒%20May%202011.pdf 3
- 4. リスクアセスメント(1/2) ! リスクアセスメントとは、リスクを定義・認識識するため の技術であり、具体的には特定の脅威による結果につい て学習・分析し記述するためのプロセスを指す ! アプリケーションインフラのリスクをアセスするための はじめのステップは、システムの論論理理および物理理アーキ テクチャについてよく知ること ! システムに対する潜在的な脅威を理理解し、リスクを軽減 するために、脅威モデリングが重要なステップとなる • http://msdn.microsoft.com/en-‐‑‒us/magazine/ dd148644.aspx 4
- 5. リスクアセスメント(2/2) ! 管理理について考慮する際には、「最⼩小権限の原則」を遵 守することが重要 • ユーザーには必要最⼩小限の権限のみを付与し、同様にシステム のプロセスには必要最⼩小限の特権のみを付与 • 攻撃対象領領域を最⼩小化することで敵の攻撃を困難にする ! 事故または故意による機密情報の誤⽤用から保護するため の制御があわせて重要 • Confidentially(機密性) • Integrity(完全性) • Availability(可⽤用性) 5
- 6. AWSで利利⽤用可能なセキュリティ機能 ! ! ! ! Amazon Virtual Private Cloud(VPC) Network Access Control Lists (NACL) Security Groups AWS Identity and Access Management (IAM)/ IAMロール 6
- 7. Amazon Virtual Private Cloud(VPC) (1/2) ! Amazon VPCはマイクロソフトプラットフォームのコン ポーネントを動かすのに最適な仮想ネットワークのテク ノロジー • 独⽴立立したネットワークに独⾃自のサブネットを作成しアプリケー ションレイヤーを分割 • 静的IPアドレスまたはDHCPによりActive Directoryやそれに依 存するアプリケーションと親和性の⾼高いアドレスを付与するこ とが可能 7
- 8. Amazon Virtual Private Cloud(VPC) (2/2) ! 複数の接続オプションを提供 • サブネット上のインスタンスにインターネットからのトラ フィックを送信のみ、送信および受信、受信のみの制御が可能 • 業界標準のVPNアプライアンスやソフトウェアVPNをつかって 社内のデータセンターへセキュアに接続 • サイト間VPNトンネルで複数のオフィス拠点を接続しクラウド をルーターとして利利⽤用 • AWS Direct Connectにより1Gbまたは10Gbの専⽤用線による企 業ネットワークとのクロスコネクト 8
- 9. Amazon VPCによるフルインターネットア クセスの分離離環境 ! Public Subnetはインターネットからのトラフィックを 受信可能なサブネット ! 最⼩小権限の原則によりサブネット間の通信を制御 Public Subnet 9
- 10. Network Access Control List(NACL) ! Network Access Control ListはVPCの任意のサブネットに対して トラフックのステートレスなフィルタリング機能を提供 • インバウンドとアウトバンドのトラフィックを特定のCIDRブロックまたはIPア ドレスに対してブロック可能 • IPプロトコル、サービスポート、またはSource/DestinationのIPアドレスベー スでAllow/Denyを記述 (SQL) 10
- 11. Security Group ! Security GroupはAmazon EC2上でインフラ環境を分 離離するためのもっとも重要なツールのひとつ ! Amazon VPCでは、すべてのインスタンスはホスト上の ステートフルなファイアウォール上で動作し、すべての ポートはデフォルトで閉じている ! Security Groupはファイアウォールポリシーとしてだけ ではなくアプリケーションレベルでのシステムの分離離の ための制御⼿手段としても利利⽤用可能 • 例例:SQL ServerのSecurity GroupではSharePointサーバーか らの1433ポートへのアクセスを許可 11
- 12. AWS Identity and Access Management(IAM)/IAMロール ! AWSのリソースを管理理するための権限を管理理するための 機能 • インフラ管理理者とアプリケーション管理理者がわかれているよう なIT組織の場合、アプリケーション管理理者のためのIAMグルー プを作成し、最低限のアクセス権をあたえることで誤操作によ るリスクに対処可能 ! IAMロールによってEC2インスタンスに対してIAMクレ デンシャルを付与することによって、インスタンスが利利 ⽤用可能な権限をあらかじめ定義することが可能 • 例例:“S3へのRead Onlyアクセス” 12
- 13. 可⽤用性の向上 ! Single Point of Failure (SPOF)を排除することが⾼高可 ⽤用性を実現するための⼀一般的なアプローチ ! AWSではアベイラビリティゾーン(AZ)によりリー ジョン内の物理理的に隔離離された拠点にアプリケーション を配置可能 • アベイラビリティゾーンは独⾃自の電⼒力力供給と、任意のネット ワークプロバイダー障害に対応可能なネットワークの多様性を もつ ! 従来のデータセンターでは限られたネットワーク帯域し かないことが多いが、AWSでは豊富なネットワーク帯域 により利利⽤用可能な帯域を攻撃するような外部ネットワー クの脅威から保護することが可能 13
- 14. セキュリティインフラのデプロイと保護 ! アプリケーションに対する脅威に対応するためには、マ イクロソフトプラットフォームで利利⽤用可能なコントロー ルをAWS⾃自⾝身のコントロールとあわせて実施することが 必要 ! マイクロソフトアプリケーションをAWSに展開する場合、 以下のような要件が必要となる • リモートサーバー管理理 • パッチ管理理とアップデート • Active Directoryによる認証、アクセス管理理とポリシー管理理 14
- 15. リモートサーバー管理理 ! 個々のマシンに直接ログオンする以外に、Remote Desktop Gateway(RD Gateway)によるプロキシ経 由での管理理者接続を構成可能 • 管理理者アクセスの監査ログを⼀一元化 • SSLによる強⼒力力な認証の仕組み ! RD GatewayをPublic Subnetに配置することでイン ターネット、VPN接続およびDirect Connect経由でのリ モート管理理が可能 • RD Gatewayとの通信はHTTPS(443)を使⽤用し、ネットワー クエッジに配置しRDP(3389)で⾏行行われるバックエンドのサー バーとの通信を中継 15
- 16. AWSでのRemote Desktop Gatewayの 最⼩小構成 ! Private SubnetにWindows Server 2008 R2を配置してVirtual Private Gatewayからルーティングできるように設定 • Windows Serverのサーバーマネージャーから「リモートデスクトップ接 続」「リモートデスクトップゲートウェイ」の役割を追加 • 有効な証明書を追加して適切切な認証ポリシーを設定 16
- 17. Remote Desktop Gatewayインフラの攻 撃対象領領域を減らす ! RD Gatewayを利利⽤用する場合、インスタンスに直接接続 することを禁⽌止するためにSecurity Groupがキーとなる • RD Gatewayを専⽤用のSecurity Groupに配置することにより、 RD Gatewayからのみ3389(RDP)を受け付けるような Security Groupの設定が可能 17
- 18. Security Groupのルール設定 (最⼩小権限) ! セキュリティのベストプラクティスとして、攻撃対象となる ⾯面をへらすことが重要となる ! Security Groupのルール設定により、必要最⼩小限のポートの みを許可するきめ細かい構成が可能 • 例例:SQL Serverはrdg-‐‑‒sg Security Groupからのポート3389のみ を許可 ! テスト⽬目的であってもRDPをインターネット全体に対して許 可しないことが重要 18
- 19. Remote Desktop Gatewayの可⽤用性向上 ! 1つのVPCは異異なるアベイラビリティゾーンに複数のサ ブネットをもつことが可能 ! ベストプラクティスとして、複数のアベイラビリティ ゾーンを利利⽤用してアプリケーションを冗⻑⾧長構成にするこ とを推奨 ! Remote Desktop Gatewayを異異なるアベイラビリティ ゾーンにある2つのサブネットに配置することで可⽤用性 を向上させることが可能 19
- 21. パッチ管理理とアップデート ! パッチ管理理のためにWindows Server Update Services(WSUS)を利利⽤用 ! VPC内でのWSUSサーバーの展開⽅方法 • インターネット経由でMicrosoft Updateから直接アップデート を取得 • 企業内データセンターのインターネット接続経由でMicrosoft Updateからアップデートを取得 • 企業ネットワークのWSUSサーバーからアップデートを取得 21
- 22. NATインスタンスとInternet Gatewayを 利利⽤用したWSUS Serverの展開 ! インターネット経由で直接アップデートを取得する場合 は、VPCのPublic Subnet内のNATインスタンスにEIPを アサインしてサブネット間でルーティング 22
- 23. Remote Desktop Gatewayのための Security Group ! WSUSサーバーとクライアントとの通信をSecurity Groupで保護することを推奨 • サーバーとWSUSサーバーとの通信はSSLを有効にする • WSUSサーバーのSSLはTCP8531で構成することが可能 23
- 24. Active Directoryによる認証、アクセス制 御とポリシー管理理 ! Active Directoryは認証および権限、名前解決などの基 盤 ! VPNを通してオンプレミスのADとレプリケーションが 可能 • オンプレミスのドメインコントローラーによる直接認証も可能 だが、パフォーマンス上の理理由でレプリケーションを推奨 • ⾼高可⽤用性のためAZをまたいだドメインコントローラーのレプリ ケーションを推奨 ! ADのかわりに任意のLDAPディレクトリを利利⽤用している 場合はActive Directory Federation Service(ADFS) によるフェデレーションも可能 • http://media.amazonwebservices.com/ EC2_̲ADFS_̲howto_̲2.0.pdf 24
- 26. アプリケーションインフラの保護 ! アプリケーションのアーキテクチャを設計するときにレ イヤー間のインターフェースを定義してどのように保護 するのか明記しておくことがセキュリティのプラクティ スとして有効 ! 必要なポートのみをあけることで攻撃対象領領域を最⼩小化 し、Security Groupによってレイヤーをロックすること で事故によるもしくは意図的なセキュリティ制御のバイ パスから保護 ! インターフェースの分析のための⼿手法としてアプリケー ションサブシステムのブロックダイアグラムを作成する 26
- 28. モジュールの関連性 ! サブシステムをより⼩小さい関連性のある「モジュール」 にブレイクダウンしていく • SQL ServerはActiveとPassiveノード間の同期レプリケーショ ンのためにミラーリングを実⾏行行 • Active Directoryはノード間のレプリケーションに⾮非同期通信を ⾏行行う ※Appendix 2参照 28
- 29. 脅威からの保護の集中化 ! アプリケーションインフラを完全に分離離して内部および外部 に対しての厳密なアクセス制御を⾏行行うことが有効 ! 集中化されたロケーションからアプリケーションインフラの 境界へポリシーの強制を⾏行行なう ! Microsoft Thread Management Gateway (TMG) Serverは 以下のような機能を提供 • • • • • • • • URLフィルタリング IPアドレスのブラックリスト化 ネットワークの検疫 きめ細かいHTTPの制御 DOS保護 エンタープライズポリシーの強制 External logging capabilities トラフィックの検疫 29
- 30. Forefront TMGによる脅威保護とポリシー 強制 ! TMGサーバーをアプリケーションの⼊入り⼝口に配置して脅 威保護のポリシーを適⽤用 30
- 31. ファイアウォールの利利⽤用 ! VPC内のAmazon EC2インスタンスはステートフルな ファイアウォールを持ち、すべてのポートがデフォルト で閉じているため管理理者により制御可能 ! WindowsファイアウォールをEC2インスタンス上であ わせて使⽤用することが可能 • パケットドロップについての詳細な監査などセキュリティポリ シーやコンプライアンス要件にあわせることが重要 31
- 33. Identity and Access Management(IAM)に よる制御のロックダウン ! Identity and Access Management(IAM)により AWSリソースへのアクセスコントロールが可能 • インフラチームにのみVPCサブネット、ルーティングおよび ACLへの変更更を許可し、アプリチームには許可しないなどの設 定が可能 ! この仕組みは以下のような⽬目的にも有効 • ⼤大規模なエンタープライズでの管理理機能のフェデレーション • アプリケーション管理理者がインフラにセキュリティホールをつ くることがないようなセキュリティコントロールの提供 33
- 34. アプリケーションインフラの可⽤用性向上 ! マイクロソフトプラットフォームで⾼高可⽤用性を実現するため 冗⻑⾧長構成が⼀一般的によくつかわれる • AWSではアベイラビリティゾーンにより複数の拠点にまたがった 従来よりも⾼高いレベルの可⽤用性を実現 ! コンポーネントを複数のアベイラビリティゾーンに分散する ことで単⼀一のデータセンターでは実現できない耐障害性を実 現 • Elastic Load Balancingはアベイラビリティゾーンをまたいだ負荷 分散を提供し、トラフィックにもとづいて⾃自動的にスケールする ! Auto Scalingを利利⽤用するとネットワークトラフィックなどの パターンにもとづいて⾃自動的にスケールさせることが可能 • PowerShellスクリプトを配置することでインスタンスを⾃自動的に 構成可能 34
- 35. アンチウィルス ! マイクロソフトはすべてのドメインコントローラーと サーバーでアンチウィルスソフトを使⽤用することを推奨 しておりそのためのガイダンスを提供している • http://support.microsoft.com/kb/822158 ! AWS環境においても同様に、できるだけすみやかにマル ウェアを防ぐことが⾮非常に重要 ! データベースのような頻繁に更更新されるファイルに対し てはパフォーマンスへの影響があるため、ウィルスス キャンから除外しておく 35
- 36. 脆弱性のスキャンと侵⼊入テスト ! AWSのユーザーポリシーはポートスキャンなどの⾏行行為を 禁⽌止しているが、EC2インスタンスの脆弱性のスキャン や侵⼊入テストを⾏行行うことは可能 ! 脆弱性スキャンや侵⼊入テストを⾏行行う場合は以下のリンク 先にあるフォームより事前申請を⾏行行う • http://aws.amazon.com/jp/security/penetration-‐‑‒testing/ 36
- 37. まとめ ! より詳細はオリジナルのホワイトペーパー(英語版)に 記載 • http://media.amazonwebservices.com/ AWS_̲Microsoft_̲Platform_̲Security.pdf ! AWSにおけるセキュリティプロセスの全体像を理理解する ためにはAWSセキュリティホワイトペーパーをあわせて 参照 • http://d36cz9buwru1tt.cloudfront.net/jp/wp/AWS %20Security%20Whitepaper%20-‐‑‒%20May%202011.pdf ! 次ページのチェックリストにこの資料料で解説したさまざ まな⼿手法をサマリーしている 37
- 38. 38
- 39. 参考情報 ! Windows on Amazon EC2 Security Guide • • http://media.amazonwebservices.com/pdf/AWS_̲Security_̲Whitepaper.pdf • http://media.amazonwebservices.com/AWSRiskandComplianceWhitepaperJanuary2012.pdf • http://media.amazonwebservices.com/Whitepaper_̲Security_̲Best_̲Practices_̲2010.pdf • http://media.amazonwebservices.com/EC2_̲ADFS_̲howto_̲2.0.pdf • http://aws.amazon.com/security/penetration-‐‑‒testing/ • ! http://aws.amazon.com/security/ • ! http://aws.amazon.com/articles/1767 http://support.microsoft.com/kb/822158 • http://www.microsoft.com/en-‐‑‒us/server-‐‑‒cloud/windows-‐‑‒server/active-‐‑‒directory-‐‑‒overview.aspx • http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/index.html AWS Security and Compliance Center Overview of AWS Security processes Whitepaper ! AWS Risk and Compliance Whitepaper ! AWS Application Security Best Practices ! ! ! Using Windows ADFS for Single Sign-‐‑‒On to Amazon EC2 Vulnerability Scan and Penetration testing Microsoftʼ’s guidance on Recommendation on Virus Scanning ! Active Directory Federation Services ! Amazon VPC User Guide 39