Ubiquitous Encryption on AWS

2016/7/20
Ubiquitous Encryption on AWS
AWS Professional Services
Security, Risk and Compliance (SRC) Practice
英語のページの補足として日本語のページをつけてみました。
ところどころ終わってないところもありますがご参考に。。。
AWSにおける暗号化
※ユビキタスにはあらゆるところ、偏在したとい意味があります。
AWS Professional Services
Security, Risk and Compliance (SRC) Practice
冒頭はSRCをリードしているHart Rossmanから、AWSのセキュリティの説明
次にEugene Yu,Pedro GalvaoからUbiquitous Encryptionを説明します
1
2016/7/20
Strengthen your security posture
Security infrastructure built to
satisfy military, global banks, and other
high-sensitivity organizations
Over 30 global compliance
certifications and accreditations
Benefit from AWS industry leading
security teams 24/7, 365 days a year
Get native functionality and tools
at no additional charge
Leverage security enhancements gleaned
from 1M+ customer experiences
セキュリティを強化するために
防衛関連や、金融、損とあ高い機密性が求められる組
織で採用されているセキュリティインフラ
30を超える様々なグローバルの認証や認定
24/7, 365日のセキュリティ専門部隊の支
援によるベネフィット
追加料金無しでの機能やツールの提供
100万を超えるお客様の経験の蓄積によるセ
キュリティの底上げ
2
2016/7/20
Access a deep set of cloud security tools
Networking
Virtual
Priv ate
Cloud
Encryption
W eb
Application
Firewall
Key
Management
Serv ice
Identity
IAM
Activ e
Directory
Integration
CloudHSM
Serv er-side
Encryption
Compliance
SAML
Federation
Serv ice
Catalog
CloudTrail
Config
クラウドセキュリティのツールセット
Networking
Virtual
Priv ate
Cloud
Encryption
W eb
Application
Firewall
Key
Management
Serv ice
Identity
IAM
Activ e
Directory
Integration
CloudHSM
Serv er-side
Encryption
Compliance
SAML
Federation
Serv ice
Catalog
CloudTrail
Config
3
2016/7/20
Security as code: Innovation, stability, & security
Business
Keep it stable
Build it faster
Protect it
Development
Security
Operations
Security as code: Innovation, stability, & security
Business
安定
迅速
保護
Development
Security
Operations
4
2016/7/20
Security as code
1.
2.
3.
4.
Use the cloud to protect the cloud
Security infrastructure should be cloud aware
Expose security features as services via API
Automate everything so everything scales
Security as code
1. クラウドを守るためにクラウドを活用
2. セキュリティインフラはクラウド活用を意識すべき
3. API経由のサービスとしてセキュリティ機能を外部
に公開
4. すべてに自動化をすべてにスケールを
5
2016/7/20
DevSecOps: Core Principles
1. Secure the toolchain
2. Armor up the workloads
3. Deploy your security infrastructure through the
toolchain
DevSecOps: 基本的な原則
1. ツールチェーン（様々なツール群）をセキュアに
2. ワークロードを要塞化
3. ツールチェーンを通じてセキュリティインフラをデプ
ロイ
6
2016/7/20
DevOps DevSecOps
AWS CloudFormation
templates for Env
Repo
Package
Builder
Config
Code
Config
Tests
Dev
Commit to
repo
Security
Repository
Version
Control
Push
Pull
Code
Generate
Install
Create
Vulnerability
and pen
testing
AMIs
Deploy
Server
CI Server
Test Env
Staging Env
Prod Env
•Security Infrastructure tests
•Security unit tests in app
Send build report to dev and
stop everything if build failed
DevOps DevSecOps
AWS CloudFormation
templates for Env
Repo
Config
Code
Config
Tests
Dev
Commit to
repo
Security
Repository
Version
Control
Package
Builder
Push
Pull
Code
Send build report to dev and
stop everything if build failed
CI Server
Generate
Install
Create
Vulnerability
and pen
testing
AMIs
Deploy
Server
Test Env
Staging Env
Prod Env
•Security Infrastructure tests
•Security unit tests in app
7
2016/7/20
Key security enablers
Milestones that help you stay on track
https://d0.awsstatic.com/whitepapers/AWS_CAF_Security_Perspective.pdf
CAF Security Perspectiveのご紹介
Key security enablers（高める要素となるもの）
順調に進めるためのマイルストーン
https://d0.awsstatic.com/whitepapers/AWS_CAF_Security_Perspective.pdf
8
2016/7/20
Security
Epics
To structure a program of work we identify ten themes, as illustrated in diagram below. When treated as Epics in
an agile methodology, these contain the user stories including both use cases & abuse cases. Frequent iteration
via sprints will lead to increase maturity whilst retaining flexibility to adapt to business pace and demand.
•
1st Sprint Example
–
Define the account structure and implement the core
set of best practices
•
2nd Sprint Example
•
3rd Sprint Example
–
–
Implement federation
Expand account management to cater for multiple
accounts
You can build capability in parallel or serial fashion and
maintain flexibility by including security capability user stories
in the overall product backlog or splitting them out into a
security focused DevOps team. These are decisions you can
periodically revisit, allowing you to tailor your delivery to the
needs of the organization over time.
https://d0.awsstatic.com/whitepapers/AWS_CAF_Security_Perspective.pdf
CAF Security Perspectiveのご紹介
Security Epics（進めていくための単位）
以下の図はセキュリティに関する活動を構成する１０のテーマである. アジャイルな方法論を活用して取り組む場合、良い例と悪
い例の双方をユーザーのストーリに含むことになる。スプリントを通じた反復的な活動はビジネスのスピードや要求に対する柔軟
性を得つつ、成熟度を高めることが出来る
•
1st Sprint Example
–
Define the account structure and implement the core
set of best practices
•
2nd Sprint Example
•
3rd Sprint Example
–
–
Implement federation
Expand account management to cater for multiple
accounts
You can build capability in parallel or serial fashion and
maintain flexibility by including security capability user stories
in the overall product backlog or splitting them out into a
security focused DevOps team. These are decisions you can
periodically revisit, allowing you to tailor your delivery to the
needs of the organization over time.
https://d0.awsstatic.com/whitepapers/AWS_CAF_Security_Perspective.pdf
9
2016/7/20
Sample IAM epic
Sprint 1 for IAM can consist of defining the account structure
and implement the core set of best practices. A second
sprint can implement federation. A third sprint can expand
account management to cater for multiple accounts and so
on.
IAM user stories that may span one or more of these initial
sprints could include stories such as:

“As an access administrator, I want to create an initial
set of users for managing privileged access and
federation identity provider trust relationships”

“As an access administrator, I want to map users in my
existing corporate directory to functional roles or sets of
access entitlements on AWS platform.”

“As an access administrator, I want to enforce multifactor authentication on all interaction with the AWS
console by interactive users.”
https://d0.awsstatic.com/whitepapers/AWS_CAF_Security_Perspective.pdf
CAF Security Perspectiveのご紹介
Sample IAM epic
Sprint 1 for IAM can consist of defining the account structure
and implement the core set of best practices. A second
sprint can implement federation. A third sprint can expand
account management to cater for multiple accounts and so
on.
IAM user stories that may span one or more of these initial
sprints could include stories such as:

“As an access administrator, I want to create an initial
set of users for managing privileged access and
federation identity provider trust relationships”

“As an access administrator, I want to map users in my
existing corporate directory to functional roles or sets of
access entitlements on AWS platform.”

“As an access administrator, I want to enforce multifactor authentication on all interaction with the AWS
console by interactive users.”
https://d0.awsstatic.com/whitepapers/AWS_CAF_Security_Perspective.pdf
10
2016/7/20
Security Cartography: Mapping the Landscape
What you do in any IT Environment
Code translation
•
•
•
•
•
•
•
Firewall rules
Network ACLs
Network time pointers
Internal and external subnets
NAT rules
Gold OS images
Encryption algorithms for data in
transit and at rest
http://docs.aws.amazon.com/quickstart/l
atest/accelerator-nist/welcome.html
Gold Image, NTP
and NAT
Network ACLs,
Subnets, FW rules
http://docs.aws.amazon.com/quickstart/latest/accelerator-pci/welcome.html
Compliance Quick startの紹介
Security Cartography: やるべきことのマッピング
What you do in any IT Environment
•
•
•
•
•
•
•
Firewall rules
Network ACLs
Network time pointers
Internal and external subnets
NAT rules
Gold OS images
Encryption algorithms for data in
transit and at rest
http://docs.aws.amazon.com/quickstart/l
atest/accelerator-nist/welcome.html
Code translation
Gold Image, NTP
and NAT
Network ACLs,
Subnets, FW rules
http://docs.aws.amazon.com/quickstart/latest/accelerator-pci/welcome.html
11
2016/7/20
Encrypt All The Things
• Quick primer on AWS encryption products and
services
• “Ubiquitous Encryption”
すべてを暗号化してしまおう！！！
• AWSの製品やサービスによる暗号化の簡単なガイ
ドを行います
• “Ubiquitous Encryption”
12
2016/7/20
Ubiquitous Encryption
Encrypted at rest
Restricted access
S3
Encrypted in transit
Glacier
Fully managed
keys
AWS IAM
EBS
Encrypted in process
AWS KMS
EMR
AWS CloudTrail
Amazon
Redshift
Fully auditable
RDS
Ubiquitous Encryption
保存での暗号化
制限されたアクセス
S3
経路上の暗号化
Glacier
フルマネージドな
暗号鍵
AWS IAM
EBS
処理における暗号化
AWS KMS
EMR
Amazon
Redshift
AWS CloudTrail
完全な可監査性
RDS
13
2016/7/20
Encryption in Transit
• Prefer encrypted application protocols (https,
ssh/s-ftp, etc)
• Use https endpoints for AWS services
• Available for every AWS service
• Avoid plain http when available:
Auto Scaling, CloudWatch, Glacier, S3, SimpleDB,
SQS
Encryption in Transit
• 暗号化されたアプリケーションプロトコルを選択
(https, ssh/s-ftp, etc)
• AWSサービスに対するhttpsエンドポイントを活用
• すべてのAWSサービスに利用可能
• 可能な時は平文のhttp通信を避けるべき：
Auto Scaling, CloudWatch, Glacier, S3, SimpleDB,
SQS
14
2016/7/20
“I want to encrypt all network traffic.”
•
•
•
•
AWS platform APIs with SigV4 and TLS
Use VPN & VGW over Direct Connect
Patterns for cross-region VPC networking use VPN
VPC endpoints for AWS services on the roadmap (SQS, Redshift…)
“すべてのネットワークトラフィックを暗号化したい！”
•
•
•
•
APIsにおける署名バージョン4とTLS
Direct ConnectにおけるVPNとVGW
クロスリージョンのVPC構成パターンにおけるVPN
AWSサービスロードマップにおけるVPCエンドポイント (SQS,
Redshift…)
15
2016/7/20
“I want to encrypt all network traffic.” (cont.)
• “But what about traffic within the VPC?”
• It depends.
• Do you encrypt on-prem traffic today?
• Discuss platform trust and third-party controls
assurance
•
VPC is covered under PCI-DSS etc. as a Layer 2 isolated
network
• Risk-rank applications and platforms, prioritize efforts
and accurately assess total level of effort and
tradeoffs.
“すべてのネットワークを暗号化したい” (続き)
• “でも、VPC内の通信はどうする?”
• 状況次第
• オンプレミスのトラフィックを暗号化してます？
• プラットフォームへの信頼性とサーバパーティーによる監査
に関して議論すべき
•
VPCはPCI DSSにおいても、レイヤー２の分離されたネットワー
クとして認められている
• アプリケーション、プラットフォームのリスクランク付け, 優先
順位付けや正確な評価を行うための工数とのトレードオフ
16
2016/7/20
Anatomy of a Region
AWS DC
Risk that you can accept?
AWS DC
Availability Zone
Availability Zone
AWS DC
AWS DC
リージョンの解剖
AWS DC
Availability Zone
AWS DC
受容できるリスクは？
AWS DC
Availability Zone
AWS DC
17
2016/7/20
KMS Value Proposition and Security Model
•
•
Independent controls over who
can access the ciphertext vs. who
can access the key needed to
decrypt the ciphertext
KMS handles the undifferentiated
heavy lifting of managing the
physical security and availability of
keys. The customer owns the
logical security of how keys are
used.
•
•
•
Differentiation between using a
key and administrating a key
These roles are defined in the
key policy (different than an IAM
policy)
KMS IAM
•
•
•
•
"Sid": "Enable IAM User
Permissions”
"Sid": "Allow access for Key
Administrators”
"Sid": "Allow use of the key“
"Sid": "Allow attachment of
persistent resources (by users of
the key)"
KMSのバリュープロポジションとセキュリティモデル
バリュープロポジション
お客様の視点から見て意味ある価値、他社と比べて自社が提供できる優れた価値
•
•
暗号を復号する鍵へのアクセスを必
要とする人と、暗号鍵にアクセスでき
る人に対する独立したコントロール
の確立
KMSは暗号鍵に対する可用性管理
や物理的な管理に対する負荷を管
理する。顧客はどのように鍵が使わ
れるかといった論理的なセキュリティ
に責任を持つ。
•
•
•
鍵の使用と鍵の管理の分離
それらの役割やキーポリシーとし
て定義される (IAMポリシーとも違
う)
KMS IAM
•
•
•
•
"Sid": "Enable IAM User
Permissions”
"Sid": "Allow access for Key
Administrators”
"Sid": "Allow use of the key“
"Sid": "Allow attachment of
persistent resources (by users of
the key)"
18
2016/7/20
“暗号鍵を自分で管理したい”
• AWS KMSは利用者に自分のアプリケーションやAWSサービスに使うた
めの鍵の管理を許可している
• KMSセキュリティモデル
• “しかし、どのように私は、コントロールを知ることが出来て、KMSに対す
るセキュリティモデルを利害関係者に伝えることが出来るのか”
• AWS Compliance and Assurance
•
•
SOC
PCI-DSS
• “しかし、私は自身の”root” KeyをFIPS 140-2に適合した環境で管理し
なければいけないのだ”
“I need to enforce encryption standards & policies.”
• Establish policy definitions:
• IAM policies and KMS key policies
• Standardized Security Playbook and Runbook
• Proactive policy enforcement:
• CloudFormation
• Service Catalog
• Reactive policy enforcement:
• Config Rules
“But I need to detect and enforce encryption on my
instances and objects.”
19
2016/7/20
“鍵管理のための標準や基準への準拠が必須な時に”
• ポリシーの定義を確立する:
• IAMポリシーとKMSポリシー
• 標準化されたセキュリティプレイブックやランブック（運用仕様書や自
動化の設計書、標準化仕様書など）
• 積極的ななポリシーの適用:
• CloudFormation
• Service Catalog
• 受動的なポリシーの適用:
• Config Rules
“しかし、自分のインスタンスやオブジェクトへの暗号化の適用を検
出する必要があるのだ”
Enforcing Encryption with CloudWatch Events
Not Encrypted
EC2
SNS
CloudWatch
Event
RDS
Check if instance is
encrypted
Enforcement /
remediation actions
Lambda
20
2016/7/20
CloudWatch Eventsによる暗号化の検出
暗号化されていな
かった
EC2
SNS
適用 / 改善のためのアク
ション
CloudWatch
Event
Lambda
インスタンスの暗号化を
チェック
RDS
Enforcing Encryption with Lambda for S3
Not Encrypted
Amazon
S3
• Object creation
• Scheduled event
Object
PUT
Amazon
Lambda
Check if the object is
encrypted
Amazon S3
Alert &
[Encrypt in place or
Delete object]
21
2016/7/20
S3に対するLambdaを使った暗号化の適用
暗号化されていな
かった
Amazon
S3
• オブジェクトの作成
• スケジュール化され
たイベント
Amazon S3
Object
PUT
Amazon
Lambda
インスタンスの暗号化を
チェック
アラートおよび暗号化実施
もしくはオブジェクト削除
Cross region sharing
• KMS keys stay within the region they were created
• This means data is compartmentalized in the region
•
Replication of data to other regions needs to be done considering this factor.
22
2016/7/20
クロスリージョンでの共有
• KMSの鍵は作成されたリージョン内にとどまる
• これはリージョンごとにデータが区分けされることを意味
する。
• 他リージョンへのデータの複製を行う際にはこの事実を
考慮する必要がある。
Strong Story about Most Critical Encryption
Coverage
• Compliance Assurance
• SOC, PCI-DSS, HIPAA, Others
• Regulatory Requirements
• EU Data Protection Directives
• Simplified conversations with regulators, auditors,
and risk managers
• Encrypting everything, always means avoiding
conversations about what is and what is not encrypted
23
2016/7/20
暗号化の適用が強く関係する場面
• コンプライアンス
• SOC, PCI-DSS, HIPAA, Others
• 規制要求事項
• EU Data Protection Directives
• 監査人や規制担当者、リスク管理者などとの対話
• すべてを暗号化する、という単純な話は、常に何が暗
号化されて、何が暗号化されないのか、という議論を
回避してしまうことを意味する
Encrypt all the things?
• Do you encrypt your data today?
• What are the threat vectors that encryption can help
mitigate?
• Do you have any compliance/regulatory
requirements to encrypt your data?
• What types of data are you encrypting?
Find the balance between your obligations for
executive care, cost and complexity
24
2016/7/20
すべて暗号化します?
• 現時点で、あなたのデータを暗号化しています?
• 暗号化によって低減できる、具体的な脅威は何ですか?
• あなたのデータを暗号化することに関して、何らかのコ
ンプライアンスや規制要件がありますか?
• どのようなタイプのデータを暗号化していますか?
業務における義務、コスト、複雑性のバランスをうまくとり
ましょう
Questions
25

Download Report