AWS初心者向けWebinar「利用者が実施するAWS上でのセキュリティ対策」資料公開
こんにちは、ソリューションアーキテクトの舟崎です。
2015/12/17に開催されましたAWS初心者向けWebinar「利用者が実施するAWS上でのセキュリティ対策」の資料が公開されました。
また、Webinarで頂いたご質問で、時間の都合上回答できなかったものがございましたので、その質問内容と回答をお伝えいたします。
Q1: Amazon CloudWatch Logsのエージェント導入によるインスタンス負荷はどの程度なのでしょうか?
お客様側で取得するログの量により異なりますが、Amazon CloudWatch ログエージェントからログデータが送信される間隔は、デフォルトでは Linuxベースの場合5 秒、Windowsの場合で15秒となっています。そして、この値はお客様が設定できます。なお、設定については、5秒ないし15秒以上で設定されることをお勧めします。
Q2: Amazon EBS, Amazon S3において、暗号化を実施した場合は、具体的にどのような脅威から保護されるのでしょうか。EBS暗号化を実施したとしても、攻撃者にEC2内にログインされた場合はEBS内のデータにもアクセス出来てしまうのでは、と考えています。S3暗号化の場合も、IAMユーザのパスワードが漏えいした場合は、データは守れないと認識しています。
EBSについては、ゲストOSからは透過的にアクセスできますので、攻撃者がAmazon EC2内にログインできている場合のケースにおいては防ぐことはできません。また、暗号化キーの管理はIAMユーザで更新、無効化、削除、使用ポリシーの定義、使用状況の監査が行えますので、IAMユーザの権限の設定は適切に行っていただく必要があります。暗号鍵に関する権限のないユーザが、不正にデータにアクセスするような脅威を防ぐことができます。また、KMSでは一元キー管理が可能ですので、暗号化キーの有効/無効を簡単に切り替えることができます。
なお、AWS KMSのセキュリティコントロールは、SOC1, SOC2, SOC3, PCI DSS, ISO27017, ISO27018のコンプライアンススキームによって検証および認定されています。
Q3: Amazon EC2でのセキュリティソフトとしてオススメはありますか?McAfeeとかTrendMicroなど
AWSのMarketplacceでは、EC2上で利用可能なセキュリティ製品を紹介しています。
また、ESPカタログには、日本のパートナーが取り扱うセキュリティ製品を紹介しています。
https://aws.amazon.com/jp/solutions/partner-central/esp-catalog/
コメント