ほぼ日AWS について
AWSのソリューションについて学んでいく為に、以下のAWS管理画面で見れるすべてのサービス
について、どんな時に使われてそれらがどんなソリューションなのかまとめてみたいと思います。
※ ちなみに著者はAWS初心者勢です。
ソリューションがどういうものかに重点をおいて調べてまとめているだけですので、ノウハウTipsの提供等はできません。
このブログの目標
読んだ方(主に自分)が、AWSのソリューションについて 「ああ、AWSののこのソリューションって〜〜〜っていうもんでしょ?」ってざっくり理解するのに手助けになれば幸いです。
では、本題。
セキュリティソリューション について
AWSの中で最も重きを置かれている部門であるクラウドセキュリティを満たす為のサービス。
主として以下のようなサービスがある。
IAM
何ができるのか
正式名称は AWS Identity and Access Managementで頭文字をとって IAMと呼ばれる。
AWSリソースへのアクセスを安全に制御するためのウェブサービスである。IAMを使用してリソースを使用するために認証し、権限が与えられた許可されたサービスのみを触る事が出来る。
無料利用枠ある?
利用は無料となっている。
東京リージョンある?
なさそう。
ただし、リージョンに関係なく使う事が出来る。
主なユースケース
IAMを使用する事でいわゆるAWSリソースの「境界」制御をコントロールする事が出来る。
IAMはAWSアカウントとそれらを所属させることのできるグループ、をコントロールする事が出来るが、例えば「開発者」グループには EC2を使用する( 起動・停止など)権限のみを与える、「管理者」グループには これらのグループを管理する権限を与える。
など、各リソースに応じて柔軟に権限を割り振りすることでセキュリティを担保する事ができる。
Cognito
何ができるのか
Amazon Cognitoはウェブアプリケーション・モバイルアプリに素早く簡単にユーザーサインアップ・サインインを行う機能を追加する事が出来るサービス。
例えば、Facebook、Google、などのソーシャルログインを構築する事ができる。
無料利用枠ある?
あるよ。
東京リージョンある?
あるよ。
主なユースケース
ソーシャルログインを数行で簡単に実装する事が出来る事がメリットであるが、認証方法についてもSAML2.0などの標準ベースの認証をサポートする事でよりセキュアな構築を実装する事が出来る。
Secrets Manager
何ができるのか
AWS Secrets Managerはアプリケーション・サービス、ITリソースへのアクセスに必要なシークレット情報の保護に役立つサービスである。このサービスでは、データベース認証情報、APIキー、その他のシークレット情報を管理、取得する事が出来る。
無料利用枠ある?
あるよ。
東京リージョンある?
あるよ。
主なユースケース
Secrets Manager API を呼び出す事でシークレット情報を取得するため、機密情報をベタ書きしてしまう事などの心配がなくなる。
Secrets Manager ではIAM のポリシーをきめ細かく設定する事ができ、より小さい単位でアクセスを管理できる。
GuradDuty
何ができるのか
Amazon GuardDutyはマネージド型の脅威検出サービスである。悪意のある操作や不正な動作を継続的に監視しAWSアカウントとワークロードを保護する事が出来る。
無料利用枠ある?
あるよ。
東京リージョンある?
あるよ。
主なユースケース
インスタンスへの侵入の可能性や攻撃者による偵察等があってもGuardDutyによって検出する事が出来る。GuardDutyでは総合的な脅威インテリジェンスフィードにより疑わしい攻撃者を自動で識別し、機械学習によりアカウントやワークロードのアクティビティの以上が検出される。
潜在的な脅威が検出されると、GuradDutyコンソールとAWS CloudWatch Events に詳細なセキュリティアラートが配信される。
Inspector
何ができるのか
Amazon Inspectorは、AWSにデプロイされたアプリケーションのセキュリティとコンプライアンスを向上させるための自動でセキュリティ評価を行うサービスである。
Amazon Inspector は自動的にアプリケーションを評価し、脆弱性やベストプラクティスからの逸脱が無いかを自動的に検知する。
無料利用枠ある?
あるよ。
東京リージョンある?
あるよ。
主なユースケース
自動でアプリケーションのセキュリティ評価を監視して、レポートを生成してくれるサービス。
DevOpsプロセスとして簡単に組み込む事が出来るので、都度継続的に脆弱性評価等を実施する事が出来るので開発、運用チームそれぞれにセキュリティ評価を常に意識させる事ができる。
Amazon Macie
何ができるのか
Amazon Macieは機械学習によってAWS内の機密データ(個人情報や知的財産などの機密データ)を自動的に検出、分類、保護するセキュリティサービスである。
ダッシュボードやアラートが提供されるので、データのアクセスや稼働状況を確認できる。
無料利用枠ある?
あるよ。
東京リージョンある?
なさそう。
主なユースケース
このサービスを利用する事でデータアクセスアクティビティの異常が継続的にモニタリングされ、不正アクセスの危険や不注意によるデータ漏洩が検出された場合には詳細なアラートが生成される。
AWS内の機密データの流出チェックを行う為のカスタムコードを書いたり内部ツールを作成したりする必要も無く迅速に実装できる。
AWS Single Sign-On
何ができるのか
AWS Single Sign-Onは複数のAWSアカウントおよびビジネスアプリケーションへのSSOアクセスの一元管理を容易にするクラウドSSOサービスである。
これにより、ユーザーは既存の社内認証情報を使用してユーザーポータルにサインインして割り当てられたすべてのアカウントとアプリケーションに一箇所からアクセス出来るようになる。
無料利用枠ある?
AWS SSO には 追加料金はない。
東京リージョンある?
不明でした。
主なユースケース
複数のクラウドベースのアプリケーションについてシングルサインオンでアクセス出来るようになる。
AWSに対してだけでなく例えば、Office 365 であったり、 Salesforceなどのビジネスアプリケーション、またカスタム構築された社内開発アプリケーションへの従業員のアクセス兼の割当と管理を一箇所から迅速かつ簡単に実行できる。
Certificate Manager
何ができるのか
AWS Certificate Managerにより、AWSの各種サービスと開発者との内部接続リソースで使用するパブリック・プライベートのSSL/TLS証明書のプロビジョニング、管理、デプロイを簡単に行う事ができる。
AWS Certificate Manager を使用する事でSSL/TLS証明書の購入、アップロード、および更新などの時間のかかる工程を手動で行う必要がなくなる。
無料利用枠ある?
あるよ。
東京リージョンある?
あるよ。
主なユースケース
メリットとして、AWS Certificate Manager を利用する事で SSL/TLS 証明書の購入、アップロード、およびデプロイなどのプロセスを手動で行う必要がなくなる。また証明書は自動で更新される。また、内部リソースのためのプライベート証明書を作成し、証明書を中央管理する事も出来る。
CloudHSM
何ができるのか
AWS CloudHSMはクラウドベースのハードウェアセキュリティモジュールである。 これにより、AWSクラウドで暗号化キーを簡単に生成して使用出来るようになる。
CloudHSM は ハードウェアのプロビジョニング、ソフトウェアへのパッチ適用、高可用性、バックアップといった時間のかかる管理タスクを自動化するフルマネージドサービスである。
また、CloudHSMはオンデマンドでHSMのキャパシティを追加及び削除する事で簡単にスケール出来る。
無料利用枠ある?
なさそう。
東京リージョンある?
あるよ。
主なユースケース
不正使用防止策の施されたハードウェアデバイス内での安全なキー保管と暗号化操作が可能になる。HSMは暗号キーデータを安全に保存する。CloudHSM サービスを使用して、DBの暗号化、デジタル著作権管理、公開鍵基盤認証と許可等のアプリケーションに対応する事ができる。
Directory Service
何ができるのか
AWS Directory Service は AWS Directory Service for Microsoft Active Directory(AWS Microsoft AD)によって、AWSクラウド内のフルマネージド型のActiveDirectory をディレクトリ対話型ワークロードとAWSリソースで使用出来るようになる。
AWS Microsoft AD は 実際の Microsoft Active Directory上に構築されるため、既存の ADからクラウドにデータを同期したり、または複製する必要がない。
無料利用枠ある?
あるよ。
東京リージョンある?
あるよ。
主なユースケース
ADを利用できるユースケースに利用できる、またAD管理ツールを使用して グループポリシーやシングルサインオンといった組み込みのAD機能を活用する事ができる。
WAF & Shield
何ができるのか
AWS WAF は 正式名称が AWS Web Application Firewall で頭文字をとって WAFとよばれる。 ウェブアプリケーションをアプリケーションの可用性、セキュリティの侵害、リソースの過剰な消費などの影響を与えかねない一般的なウェブの弱点から保護するウェブアプリケーションファイアウォールである。
AWS WAF を使用すると、カスタマイズ可能なウェブセキュリティルールを指定する事でどのトラフィックをウェブアプリケーションに許可またはブロックするかを制御する事ができる。
無料利用枠ある?
なさそう。
東京リージョンある?
あるよ。
主なユースケース
ファイアウォールをサービスとして管理する事が出来る。 ファイアウォールのルールを一箇所で一括管理を行う事が出来る。
SQLインジェクションやクロスサイトスクリプティングといった一般的な攻撃手法からウェブサイトを保護するのに役立つ。
Artifact
何ができるのか
AWS Artifactは オンデマンドアクセスのための監査およびコンプライアンスポータルであり、AWSのコンプライアンスレポートをダウンロードして特定の契約を管理できる。
AWS Artifact で利用可能な契約には事業提携契約(BAA)と機密保持契約(NDA)が含まれる。
無料利用枠ある?
ありそう。
東京リージョンある?
リージョンの概念がなさそう。
主なユースケース
監査アーティファクトは、組織が文書化プロセスに従っていること、または特有の要件を満たしていることを示す証拠のことである。監査アーティファクトはシステム開発のライフサイクル全体で収集およびアーカイブされ、内部および外部向けの監査や評価における証拠として使用されることを目的とする。
例えば、セキュリティに関して評価する必要がある顧客に対して監査アーティファクトを共有するなどの目的に使われたりする。
所感
かいたかいた。
ずっと、個人で使ってた時はルート認証だったんだけど企業になって初めてIAMを使ってるみたいな状況なんですよね笑
AWS WAF を使ってセキュリティの勉強してみたいな、って気持ちになった。
SQLインジェクションをどうやって防ぐんだろう。