« 機密情報を保存するAmazon S3バケットへのアクセスをホワイトリストで許可するポリシーの作成方法 | メイン | 保管データ暗号に関する3つのアナウンス »

Amazon VPCを利用してPCI DSSの伝送路におけるデータ暗号化要求に対応する方法

伝送路データの暗号化に対するPCI要求は、プライベートネットワークに対するものとパブリックネットワークに対するもので異なります。AWSインフラの論理的に分離された一部分であり、現在のデータセンターネットワークをクラウドへ拡張することが出来る Amazon Virtual Private Cloud (Amazon VPC)は、正しくデザインされていれば、Payment Card Industry Data Security Standards (PCI DSS)によって認定されているプライベートネットワークと考えることができます。

この記事では、Amazon VPCによって提供される論理的な分離を理解することの重要性を振り返り、AWSインフラ内外でのセンシティブデータの通信を必要とするPCIワークロードのためのデザインを行う際に考慮すべき幾つかのキーポイントについてお話します。また、追加のセキュリティ対策のために、Amazon VPCによって提供されるネイティブな分離についてもお伝えします。

Amazon VPCは、AWSのお客様がPCI DSSアセスメントスコープ内のワークロードをデプロイする際のに利用できるアーキテクチャ上の構造物です。Amazon VPC内では、Amazon VPC外のホストと通信するために、インターネットゲートウェイまたは仮想プライベートゲートウェイを持つことが必須です。加えて、AWSによってデザインされたLayer2ネットワークアーキテクチャには、不正な、或いは修正が加わったアドレスがAmazon VPCの境界をまたがってホップ出来ないよう強制するためのチェックを行うマッピングサービスがあります。VPC内では、ネットワークアクセスコントロールリスト(NACL)とセキュリティグループをホストへのインバウンドおよびアウトバウンドのトラフィックをフィルターするために利用することが出来ます。これらのコントロールは、伝送中のデータを傍受したり、迂回させたりすることを困難にし、Amazon VPCのプライベート性を例証するものです。

移動中のセンシティブデータの暗号化はPCI DSS バージョン3.1の要件4およびその付随要件に定義されています。DSSでは、承認されていないユーザーアクセスの影響を受けやすい、”オープンパブリックネットワーク"を通した、クレジットカードデータの伝送に適用される要件を明確にしています。PCI DSS およびPCI 用語集は、パブリックネットワークを、WAN、インターネット、或いはパートナーネットワークを通じて、組織間のネットワークを相互につなぐものとして記載しています。ー Amazon VPCのような software-definedなクラウドの要素についての記述は有りません。
 
典型的には、そのようなパブリックネットワークは、共有ネットワークへのゲートウェイとして動く管理された入出力ポイントを公開しており、共有ネットワーク内のルーティングはプロバイダによって管理されます。また、入出力ポイントとして、Customer-Premises Equipment (CPE)と呼ばれる占有の物理ハードウェアが設置される場合もあります。一方で、software-defined なAmazon VPCは、全ての物理層を抽象化し、論理的な分離機能を提供します。加えて、要件 4.1.c のように、PCI DSSの検証手続きでは、PCI Qualified Security Assessor (QSA)が"実際のインバウンドおよびアウトバウンド通信のサンプルを観測する"ことを求めています。お分かりの通り、このような手続きはアセスメントの複雑性を増大させ、結果として、アセスメントを完了するために必要とされるコストと時間を増大させます。

伝送中データの暗号化は、一般的に2つのエンドポイント間でTransport Layer Security (TLS) を利用することによって行われます。しかしながら、伝送中のend-to-end暗号化は、アプリケーションパフォーマンスに影響を及ぼしたり、管理のオーバーヘッドを増大させる場合があります。例えば、Elastic Load Balancing (ELB)を利用するようデザインされ、全てのティア間でのデータ転送を暗号化するよう構成された標準的なウェブアプリケーションは、次の図に示すように、最大5箇所の暗号化/復号化ポイントを持つことになります。

Webアプリケーションファイヤーウォール(WAF)を加えると、暗号化/復号化のポイント数は7ヶ所に増えます。

他のアプリケーションやAWSサービスとの追加の接続を考えれば、この数はより大きくなります。それぞれの追加の暗号化/復号化ポイントで、鍵と証明書の管理オーバーヘッドが加わります。暗号化/復号化ポイントの数自身は、制限される要素ではありませんが、組織はアプリケーションパフォーマンスの要求や、彼らが請け負わなければ行けないSSL証明書/鍵の管理オーバーヘッドの量に応じてその数のバランスを取らなければいけません。

AWSは、移動中のセンシティブデータの暗号化については可能な限り全ての箇所において実装することを推奨しています。組織はまた、Amazon VPCは本質的にVPC内のコンポーネントを他の全てのVPCから隔離しているという事実を利用すべきです。Amazon VPCによって提供される分離は、以下のうようなデザイン要素によってさらに強化されます:

  • パブリックサブネットの数の制限。Amazon VPCの中のパブリックサブネットはPCI DSSにおけるDMZと同一です。
  • パブリックサブネットに配置されたネットワークアドレス変換 (NAT)を通じたインターネットへの外向きトラフィックルートとその他の全てのホストのプライベートサブネットへの配置
  • ネットワークトラフィックの分離に対して追加の安全策を提供するインスタンスレベルの送信元/送信先チェックの有効化
  • PCI DSSの要件を満たすよう設定されたセキュリティグループとNACLの利用
  • Amazon VPCのパブリックサブネット内のフロントエンドELBレイヤーもしくはWAFレイヤーで、TLSコネクションを終端し、プライベートサブネット間の通信ではnon-TLSコネクションを利用する
  • リスクベースの意思決定を教育し、実行するためにPCI QSAやあなたの組織内の関係者にリスク管理あるいはセキュリティ管理の初期プロセスに従事させる

Outside-the-boxアプローチ(訳注:既存の考えにとらわれない、発想の転換といったような意味)として、データをWebサーバにいる間に処理し、次のティアに転送する前にセンシティブデータをコードで暗号化することを選択する組織があります。復号化キーへのアクセスは復号化リクエストを扱う特定のアプリケーションサーバに許可されます。このスキームは公開鍵を使ってクライアントサイドのコードでWebサーバへ転送する前にセンシティブデータフィールドを暗号化することによって、ユーザーサイドにさらに拡張することができます。組織は秘密鍵のアクセスをコントロールし、復号化する権限をもつアプリケーションコンポーネントまでの全ての経路で転送中のデータを暗号化することができます。これらの方法は、全体のデータフローの中で復号化/暗号化オペレーションの数を減らしながらデータの秘匿性を維持するのに役立ちます。

Amazon VPCは、AWSリソースのセットに論理的な分離を提供するようデザインされています。お客様は、しばしばセグメンテーションやネットワークコントロールに対するPCI DSS要件に対応するためのキーデザインエレメントとしてAmazon VPCを信頼しています。PCI DSSは、プライベートネットワークと比較して、パブリックネットワークにおけるセンシティブデータの転送により多くのコントロールを適宜要求します。組織は、Amazon VPCによって提供される論理的な分離と、ここで記述したような暗号化/復号化のオペレーションを減らし、コンプライアンス要求とアプリケーションパフォーマンスとのバランスをとるデザインにより利益を得るテクニックを活用することが出来ます。AWS PCIコンプライアンスについてのさらなるについて情報は、AWS PCI DSS Level 1 FAQを参照して下さい。

 

PCI DSSについては、PCI Security Standards Council公式サイトを訪ねて下さい。

 

Balaji (翻訳はSA布目が担当しました。原文はこちら)

コメント

Twitter, Facebook

このブログの最新情報はTwitterFacebookでもお知らせしています。お気軽にフォローください。

2018年4 月

1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30