こんにちは! HEROです!
前回までの3回でAWSのサービス自体が如何にセキュリティが高く、安全性が高いかを紹介させていただきました。
本日はAWSセキュリティ編の第4回目として、AWSの機能を使ってのセキュリティ対策方法について紹介します。
AWSを利用する上で、ユーザーが出来るセキュリティ対策は数多くありますが中でもメインとなる3つを紹介します。
■セキュリティグループ AWSが提供するファイアウォール。
■IAM AWSが提供する柔軟かつ強固なアカウント管理。
■VPC AWSが提供する仮想プライベートクラウド環境。
セキュリティグループ AWSが提供するファイアウォール
AWS内のインスタンスに対して適用することが出来るパケットフィルタリング型ファイアウォールです。
オンプレミスのファイアウォールと比較して、圧倒的なパフォーマンスが魅力となります。通常、インターネット経由の全ての通信はファイアウォールを経由する事が多く、ハイパフォーマンスなファイアウォールを求められますが、非常に高価です。
AWSであれば、無料でセキュリティグループを利用することが出来ます。更に転送料の大小は考える必要がありません。大規模なトラフィックや大量のショートパケットでも、ユーザー体感的には速度が落ちること無く かつ 安全に通信することを提供してくれます。
また、VPCではINPUTだけでなく、OUTPUTに対してもフィルタを掛けることが出来ます。この設定を行うことにより、万が一内部のサーバに間違いがあっても外部に想定外のデータが流出してしまうことを防ぐことが出来ます。
IAM AWSが提供する柔軟かつ強固なアカウント管理
IAMはAWS内のアカウント管理を行うための機能です。大きな機能別に使える・使えないの設定は勿論ですが、支払い用・EC2の起動のみといった細かい設定を行うことも出来ます。
ユーザー・グループの設定ができるので、部署や役職での権限を付与したり、特定スタッフに対してのみ権限を付与することも出来ます。
更に強固に利用する仕組みとして
・MFAの利用 AWSの管理画面にログインする時にワンタイムパスワードログインと組み合わせて使うことが出来ます。
・CloudTrailでログ管理 AWSのAPIコールのログを管理することが出来ます。どのアカウントがいつ何を行ったかの把握ができます。何か問題があった時にも原因の特定ができ、再発を防ぐことが出来ます。
といったものやLDAP連携といったことも可能です。
VPC AWSが提供する仮想プライベートクラウド環境
AWSを利用している方で古いアカウントを除いてほぼ利用したことがあるユーザーばかりだと思います。
VPCを利用することで、一切グローバルIPを持たずインターネットと一切通信をしない環境を作ることが出来ます。
専用線(Direct Connect)接続もあり、既存の物理的なデータセンターと同等以上のセキュリティ環境を整えることが出来ます。
こういった機能を組み合わせることで、インフラ環境だけでなくサーバや管理画面のセキュリティについても守ることに取り組んでいます。
その上で、しっかりリスク管理をして多重化計画を行うことが重要となります。
いかがでしたでしょうか?
次回もお楽しみに!