More Related Content
Similar to AWSでのセキュリティ運用 ~IAM,VPCその他 (20)
More from Recruit Technologies (20)
AWSでのセキュリティ運用 ~IAM,VPCその他
- 2. (C) Recruit Technologies Co.,Ltd. All rights reserved.
自己紹介
2
宮崎 幸恵 (みやざき さちえ)
株式会社リクルートテクノロジーズ
ITソリューション統括部
2011年のリクルート入社以来(希望はしていない)クラウド一筋
JAWS登壇はたまに...
• 2014/3 JAWS DAYS2014
• 2014/6 クラウド女子会 (伝説?の学園もののときです。体育の先生にな
ろうと思ってジャージで登壇)
• (2015年はAWS Summitに登壇していました)
- 3. (C) Recruit Technologies Co.,Ltd. All rights reserved.
業務内容
この場にいてなんですが…
いわゆるよく言われるセキュリティ業務をやっているわけで
はないのです
3
• 社内のシステム向けセキュリティ規程を定める
• 規程が守られているかどうかを定期的に監査する
• CSIRT
• 脆弱性検査
• セキュリティの教育講座開催
別の会社&別の部署
別の会社&別の部署
別の部署
別の会社
別の会社&別の部署
- 4. (C) Recruit Technologies Co.,Ltd. All rights reserved.
業務内容
4
リクルートキャリア
リクルートジョブズ
リクルートスタッフィング
リクルート住まいカンパニー
リクルートライフスタイル
リクルートマーケティングパートナーズ
スタッフサービス・ホールディングス
リクルートアドミニストレーション
リクルートコミュニケーションズ
事業会社
機能会社
リクルート
ホールディングス
リクルートグループとは、
主要7事業会社+3機能会社
で構成されるグループ企業群
ネットインフラ
大規模プロジェクト推進
UXD/SEO
ビッグデータ機能
テクノロジーR&D
事業・社内IT推進
セキュリティAP基盤・オフショア開発
オンプレミス基盤
社内インフラ
クラウド基盤
- 5. (C) Recruit Technologies Co.,Ltd. All rights reserved.
業務内容
5
5
5(C) Recruit Technologies Co.,Ltd. All rights reserved.
Bサイト
共通機能 ※踏み台、LDAP、VPN機器、監視サーバ…etc
クラウド基盤
CサイトBサイト
・・・・・
分類 機能 説明
ネットワーク オンプレミス環境との接続 オンプレミスとの専用回線によるセキュアな接続
セキュリティ 認証/ID管理/ログ保管 サーバへの個人認証、操作ログ取得、ID管理機能を提供
運用
監視/モニタリング他 監視機能、モニタリング等いくつかのツールの提供を実施
ライセンス提供・管理 商用MWのライセンス提供
コスト 一括請求管理・社内課金管理 AWSへの支払の取りまとめと社内への利用額振り分け
これらの諸々の
管理運用が業務範囲
クラウドのメリットを活かしつつ、
最低限必要なセキュリティ担保と運用の
ための共通機能を提供するスタイル
- 6. (C) Recruit Technologies Co.,Ltd. All rights reserved.
業務内容
なんですが、気づいたらクラウドのセキュリティの人みたい
になっていた…
6
もっと自由なイ
ンフラが使いた
い!
ログとかはとっ
といてくれるん
でしょ
セキュリティ規
程の監査で質問
が
ここのセキュリ
ティの規程にか
かわる実装どう
なってんの?
IDクリーニング
の結果一覧提出
よろしく
事故らしいけど
操作ログの調査
お願い
開発会社に何を
してもらえばい
いのかわからな
い
FWのログとって
るよね?内容に
ついて教えて
操作権限もっと
絞れないの?
このサービス使
いたいんだけど
セキュリティが
心配…
利
用
サ
イ
ド
セ
キ
ュ
リ
テ
ィ
サ
イ
ド
※各コメントは実際のものではありません
- 7. (C) Recruit Technologies Co.,Ltd. All rights reserved.
業務内容
AWS 責任共有モデルでCustomerがやるべき範囲の一部を
持っている状態
7
・rootアカウント管理
・ログインID管理
・定期IDクリーニング
・ネットワーク設定
・監視・バックアップ・モニ
タリング提供
- 8. (C) Recruit Technologies Co.,Ltd. All rights reserved.
業務内容
社内にあるオンプレミス基盤の運用と比較してみると….
8
オンプレミス基盤管理/運用主体 クラウド基盤
アプリケーション
フレームワーク
ミドルウェア
OS
サーバ
ストレージ
ネットワーク
DCファシリティ
アプリチーム
(事業会社)
インフラチーム
AWS
インフラチーム
インフラチーム
AWS
アプリチーム
(事業会社)
- 9. (C) Recruit Technologies Co.,Ltd. All rights reserved.
結局なにをやっているのか?
決められたセキュリティの規程に従って、クラウド
のインフラ運用を執行する業務を担っています
本日はその中での事例をお話します
9
- 10. (C) Recruit Technologies Co.,Ltd. All rights reserved.
10
セキュリティ
規程
パブリッククラウド向けの規程な
どはなく、原則すべての社内シス
テムが同じセキュリティの規程に
従っています
DCの要件等はAWSの範囲なので、
多少検討事項が少ないかも
実は社内規程に対応すれば大体のことはOK
- 11. (C) Recruit Technologies Co.,Ltd. All rights reserved.
例えば…
11
• rootアカウントはMFA
• rootのキーは発行しない、使わない
• 通常運用にはIAMを利用する
• IAMの権限は必要なものだけにする
• ログインユーザーは必ず個人ごとに作成する
• ユーザーのクリーニングを定期的に実施する
• フェデレーションによるログインIDの一元管理
• セキュリティグループが適切に設定されているかを監査する
• VPCを使う
• パブリックサブネットとプライベートサブネットを適切に設定する
• 社内環境からプライベート接続をする
• MWバージョンの管理
• 変更監視
• 操作ログの監査
etc...
- 12. (C) Recruit Technologies Co.,Ltd. All rights reserved.
ログインユーザーはLDAPで統一管理
12
Management
Console
SSH踏み台(OTP実装)
サイトA
ユーザ
サイトB
アイデンティティ
プロバイダ(IdP)
ユーザ管理
(LDAP)
・
・
・
(※盛っています)
- 14. (C) Recruit Technologies Co.,Ltd. All rights reserved.
14
各アカウントで適切なユーザーが
登録されており、必要な権限に
なっているかどうか
一定期間ログインがない場合はな
ぜID必要なのかを説明いただく
最終ログイン日
をチェックして
います
各アカウントご
とにユーザーを
リスト化してい
ます
削除維持
必要と判断 不要と判断
速やかに削除し
ます
一定期間で
繰り返し
最終結果を監査
部署に提出
- 15. (C) Recruit Technologies Co.,Ltd. All rights reserved.
各サービスは社員だけでなく外部の開発パートナ様や、制作会社様、ベンダ様
など多数の方々が関係しています
利用ユーザーの追加は忘れませんが(追加しないと使えないので)削除はしば
しば忘れられます
人事情報と連携させたとしてもすべての利用ユーザーを網羅できないと考え
ると、クリーニング作業はとてつもなく地味ですが有効だと言わざるを得ま
せん
さらに別の監査部署のチェックを受けることで、クリーニングを実施してい
る自チーム(インフラ管理者)も例外なく平等に扱われます
15
- 16. (C) Recruit Technologies Co.,Ltd. All rights reserved.
IAMの機能は何か使っているのか
16
クリーニングの中ではほとんど
使っていません
ユーザー一覧、最終ログイン日など必要な情報は基本
的にLDAPからとっています
- 18. (C) Recruit Technologies Co.,Ltd. All rights reserved.
18
security group
security group
規程に照らし合わせて不適切なルールを削除する仕組み
APIサーバー
APIサーバのみでキーを
利用できるようにリソー
ス制限
xxx.xxx.xxx tcp port○○
0.0.0.0/0 http 80
xxx.xxx.xxx tcp port○○
- 19. (C) Recruit Technologies Co.,Ltd. All rights reserved.
19
どの権限をリスクと判断するか
AWSのサービス毎のアク
ションをそれぞれチェック
現在2000弱くら
いのアクション
が存在します
セキュリティのリスクとな
るアクションはどれかを判
別していく
権限設計の見直し
- 20. (C) Recruit Technologies Co.,Ltd. All rights reserved.
20
各リスクを洗い出しておくことで、起こりうる事象を明確にすることができま
す
しかし何しろ数が多いので、見直しだけで1週間くらいかかります
とても大変…
弊社での判断のよりどころはセキュリティの規程ですが、見直しの際に判断
が変わる場合もあります
- 21. (C) Recruit Technologies Co.,Ltd. All rights reserved.
21
security group
security group
xxx.xxx.xxx tcp port○○
0.0.0.0/0 http 80
0.0.0.0/0 http 80
xxx.xxx.xxx tcp port○○
共通機能(ルーターや踏み台な
ど)として運用しているシステ
ムはセキュリティグループを
変更するとメールがきます
システム管理者権限を持つ人の作業も監査を実施
- 22. (C) Recruit Technologies Co.,Ltd. All rights reserved.
22
許可していない業務外のログ
インがないかをチェック
システム管理者権限を持つ人の作業も監査を実施
休日のため、本来ログイン
はないはず
- 24. (C) Recruit Technologies Co.,Ltd. All rights reserved.
24
基本構成1サイト ≒ 1アカウント ~
Elastic Load
Balancing
VPC Subnet VPC Subnet
×
70以上….
×
200以上….
- 26. (C) Recruit Technologies Co.,Ltd. All rights reserved.
インフラT
1回作業するのに2か月×?
26
リスト送付
各利用者
(承認者によるクリーニング)
クリーニング
ユーザー一覧抽出
(CSV)
削除一覧リスト作成
クリーニング作業実施
証跡とりまとめ
リスト加工
(各サイトの承認者と
突き合わせ)
メール
1か月弱 概ね半月(返答待ち期間)
ここで1週間ここで1週間~
事前
準備
証跡
提出
- 27. (C) Recruit Technologies Co.,Ltd. All rights reserved.
27
• rootアカウントはMFA
• rootのキーは発行しない、使わない
• 通常運用にはIAMを利用する
• IAMの権限は必要なものだけにする
• ログインユーザーは必ず個人ごとに作成する
• ユーザーのクリーニングを定期的に実施する
• フェデレーションによるログインIDの一元管理
• セキュリティグループが適切に設定されているかを監査する
• VPCを使う
• パブリックサブネットとプライベートサブネットを適切に設定する
• 社内環境からプライベート接続をする
• MWバージョンの管理
• 変更監視
• 操作ログの監査
etc...
管理はまあ大変
運用での対応。そうでもない
運用での対応。そうでもない
大変
運用での対応。そうでもない
大変
運用での対応。そうでもない
運用での対応。
運用での対応。
運用での対応。
最初だけ
自らが管理者として
悩み中
- 29. (C) Recruit Technologies Co.,Ltd. All rights reserved.
社内規程が既にある
執行側としてはシステム上必要なものは
用意する
しかし最後は運用が大事!!!
良いものを入れても業務設計ができてい
なければ意味がない
29
- 31. (C) Recruit Technologies Co.,Ltd. All rights reserved.
数が増えることで比例的に増える
運用については
是非この先に議論できれば幸いです
ありがとうございました
31
出演:リクルートテクノロジーズ
非公式キャラクター テックル