Amazon Web Services のセキュリティについて

Amazon Web Services のセキュリティについて、自分用のメモ書きです。ちょっとだけ加筆しました。

  • DoD 5220.22-M(国立産業セキュリティプログラム作業マニュアル)準拠の廃棄処理
  • AWS セキュリティプロセス抜粋
    • 認証と認定:SAS70
      • セキュリティ設計の原則:公式設計レビュー、脅威モデリング、リスク査定の遂行、静的コード分析、侵入テスト
      • 物理的セキュリティ:2要素認証を最低2回、定期的に監査、綿密な身元調査
      • バックアップ:冗長化のため自動的に複数の物理的ロケーションでに保存、スナップショット
      • ネットワークセキュリティ:分散サービス妨害(DDoS)攻撃、中間者 (MITM) 攻撃、IP スプーフィング、ポートスキャニング、第三者によるパケットスニッフィング
    • 複数のセキュリティレベル
      • ホストオペレーティングシステム:多要素認証
      • ゲストオペレーティングシステム:証明書ベースのSSHv2 を使用
      • ファイヤウォール:強制インバウンドファイヤウォールは、デフォルトでは拒否モードに設定
      • ハイパーバイザー:ゲストOS はCPU に対して高度なアクセスをもちません。
      • インスタンスの分離:物理的RAM も分離しています。
      • 障害分離:インスタンスを複数のアベイラビリティゾーン(Availability Zone) だけでなく、複数の地理的に離れたリージョン(Region)に配置できる柔軟性を提供。各アベイラビリティゾーンは、障害分離が可能なようデザインされています。つまり、個々のアベイラビリティゾーンは、一般的な都市地域内で物理的に分離されており、地震や洪水での影響が同時に及ばないような場所が考慮されています。個別の無停電電源装置UPS)やオンサイトのバックアップ生成施設に加え、さらにシングルポイントの障害の可能性を減らすために、別々の電力供給施設から異なる配管網を経由して、個別に電力供給を行なっています。これらはすべて、冗長的に、複数のTier-1 プロバイダに接続されています。
  • ・補足資料
  • クラウドとは
    • ユーザーが、クラウドのサービス提供者側の人間を介することなく、必要に応じてサービスの利用を開始したり設定を変更したりできること。
      • 機能がネットワーク経由で提供され、標準的な仕組みを使って多様なクライアント・プラットフォームからアクセスできること。
      • サービス提供者の計算資源が複数のユーザーに対してマルチテナント・モデルによって提供されるように確保されており、顧客のニーズに従って物理的・仮想的な資源が動的に割り当てられること。
      • 機能が迅速かつ柔軟に提供され、ユーザーが必要に応じて使用する計算資源の量を動的に増減させることができること。
      • クラウドの利用状況を監視・制御して計算資源の利用を最適化し、当該利用者とサービス提供者に報告すること。