Amazon Web Services ブログ

Category: Security, Identity, & Compliance

AWS Certificate Manager プライベート認証機関を使用して Microsoft SQL Server への SSL 暗号化接続を有効にする

 重要なデータを保護するために対策を取っている組織は、保管中も転送中も心配が尽きません。リレーショナルデータベースは、ビジネスに不可欠なデータを保護する必要がある状況のよくある例です。Microsoft SQL Server では、Secure Sockets Layer (SSL) 暗号化を使用して転送中のデータを保護できます。 この記事では、AWS Certificate Manager (ACM) および AWS Certificate Manager Private Certificate Authority (ACM プライベート CA) を使用して、SQL Server 接続の SSL 暗号化を有効にするプロセスを説明します。 SQL Server の SSL 暗号化オプションの説明 Microsoft SQL Server は、接続の暗号化を有効にする次の 2 つのメカニズムがあります。 すべてのクライアントからの暗号化を強制する サーバーからの暗号化を強制する クライアントとサーバー間の安全な接続を確保するには、暗号化された接続を要求するようにクライアントを設定します。これにより、クライアントが SQL Server を実行しているサーバーに接続する前に、サーバーが提示した証明書を検証します。 Force Server Encryption オプションを使用することもできます。ただし、このオプションを単独で使用すると、クライアントが証明書を検証せずに暗黙的に信頼するため、中間者攻撃に対して脆弱になります。 この記事では、最初のオプションについてのみ説明します。 ACM ルート CA とプライベート CA […]

Read More

Kubernetes サービスアカウントに対するきめ細やかな IAM ロール割り当ての紹介

本投稿は Micah Hausler と Michael Hausenblas による記事を翻訳したものです AWS ではお客様のニーズに最優先にフォーカスしています。Amazon EKS におけるアクセス権制御に関して、みなさまは「パブリックコンテナロードマップ」の Issue #23 にて EKS でのきめ細かい IAM ロールの利用方法 を求められていました。このニーズに応えるため、コミュニティでは kube2iam、kiam や Zalando’s IAM controller といったいくつかのオープンソースソリューションが登場しました。これらのソリューションは素晴らしいプロダクトであるだけでなく、それぞれのアプローチの要件及び制約は何なのかについて多くの方の理解を促すことを可能にしました。 そして今、柔軟かつ簡単に利用可能なソリューションがやってきました。私たちの重要なゴールとして、粒度の高いロールを Node レベルではなくPod レベルでの提供がありました。私たちが今回考え出したソリューションもオープンソースとして公開されているため、eksctl での Amazon EKS クラスター作成時にも利用できますし、DIY アプローチでの Kubernetes クラスターとしてポピュラーな kops によって作成されたようなクラスタにおいてもご利用いただくことが可能です。 アクセスコントロール: IAM と RBAC Kubernetes on AWS では、補完しあう2つのアクセスコントロール手法が動作します。AWS Identity and Access Management (IAM) は AWS サービスへのアクセス許可、例えばあるアプリケーションが S3 […]

Read More

AWS KMS の暗号化機能を使って、Amazon RDS のデータを保護する

あらゆる業界の組織にとって、データのプライバシーは不可欠です。暗号化サービスは、不正アクセスからデータを保護する標準的な方法の 1 つです。暗号化では正しい復号化キーがないと、データが読み取れないようにデータを変更します。 Amazon RDS は AWS が所有するキーを使用して、デフォルトでデータを暗号化します。デフォルト以外のキーを使用してデータを暗号化することを希望するお客様もいます。そのため、デフォルト以外のキーを使用する場合、堅牢なキーの作成、管理、削除のツールとプロセスがデータセキュリティに不可欠です。こうしたツールとプロセスは、キーの有効期限がデータの可用性に影響することを防ぐのにも役立ちます。 この投稿では、AWS KMS が RDS に保存したデータのデータ暗号化とキー管理プロセスを簡素化する方法について説明します。今回取り上げるトピックは、次のとおりです。 キー管理 キーの作成 暗号化データベースの作成 暗号化データベーススナップショットの作成とコピー キーのローテーション キーアクセスの制御 AWS KMS の導入 KMS を使用して、RDS などの AWS のサービスに保存しているデータを暗号化できます。キーのアクセス許可は、IAM と完全に統合しています。さらに、すべての KMS API 呼び出しは AWS CloudTrail への書き込みを行い、キーの作成、使用、削除の完全な監査証跡を提供します。KMS キーの長さは 256 ビットで、ガロア/カウンターモード (GCM) の Advanced Encryption Standard (AES) を使用します。詳細については、AWS Key Management Service Cryptographic Details (PDF) をご参照ください。 RDS はすべてのキータイプをサポートしますが、次のテーブルは KMS で使用される […]

Read More

【開催報告】AWS re:Inforce 2019 re:Cap Seminar

2019年7月30日、AWS Loft Tokyo にて、AWS re:Inforce 2019 で発表・紹介されたセキュリティサービスやソリューションの最新情報を振り返るイベントが開催されました。 AWS re:Inforce 2019 とは、2019年6月25、26日に米国ボストンで開催された AWS セキュリティ&コンプライアンス最大のカンファレンスです。エンドユーザー様、パートナー様を中心に、世界50カ国以上中から8,000人以上の来場者が集まりました。基調講演や170を超えるセッション、パートナー様展示ブースからなる Security Learning Hub、参加者同士のネットワーキングイベントなどからなるとても大きなイベントでした。 そこで本セミナーでは、AWS re:Inforce 2019 に参加されたAWS利用者を迎え、企業のセキュリティ意思決定者・担当者に向けて効率的に情報収集いただく目的で開催されました。以下より、登壇者の発表から伝わる AWS re:Inforce 2019 の熱気をお感じください!

Read More

[AWS Black Belt Online Seminar] AWS CloudHSM 資料及び QA 公開

先日 (2019/7/23) 開催しました AWS Black Belt Online Seminar「AWS CloudHSM」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。   20190723 AWS Black Belt Online Seminar AWS CloudHSM from Amazon Web Services Japan   AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます)   Q. SDKとCloudHSMは、直接接続は出来ないのでしょうか? A. CloudHSMの暗号化や復号機能を利用する場合、CloudHSMクライアント経由である必要があります。 https://docs.aws.amazon.com/ja_jp/cloudhsm/latest/userguide/client-tools-and-libraries.html#client PKCS #11や、JCE、Webサーバー用のOpenSSL Dynamic Engine, Microsoft KSPおよびCNGプロバイダーでは、AWS CloudHSMソフトウェアライブラリーを利用しますが、これらのライブラリもCloudHSMクライアント経由でCloudHSMの機能を利用します。 CloudHSMクラスターとHSMの作成、修正、削除などのオペレーションを行うための、AWS CloudHSM APIについてはSDKからご利用が可能です。 Q. Classic から V2への移行に関して、気をつけておくべきことはございますか。資料情報があれば教えていただければと思います。 A. 英語のドキュメントになりますが、こちらのマイグレーションガイドがあるのでご確認ください。 大きな点としては、V2ではリージョンをまたがったクラスターがサポートされない点です。ClassicでリージョンをまたがったHAグループを設定していた場合には、CloudHSMのバックアップを別リージョンに転送して手動でCloudHSMクラスターを再構成する運用手順を確立しておく必要があります。 また、別の観点になりますが、ClassicとV2ではクラスターやHSMの構成情報なども異なるので、マイグレーション先のCloudHSMで新規にクラスターやHSMの定義をすることになることにご留意ください。 Q. CloudHSMは、Amazonのハードウェアがデータセンターに配置されているのですか?どこかのHSM製品なのでしょうか? A. […]

Read More

AWS と CLOUD 法

英国で EU 離脱(Brexit)のニュースがトップ記事となっていますが、先日、ロンドンでもう 1 つ重要なできごとがありました。Richard W. Downing 米国 司法副長官補佐が、Academy of European Law Conference において「海外のデータの合法的使用を明確化する法律」(Clarifying Lawful Overseas Use of Data Act) (通称「“CLOUD 法”」) についての誤解と真実に関してスピーチを行い、その後、米国司法省 (DOJ) から CLOUD 法の目的と範囲を明確にし、多くの誤解に対処するためのホワイトペーパーと FAQ が発表されました。このスピーチと DOJ のホワイトペーパーおよび FAQ をぜひお読みいただき、CLOUD 法の実態をご理解ください。簡単に言うと、CLOUD 法とは、国際的な犯罪やテロ活動に法執行機関が対処することを唯一の目的とした古い法律に、軽微な変更を加えたものです。CLOUD 法によって米国の法執行機関にクラウド内のデータに対して自由なアクセス権をが与えられる、という噂は事実ではありません。 DOJ のスピーチとガイダンスは正しい方向に進むための足掛かりにはなりますが、それだけでは不十分です。クラウドコンピューティング利用者がデータのアクセスに関する重要な問題を理解できるようにするために、各国の政府が行うべきことはたくさんあります。今日は、CLOUD 法に伴いクラウドサービスの利用方法を変える必要はないということをお客様に理解していただけるように、この法律に対する主な誤解について説明しようと思います。 過去 30 年にわたる法執行機関のデータアクセス権 1986 年に、「保管された通信に関する法律」 (Stored Communications Act (SCA)) が議会で制定され、電子的コミュニケーションに対する法執行機関のアクセスについて対応が行われました。制定当時は SCA が将来を見据えた法律だと思われていましたが、その後に新しいインターネットアプリケーションやクラウドコンピューティングなどの技術が出てくると、その対応は困難で何年もかかってしまいました。そこでの議論の 1 つは、米国外にあるデータを米国の法執行機関が取得することができるかどうかということでしたが、この議論は CLOUD 法の成立によって決着しました。米国でビジネスを行っている事業体 […]

Read More

SAP S/4HANAでのSAP FioriとAWS Single Sign-Onの統合

この記事は、AWS SAP Global Specialty Practiceでシニアコンサルタントを務めるPatrick Leungによるものです。 SAP Global Specialty PracticeにおけるAmazon Web Services (AWS)のプロフェッショナルサービスの一環で、AWS上でのSAPの設計と展開に関してお客様を支援することがよくあります。SAPのお客様は、Amazon Elastic File System (Amazon EFS)やAWS Backupなどのフルマネージド型のAWSサービスを利用して、インフラストラクチャの運用やその他の付加価値を生まない無駄な作業からチームの負担を軽減することができます。 本ブログ記事では、AWS Single Sign-On (AWS SSO)を使用して、SAPユーザーが毎回ログインとログアウトすることなくSAP Fiori launchpadにアクセスできるようにする方法を紹介します。このアプローチにより、SAPユーザーにとって望ましいユーザー体験を提供し、エンタープライズセキュリティの完全性が確保されます。数回クリックするだけで、初期投資や独自のSSOインフラストラクチャを運用するための継続的なメンテナンスコストをかけずに、可用性の高いAWS SSOサービスを有効にできます。そのうえ、AWS SSOを有効にするために追加費用はかかりません。

Read More

Linux Kernel TCP SACK サービス妨害問題

【日本語訳】日本時間 2019年06月25日10:00 最終更新: 2019/06/18 11:45 PM PDT CVE 識別子: CVE-2019-11477, CVE-2019-11478, CVE-2019-11479 Amazon Elastic Container Service (ECS) 2019年6月17,18日にパッチがあてられた Amazon Linux および Amazon Linux 2 のカーネルで更新版の ECS 最適化 Amazon Machine Image (AMI) が提供されました。最新バージョンの入手方法を含む ECS 最適化 AMI に関する詳細は https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-optimized_AMI.html をご覧ください。 Amazon GameLift Linux ベースの Amazon GameLift インスタンス向けの更新版の AMI が、全リージョンで利用可能です。Linux ベースの Amazon GameLift インスタンスを使用しているお客様は更新版の AMI で新規フリートを作成されることをお勧めします。フリートの作成に関する詳細は https://docs.aws.amazon.com/gamelift/latest/developerguide/fleets-creating.html をご覧ください。 […]

Read More

AWS Fargate で AWS Secrets Managerを使用して認証情報を保護する

本投稿は AWS コンテナサービスのプリンシパルディベロッパーアドボケートである Massimo Re Ferreによる寄稿です クラウドのセキュリティはAWSの最優先事項であり、コンテナチームの取り組みがその証でもあります。およそ1か月前、私たちは AWS Secrets Manager や AWS Systems Manager パラメータストアと、AWS Fargate タスクの統合機能を発表しました。 これにより Fargate のお客様は、ご自身のタスク定義から秘密情報を安全に、パラメータを透過的に利用することができます。 この記事では、秘密情報を確実に保護しつつ Secrets Manager と Fargate の統合を利用する方法の例を紹介します。 概要 AWS は複数の重要なセキュリティ上の基準を以って Fargate を高度にセキュアに設計しました。その 1つは、各Fargate タスクはそれぞれに分離境界があり、下層のカーネル、CPUリソース、メモリリソース、またはElastic Network Interface(ENI)を他のタスクと共有していないところです。 セキュリティに重点を置くもう 1 つの領域は、Amazon VPC ネットワーキング統合です。これにより、ネットワーキングの観点から Amazon EC2 インスタンスを保護する手法で Fargate タスクを保護できます。 この発表は、責任共有モデルの観点でも重要です。例えば、AWSのプラットフォーム上でソリューションを構築して実行するようなDevOpsチームは、アプリケーションコードの実行時に秘密情報、パスワード、機密パラメータをセキュアに管理する適切な仕組みや機能を必要とします。そして、プラットフォームの機能によって彼ら/彼女らがまさにそのようなことを可能な限り簡単に実行できるようにすることが私たちの役割なのです。 私たちは、時に一部のユーザーがセキュリティ面をトレードオフとして俊敏性を得るために、ソースコードに AWS 認証情報を埋め込んだままパブリックリポジトリにプッシュしたり、プライベートに格納された設定ファイルに平文でパスワードを埋め込んでいるのを見てきました。私たちは、さまざまなAWSサービスを利用している開発者が IAM ロールを Fargate タスクに割り当てることができるようし、AWS 認証情報を透過的に取り扱えるようにすることで、この課題を解決しました。 これはネイティブな […]

Read More

AWS Security Hub が一般公開に

私は開発者です。少なくとも、管理者であることは受け入れているつもりです。確かに私は情報セキュリティの専門家ではありません。私の書き込みや設定が原因でセキュリティ上の問題が発生したため、これまでに 1 回以上呼び出されたことがあります。実験のためにシステムがデプロイを頻繁に行えるようにして、ゲートキーパーを取り除くときに、時々準拠していないリソースがこっそり侵入しようとします。こういった理由から、私は AWS Security Hub のようなツールが好きです。AWS Security Hub は、コンプライアンスチェックを自動化し、さまざまなサービスから総合的な洞察を得られるサービスです。このようなガードレールが確実に軌道に乗るように設置すれば、もっと自信を持って実験できるようになります。そして、複数のシステムからのコンプライアンス検出結果を 1 か所にまとめて表示することで、情報セキュリティでのセルフサービスがより快適だということがわかります。 クラウドコンピューティングで、コンプライアンスとセキュリティに関して責任を共有するモデルがあります。AWS はクラウドのセキュリティを管理します。データセンターのセキュリティから仮想化レイヤーおよびホストオペレーティングシステムに至るまで、すべてが管理対象になります。お客様はクラウド内のセキュリティを管理します。ゲストオペレーティングシステム、システム設定、および安全なソフトウェア開発方法について取り扱います。 現在、AWS Security Hub はプレビューされていません。一般的な用途では使用できるため、クラウド内のセキュリティ状態を理解するのに役立ちます。これは AWS アカウント間で機能し、多くの AWS サービスおよびサードパーティー製品と統合します。また、Security Hub API を使用して独自の統合を作成することもできます。 はじめに AWS Security Hub を有効にすると、IAM サービスリンクロールを介してアクセス許可が自動的に作成されます。自動化された継続的なコンプライアンスチェックがすぐに始まります。コンプライアンス標準はこれらのコンプライアンスチェックとルールを決定します。利用可能な最初のコンプライアンス標準は、インターネットセキュリティセンター (CIS) AWS Foundations Benchmark です。今年はさらに標準を追加する予定です。 これらのコンプライアンスチェックの結果は、検出結果と呼びます。それぞれの検出結果から、問題の重要度、報告されたシステム、影響を受けたリソース、その他の役立つメタデータを把握できます。たとえば、root アカウントに対して多要素認証を有効にしなければならないこと、90 日間使用されていない資格情報が無効になっていることがわかります。 集計ステートメントとフィルターを使用して、検出結果を洞察に分類できます。 統合 コンプライアンス標準の検出結果に加えて、AWS Security Hub はさまざまなサービスからデータを集計して正規化します。これは、、AWS Guard Duty、Amazon Inspector、Amazon Macie、および 30 の AWS パートナーセキュリティソリューションによる検出結果の中央リソースです。 AWS Security […]

Read More