介護要因系アラフィフ未経験転職者2年生の…「いとあたらし」です。
当初は慣れない操作等に苦労しましたが、周りの方には面倒見のいい方が多く、いろいろな経験を積むことができ、かなり慣れる事ができました。
業務中の空き時間には自己学習も可能な環境ですので、パソコンの操作や、処理の待ち時間が苦にならない人には、非常にいい職場だと思います。
はじめに
前回のIAMハンズオンに記載した通り、ハンズオンの内容は、最初から最後までスルーすることなく全て網羅してゆく方向でやってみます。
…ということで、今回はセキュリティ編をやってみました。
サーバーを立てる以上は、こうした地道な設定等を実施して、常にセキュリティを意識した環境構築を念頭にしてやっていこうと思います。
尚、前回、かなりボリューミーな状態となってしまいましたので、今回は概要編、ハンズオン編、まとめと後片付け編と3部作にしてみる事にしました。
やってみました
[AWS Hands-on for Beginners – Security #1]
~AWSアカウント作成後すぐやるセキュリティ対策
01 ハンズオンの概要
まずはじめに、前提条件やゴールの説明、そして本コースではどういった方法で何を学んでいくのか、その概要をご説明します。
こんなふうに思ったことはありませんか?
・一番最初にするセキュリティ対策は何でしょうか?
・既に利用し始めていますが、もしかすると見落としがあるかも?
・AWSのアカウントを作成したものの…何から手をつけるべきなのでしょうか?
↓
AWSアカウントを作成した後、様々なサービスを活用する前に必要なセキュリティ対策に必要となる要件について…
・なぜ、必要なのか?
・実際にどういった対応が必要なのか?
・何を設定するのか?
という内容を踏まえて学習してゆきます。
今回、利用するサービスについて
・IDアクセス権管理
→IAM(AWS Identity & Access Management)
誰を認証 (サインイン) し、誰にリソースの使用を承認する (アクセス許可を持たせる) かを制御し、AWS リソースへのアクセスを安全に管理するためのサービス
AWS リソースへのアクセスを安全に管理するためのウェブサービス
・発見的統制
→AWS CloudTrail
ログインなどのユーザアクティビティとAPI操作をログに記録するサービス
→AWS Config
AWS アカウントにある AWS リソースの設定詳細ビューを提供し、時間の経過と共に設定と関係がどのように変わるかを確認可能にするサービス
→Amazon GuardDuty
AWS環境やAWSアカウントのセキュリティ全般の攻撃を検知してくれるソリューション
→AWS Trusted Advizer
ユーザーのサービス使用状況をモニタリングし、より効率的なプラン(ベストプラクティス)を提供するサービス
・請求
→AWS Budgets
コストや使用量などの予算を設定できるサービス
→AWS Cost Explorer
AWSサービスのコストと使用量をグラフとして表示するサービス
→AWS Cost & Usage Reports(CUR)
使用する事により、AWSアカウントの最も包括的なコストと使用状況データを確認、項目化、および整理することを可能とするコストと使用状況レポートを作成するサービス
02 AWSのセキュリティ
AWS のセキュリティについて、AWS ではどのような仕組みと運用になっているのか、そしてどのような情報を公開をしているのか、例を元に公式 Web サイトアクセスして一緒に情報を確認していきます。
セキュリティについて
→どのように考えていて、どのような情報を公開しているのでしょうか?
AWSのセキュリティは、どういったものなのでしょうか?
→最優先事項:クラウドセキュリティ
→セキュリティは、AWSと顧客にて共有されるもの(ex.責任共有モデル)
・実施者:AWS→物理インフラストラクチャーに関する統制をします。
・実施者:顧客自身→データ及びアプリケーションに関する管理統制をする権利を有します。
(顧客自身でプライベートな環境構築をし、顧客自身で管理統制できる機能を持たせています。)
※以上のように責任を共有することにより、互いに注力すべき範囲を明確にし、自分たちがやりたい事に注力できるようになるような仕組みが形成されています。
AWSのセキュリティは、どのような仕組みで、どのように運用されているのでしょうか?
ブラウザの検索窓で、「AWS コンプライアンス」で検索すると、以下の内容がヒットしますので、リンク先に進みます。
↓
以下のようなページが開き、AWSのセキュリティに関する様々な情報にアクセスできるようになります。
例えば…AWSのデータセンターにおける設計や運用がどのようになされているのか?
→第三者からのアクセスや内部からのアクセスはどのようにされているのか?
↓
上記ページに表示される画面上の以下のリンクをクリックします。
すると、以下のような詳細が確認できるページを開いて確認することができます。
次に、画面内の[AWSのデーターセンター]のボタンをクリックします。
下にスクロールしますと…
各データーセンターのレイヤー毎にどういった対応がされているのかが表示されます。
例として、左上の境界防御レイヤーをクリックしてみます。
以下のような画面が開きます。
下にスクロールすると、境界防御レイヤーの詳細内容が表示されます。
以上のように、各レイヤー毎にどのようなたいおうをしているのかをこのページで確認してゆくことが可能となっています。
次は、ページを戻って、[AWSのコントロール]のボタンをクリックします。
以下のリンク先のページが開きます。
同じように、下にスクロールしてゆくと、以下のような画面が表示されます。
左側の物理アクセスについて、試しに参照してみます。
以下のような詳細内容が確認できます。
これらの詳細を文書で確認したい場合は、以下のページより確認できます。
一旦、以下のページリンク先に戻ります。
リソースをクリックします。
以下のような画面を表示できますので、左ペインのチェックボックスを以下のように選択します。
…講義での画面の遷移と異なる様でしたので、類似内容に行こうとしたのですが、うまくいきませんでしたので、以下のリンクから進むと良さそうです。
こちらの画面の検索窓から、講義内容のホワイトペーパーを検索して見ます。
何とか見つかりました。
開いてみても…当時の文書のままの閲覧はできなくなっているようでした。
せっかくなので、上記画面のリンクに進むと以下のような画面へ遷移されました。
どうやら、現在は以下にまとめてあるってことなのでしょうね。
https://d1.awsstatic.com/whitepapers/ja_JP/compliance/AWS_Risk_and_Compliance_Whitepaper.pdf
講義に有った内容は、以下のように検索してヒットする事ができました。
更に、講義内容で検索し、こちらの内容も無事確認することができました。
引き続き、DDos攻撃に関する内容も以下のようにヒットできました。
講義の次の廃棄に関する検索も、講義ではホワイトペーパーのトップ画面に戻って検索していましたが、現在では、こちらのPDF内の検索でヒットできました。
続くプライバシーに関する内容についての検索も、講義の画面遷移からは変わっているようですが、以下の画面遷移にて無事辿り着くことができました。(*’ω’*)
上記画面より、行くべきリンク先は以下のリンクとなります。
以上のように…
AWSのセキュリティやコンプライアンスに関する情報は、以下のリンクより、簡単に検索して確認してゆくことが可能な仕組みになっています。
次に、AWSのセキュリティが取得している第三者認証、及び、顧客によって準拠可能なコンプライアンスプログラムの種類に関する説明が有りました。
引き続き、AWS Artifactという、AWS のコンプライアンス関連情報にオンデマンドでアクセスできる、無料のセルフサービスポータルに関する紹介がありました。
AWS と AWS Marketplace で製品を販売している ISV (独立系ソフトウェアベンダー) が提供するセキュリティおよびコンプライアンスレポートにオンデマンドでアクセスできるようになるそうです。
次回以降は、実際にマネジメントコンソールにログインしてから設定してゆく講義となるそうです。
終わりに
今回の講義に関して、まだまだ序盤ですが…
現時点でも、画面遷移にかなりの変遷が有ったようで、いきなり波乱の予感がしてます( ;∀;)
こうやって思わぬ苦労をして、人は成長してゆくのでしょう。
相変わらず、AWSの変化の速さには取り残された状態ですが、こうした経験と対応を基に知識や情報を常にアップデートして取り組んでゆかねばならないようですね。
今回、三部作のプランで最初記載しましたが…
ハンズオン辺りは、もっと激しい分割が生じるかも知れません(;’∀’)
しかし、これからが本番ですので、時間をかける事となっても、しっかり丁寧に学習してゆくことを意識してゆきたい所存です。
コメント