Operator Access on AWS

AWS Key Management Service (AWS KMS)、Amazon EC2 (AWS Nitro System 経由)、AWS Lambda、Amazon Elastic Kubernetes Service (Amazon EKS)、AWS Wickr など、AWS のコアシステムとサービスの多くは、オペレーターによって一切アクセスされないように設計されています。これらのサービスでは、AWS のオペレーターがお客様のデータにアクセスするための技術的な手段は存在しません。代わりに、システムとサービスはオートメーションと安全な API を介して管理され、お客様のデータが不注意で、または強制的に開示されないように保護します。

AWS は常に最小特権モデルを使用して、お客様のデータを処理するシステムにアクセスできる人間の数を最小限に抑えてきました。これは、当社では、その特権が必要な時間に限り、割り当てられたタスクまたは職務を遂行するために必要な最小限のシステムセットにのみ、各 Amazonian がアクセスできるようになっていることを意味します。お客様のデータやメタデータを保存または処理するシステムへのアクセスはすべてログに記録されるとともに、異常がないかモニタリングされ、監査されます。AWS は、これらのコントロールを無効にしたり、バイパスしたりするようなアクションを阻止します。

また、AWS システムとサービスの体制には、最小特権の原則を適用しています。AWS は、この領域で業界標準を上回る対応を実施しています。AWS Identity and Account Management (IAM) により、お客様は IAM ロール を使用してきめ細かな許可を明確に指定できます。これにより、お客様は誰が何にアクセスできるかを慎重に制御できます。当社はまた、Forward Access Sessions (FAS) と呼ばれる独自のセキュリティレイヤーをさらに追加し、機密性の高い許可が暗号的にお客様の承認に基づいて付与されるようにします。また、Amazon EC2 や Amazon Simple Storage Service (Amazon S3) などの AWS サービスでは、お客様がデータを暗号化できるため、AWS であってもお客様の直接の承認なしにお客様の暗号化キーを使用することはできません。 これは FAS によって強制されます。お客様がこのオペレーションを承認した場合には、FAS がそれを証明します。さらに、「代理」サービスオペレーションとして知られるこれらのアクションはログに記録され、お客様は AWS CloudTrail で表示できます。 設計上、AWS サービスが、お客様の暗黙の承認なしに、別のサービスのお客様リソースにアクセスすることを許可するスーパーユーザーキーは存在していません。

モニタリングされていないオペレーターがお客様のデータを含むシステムにアクセスするのを防ぐため、AWS では、すべての管理オペレーションが一元的にログ記録およびモニタリングされるようにシステムを設計しました。すべてのオペレーターのアクションは、フォレンジックに耐えられるきめ細かな詳細度において、アクションを実行している実際の人間まで追跡可能です。匿名性をもたらす共有チームアカウントは存在しません。潜在的なミスや疑わしいアクティビティなど、異常なアクティビティがないかを確認するためにリアルタイムでアクセスがモニタリングされ、AWS のオペレーターのマネージャーとリーダーシップチーム、および独立した AWS Security 組織には、そのようなすべてのアクティビティの概要が定期的に提供されます。このモニタリングはマルチレベルであり、AWS セキュリティチームが運用する、オフホストの一元的なログ集約システムにローカルイベントを迅速にプッシュするオンホストのログ記録エージェントや、何らかの理由でオンホストエージェントが動作を停止した場合にリアルタイムでアラートを発する機能が含まれます。これは、ネットワークレベルのモニタリング、踏み台サービスモニタリング、および他のコントロールによって補完されます。

AWS の担当者は、安全な最新のワークステーションと FIPS 検証済みのハードウェアセキュリティトークンをオペレーターが使用し、正しく認証されているようにする安全なインターフェイスを通じてすべてのオペレーションを実行します。これらのインターフェイスは、短期間有効な、一時的な認証情報を AWS のオペレーターに提供するほか、オーバーライドまたはバイパスできないメカニズムを使用してすべてのアクティビティをモニタリングします。これらの安全なオペレーターインターフェイスは、お客様のデータを開示しない限定的なオペレーションのみを許可し、機密性の高いオペレーションについては複数の担当者による承認を強制します。

サービスに関連する問題のトラブルシューティングや修正など、お客様のデータを保存または処理する可能性のある内部リソースにアクセスする必要がある場合は、オペレーターのアクセスを制限、評価、モニタリングするための追加のコントロールレイヤーをさらに追加します。

お客様のサポートリクエストを支援する AWS サポート担当者は、お客様のデータにアクセスできません。サポートの目的で使用されるすべての AWS IAM 許可は完全に文書化されており、AWS のお客様が各自で無効にできる専用ロールからアクセスされます。これらの専用ロールの使用は、AWS CloudTrail でもログ記録されます。

AWS は、ネットワーク盗聴、盗難、その他の物理的攻撃のリスクを軽減するために、安全なデータセンターを運用しています。アクセスリクエストの審査には、最小特権の原則を使用します。これらのリクエストでは、個人がアクセスする必要があるデータセンターのレイヤーを指定する必要があり、期限が定められています。電子ストレージメディアは、NIST 800-88 で詳述されている手法を使用して物理的に破壊されるか、または暗号的に消去されない限り、AWS データセンターから持ち出すことはできません。AWS のサービスとシステムは、ネットワーク、メモリ、ストレージについて、常時オンの暗号化をサポートしています。多くの場合、常時オンの暗号化は 2 層以上あり、データには、お客様のためにそのデータを処理するシステムのみがアクセスできるようにします。

AWS は、セキュリティイベントが検出されないことのないように、そして、個人またはグループが重要なセキュリティコントロールを破ることができないように、組織的および技術的なチェックアンドバランスを採用しています。AWS アクセスコントロールシステムとアクセスモニタリングシステムは意図的に独立しており、別々のチームによって運用されています。

当社は、変更管理、イミュータブルなログ機能、職務の分離、マルチパーティーの承認、条件付きの承認メカニズム、ハンズオフ運用ツールなどの多層防御セキュリティ対策を備えて AWS を設計しました。AWS のオペレーターによって実行されるアクションが安全で、透明性があり、ログ記録され、レビューされるように、これらのセキュリティ対策は標準的なセキュリティプラクティスを超えています。

リソースへのアクセスを割り当てるための許可グループ、許可グループのメンバーシップを管理するための許可ツール、および承認されたオペレーターがサービスリソースに直接アクセスせずにシステムのメンテナンスとトラブルシューティングを実行できるようにする安全なツールを実装しました。また、従業員の役職が変わったり、従業員が退職したりすると、メンバーシップも自動的に更新されます。