Post on 14-Apr-2017
AWSでのセキュリティ運用IAM,VPCその他
2016年5月17日
(C) Recruit Technologies Co.,Ltd. All rights reserved.
自己紹介
2
宮崎 幸恵 (みやざき さちえ)
株式会社リクルートテクノロジーズ
ITソリューション統括部
2011年のリクルート入社以来(希望はしていない)クラウド一筋
JAWS登壇はたまに...
• 2014/3 JAWS DAYS2014
• 2014/6 クラウド女子会 (伝説?の学園もののときです。体育の先生になろうと思ってジャージで登壇)
• (2015年はAWS Summitに登壇していました)
(C) Recruit Technologies Co.,Ltd. All rights reserved.
業務内容
この場にいてなんですが…
いわゆるよく言われるセキュリティ業務をやっているわけで
はないのです
3
• 社内のシステム向けセキュリティ規程を定める• 規程が守られているかどうかを定期的に監査する• CSIRT• 脆弱性検査• セキュリティの教育講座開催
別の会社&別の部署別の会社&別の部署
別の部署
別の会社
別の会社&別の部署
(C) Recruit Technologies Co.,Ltd. All rights reserved.
業務内容
4
リクルートキャリア
リクルートジョブズ
リクルートスタッフィング
リクルート住まいカンパニー
リクルートライフスタイル
リクルートマーケティングパートナーズ
スタッフサービス・ホールディングス
リクルートアドミニストレーション
リクルートコミュニケーションズ
事業会社
機能会社
リクルートホールディングス
リクルートグループとは、主要7事業会社+3機能会社で構成されるグループ企業群
ネットインフラ
大規模プロジェクト推進
UXD/SEO
ビッグデータ機能
テクノロジーR&D
事業・社内IT推進
セキュリティAP基盤・オフショア開発
オンプレミス基盤
社内インフラ
クラウド基盤
(C) Recruit Technologies Co.,Ltd. All rights reserved.
業務内容
5
55
(C) Recruit Technologies Co.,Ltd. All rights reserved.
Bサイト
共通機能 ※踏み台、LDAP、VPN機器、監視サーバ…etc
クラウド基盤CサイトBサイト
・・・・・
分類 機能 説明
ネットワーク オンプレミス環境との接続 オンプレミスとの専用回線によるセキュアな接続
セキュリティ 認証/ID管理/ログ保管 サーバへの個人認証、操作ログ取得、ID管理機能を提供
運用監視/モニタリング他 監視機能、モニタリング等いくつかのツールの提供を実施
ライセンス提供・管理 商用MWのライセンス提供
コスト 一括請求管理・社内課金管理 AWSへの支払の取りまとめと社内への利用額振り分け
これらの諸々の管理運用が業務範囲
クラウドのメリットを活かしつつ、最低限必要なセキュリティ担保と運用の
ための共通機能を提供するスタイル
(C) Recruit Technologies Co.,Ltd. All rights reserved.
業務内容
なんですが、気づいたらクラウドのセキュリティの人みたいになっていた…
6
もっと自由なインフラが使いたい!
ログとかはとっといてくれるんでしょ
セキュリティ規程の監査で質問が
ここのセキュリティの規程にかかわる実装どうなってんの?
IDクリーニングの結果一覧提出よろしく
事故らしいけど操作ログの調査お願い
開発会社に何をしてもらえばいいのかわからない
FWのログとってるよね?内容について教えて
操作権限もっと絞れないの?
このサービス使いたいんだけどセキュリティが心配…
利用サイド
セキュリティサイド
※各コメントは実際のものではありません
(C) Recruit Technologies Co.,Ltd. All rights reserved.
業務内容
AWS 責任共有モデルでCustomerがやるべき範囲の一部を持っている状態
7
・rootアカウント管理・ログインID管理・定期IDクリーニング・ネットワーク設定・監視・バックアップ・モニタリング提供
(C) Recruit Technologies Co.,Ltd. All rights reserved.
業務内容
社内にあるオンプレミス基盤の運用と比較してみると….
8
オンプレミス基盤管理/運用主体 クラウド基盤
アプリケーション
フレームワーク
ミドルウェア
OS
サーバ
ストレージ
ネットワーク
DCファシリティ
アプリチーム(事業会社)
インフラチームAWS
インフラチーム
インフラチーム
AWS
アプリチーム(事業会社)
(C) Recruit Technologies Co.,Ltd. All rights reserved.
結局なにをやっているのか?
決められたセキュリティの規程に従って、クラウドのインフラ運用を執行する業務を担っています
本日はその中での事例をお話します
9
(C) Recruit Technologies Co.,Ltd. All rights reserved.10
セキュリティ規程
パブリッククラウド向けの規程などはなく、原則すべての社内システムが同じセキュリティの規程に従っています
DCの要件等はAWSの範囲なので、多少検討事項が少ないかも
実は社内規程に対応すれば大体のことはOK
(C) Recruit Technologies Co.,Ltd. All rights reserved.
例えば…
11
• rootアカウントはMFA• rootのキーは発行しない、使わない• 通常運用にはIAMを利用する• IAMの権限は必要なものだけにする• ログインユーザーは必ず個人ごとに作成する• ユーザーのクリーニングを定期的に実施する• フェデレーションによるログインIDの一元管理• セキュリティグループが適切に設定されているかを監査する• VPCを使う• パブリックサブネットとプライベートサブネットを適切に設定する• 社内環境からプライベート接続をする• MWバージョンの管理• 変更監視• 操作ログの監査etc...
(C) Recruit Technologies Co.,Ltd. All rights reserved.
ログインユーザーはLDAPで統一管理
12
Management Console
SSH踏み台(OTP実装)
サイトA
ユーザ
サイトB
アイデンティティプロバイダ(IdP)
ユーザ管理(LDAP)
・・・
(※盛っています)
(C) Recruit Technologies Co.,Ltd. All rights reserved.
クリーニング
クリーニング
クリーニング
クリーニング
クリーニング
クリーニング
クリーニング
13
(C) Recruit Technologies Co.,Ltd. All rights reserved.14
各アカウントで適切なユーザーが登録されており、必要な権限になっているかどうか
一定期間ログインがない場合はなぜID必要なのかを説明いただく
最終ログイン日をチェックしています
各アカウントごとにユーザーをリスト化しています
削除維持
必要と判断 不要と判断
速やかに削除します
一定期間で繰り返し
最終結果を監査部署に提出
(C) Recruit Technologies Co.,Ltd. All rights reserved.
各サービスは社員だけでなく外部の開発パートナ様や、制作会社様、ベンダ様など多数の方々が関係しています
利用ユーザーの追加は忘れませんが(追加しないと使えないので)削除はしばしば忘れられます
人事情報と連携させたとしてもすべての利用ユーザーを網羅できないと考えると、クリーニング作業はとてつもなく地味ですが有効だと言わざるを得ません
さらに別の監査部署のチェックを受けることで、クリーニングを実施している自チーム(インフラ管理者)も例外なく平等に扱われます
15
(C) Recruit Technologies Co.,Ltd. All rights reserved.
IAMの機能は何か使っているのか
16
クリーニングの中ではほとんど使っていません
ユーザー一覧、最終ログイン日など必要な情報は基本的にLDAPからとっています
(C) Recruit Technologies Co.,Ltd. All rights reserved.
ではセキュリティの文脈でIAMの機能を一番使って
いるのは何か
17
適切な権限を設定する、リソースを制限する
(C) Recruit Technologies Co.,Ltd. All rights reserved.18
security group
security group
規程に照らし合わせて不適切なルールを削除する仕組み
APIサーバー
APIサーバのみでキーを利用できるようにリソース制限
xxx.xxx.xxx tcp port○○
0.0.0.0/0 http 80xxx.xxx.xxx tcp port○○
(C) Recruit Technologies Co.,Ltd. All rights reserved.19
どの権限をリスクと判断するか
AWSのサービス毎のアクションをそれぞれチェック
現在2000弱くらいのアクションが存在します
セキュリティのリスクとなるアクションはどれかを判別していく
権限設計の見直し
(C) Recruit Technologies Co.,Ltd. All rights reserved.20
各リスクを洗い出しておくことで、起こりうる事象を明確にすることができます
しかし何しろ数が多いので、見直しだけで1週間くらいかかります
とても大変…
弊社での判断のよりどころはセキュリティの規程ですが、見直しの際に判断が変わる場合もあります
(C) Recruit Technologies Co.,Ltd. All rights reserved.21
security group
security group
xxx.xxx.xxx tcp port○○0.0.0.0/0 http 80
0.0.0.0/0 http 80xxx.xxx.xxx tcp port○○
共通機能(ルーターや踏み台など)として運用しているシステムはセキュリティグループを変更するとメールがきます
システム管理者権限を持つ人の作業も監査を実施
(C) Recruit Technologies Co.,Ltd. All rights reserved.22
許可していない業務外のログインがないかをチェック
システム管理者権限を持つ人の作業も監査を実施
休日のため、本来ログインはないはず
(C) Recruit Technologies Co.,Ltd. All rights reserved.
ここまでは結構普通だと思うのですが
数の力による運用増大というのがありまして
23
(C) Recruit Technologies Co.,Ltd. All rights reserved.24
基本構成1サイト ≒ 1アカウント ~
Elastic Load
BalancingVPC Subnet VPC Subnet
×70以上….
×200以上….
(C) Recruit Technologies Co.,Ltd. All rights reserved.
ユーザーは ×5? 10?
25
(C) Recruit Technologies Co.,Ltd. All rights reserved.
インフラT
1回作業するのに2か月×?
26
リスト送付
各利用者(承認者によるクリーニング)
クリーニングユーザー一覧抽出
(CSV)
削除一覧リスト作成クリーニング作業実施
証跡とりまとめ
リスト加工(各サイトの承認者と
突き合わせ)
メール
1か月弱 概ね半月(返答待ち期間)
ここで1週間ここで1週間~
事前準備
証跡提出
(C) Recruit Technologies Co.,Ltd. All rights reserved.27
• rootアカウントはMFA• rootのキーは発行しない、使わない• 通常運用にはIAMを利用する• IAMの権限は必要なものだけにする• ログインユーザーは必ず個人ごとに作成する• ユーザーのクリーニングを定期的に実施する• フェデレーションによるログインIDの一元管理• セキュリティグループが適切に設定されているかを監査する• VPCを使う• パブリックサブネットとプライベートサブネットを適切に設定する• 社内環境からプライベート接続をする• MWバージョンの管理• 変更監視• 操作ログの監査etc...
管理はまあ大変
運用での対応。そうでもない
運用での対応。そうでもない
大変
運用での対応。そうでもない
大変
運用での対応。そうでもない
運用での対応。
運用での対応。
運用での対応。
最初だけ
自らが管理者として悩み中
(C) Recruit Technologies Co.,Ltd. All rights reserved.
すみません、地味な内容で
28
(C) Recruit Technologies Co.,Ltd. All rights reserved.
社内規程が既にある
執行側としてはシステム上必要なものは用意する
しかし最後は運用が大事!!!良いものを入れても業務設計ができてい
なければ意味がない
29
(C) Recruit Technologies Co.,Ltd. All rights reserved.
どちらも満たしたインフラを!
30
利用サイド セキュリティサイド
(C) Recruit Technologies Co.,Ltd. All rights reserved.
数が増えることで比例的に増える運用については
是非この先に議論できれば幸いです
ありがとうございました
31
出演:リクルートテクノロジーズ非公式キャラクター テックル