気の向くままに書き綴る

勉強会参加したメモや日々の思ったことのメモ等

第三回JAWS横浜勉強会参加してきた

サーバーワークス様発表スライド

  • AWSでセキュアにシステムを構築する方法

入試の合格発表システム
 合格発表の15分間で200台必要だった

  • 2008年社内サーバー購入禁止令からインシデントなし
  • 日本赤十字3.11でサイトダウン
  • 普段の70倍アクセス
  • CloudFoundでキャッシュサーバー使った(30分)→サイトダウン無し

義援金受付システム構成
WEBServer(20台)

SES(500万通送信)
LB
RDS
総工数=2時間構築+24時間アプリ

サービスインまで
 14日合う
 15日サイト復旧
 17日義援金開始

  • AWSのセキュリティのハードル
  • データセンターの場所がわかんない
  • 物理マシンを共有したら意図せず漏洩したりしないか
  • AWSのOP危ない

 

  1. 第三者認証 SMS PCI DSS Level1 FISMA-Modarate ISAE3402 SOC1
  2. テクノロジー
  3. 特急技術でXenを拡張
    AWS社員も顧客のデータにアクセス出来ない
    世界で一番クレジットカードを持っている→一回も漏洩事故ないだろ
  4. 場所の隠蔽
    場所は明かさない→配送員になってクラッキング済みのマシンを送るようにしているし見学もさせない。それでもAWSは・・・ってか方には・・・ 
    ■銀行の例・・セキュリティ(漏れない)可用性(現金の仮想化)利便性(ATM)
  5. NASAは自分で保有するより、AWS(銀行)においたほうがセキュリティが高い
    ネットワークをしっかりやればいいだけ
    ①経路
     AmazonVPC
     VPN引けるし
     POIを使った専用線
    ②防御
     アンチウィルス
     ホストベース
     Serverprotect
     L3L4
      Snort
      CheckPointVirtualApplicance
      DDoS、SYNFloodあたりはAWSが防いでくれる
     L7
      WAF
       FortiWeb
       CitrixNetScaler
       NEC InfoCage SiteShell
       Proxy
       WAF Service (SaaSにある)尖閣諸島時の攻撃に耐えた実績
     
  6. ログインセキュリティ
    公開鍵認証
    SSH,RDPセッションの記録
    NRIセキュアテクノロジーズSecureCube
  • マネジメントコンソールのセキュリティ対策
  1. IAMで権限を分ける
  2. MFA
  3. アカウントをSalesforceに安全な共通・最小限のアクセス
  4. シングルサインオン(評価中)OneLogin/okta
  5. CloudWorksDedicatedEdition(マネジメントコンソールの操作履歴取得可能)
  • これからのSIは「作らない技術=使う技術」が重要      

LT大会       
Splunk
SAP
http://www.slideshare.net/TanakaRyusaburo/saosap-on-aws          
http://www.slideshare.net/YoshidaShingo/20130216jawsyokohamaltcoiney      http://togetter.com/li/457419