fbpx

AWS環境向けのゼロトラストアクセスと相互接続

企業がAmazonウェブサービス(AWS)などのクラウドコンピューティングプラットフォームを採用し、データと重要なワークロードをオンラインで移行するにつれて、強力なITセキュリティ基盤を確保しながら、クラウドセキュリティに対処する構造を作成するために必要な手順があります。AWSは、プログラムを開発して組織のクラウド導入の取り組みの触媒として機能するように機能が成熟するように、セキュリティの実装では反復的な開発を可能にする必要があると考えています。尚、ゼロトラストの原理や原則を詳しく知りたい方はこちらもご覧ください。今だけ無料で公開されています。

前書き

AWSは、組織がビジネス目標、リスク管理へのアプローチ、およびクラウドによって提示される機会のレベルを検討することにより、クラウドのセキュリティ戦略を最初に定義することを推奨します。これには、セキュリティ、プライバシー、コンプライアンス、リスク管理機能の開発と実装のためのセキュリティプログラムの提供、および時間とともに継続的に成熟して向上する堅牢なセキュリティ運用機能が含まれます。AWSはまた、運用の厳格さと新機能の構築を組み合わせることで、絶え間ない反復により継続的なセキュリティの改善がもたらされると考えています。

ゼロトラストセキュリティモデルは、運用上の厳格性と新しいセキュリティ機能を組み合わせて、資格情報の盗難、ネットワークベースの攻撃、機密データへの不正アクセスから組織を保護するための1つのアプローチです。AWSでゼロトラストセキュリティを導入することにより、ITマネージャーはネットワークを完全に視覚化し、リソースを制御して、クラウドリソースへの最小限の権限と安全なアクセスを確保しながら、AWSとオンプレミスのアプリケーションおよびサービス全体のネットワークアクセスのすべての側面を制御できます。

AWSとは?

AWSとは「Amazon Web Services」の略称です。Amazonが提供してる100以上を超えるクラウドコンピューティングサービスをまとめて総称した呼び方になります。

クラウドコンピューティングサービスって?

クラウドコンピューティングサービスとは、インターネットを介しサーバーやストレージ、ソフトウェアなどといったシステムサービスを利用することを言います。「クラウド」や「クラウドサービス」といえば聞いたことがある方も多いはずです。このクラウドコンピューティングの最大のメリットとしては、パソコンやタブレットなどといった端末とインターネットが接続可能な環境さえあれば、もともとデバイスが保有している容量などといったものよりも多くの容量を確保できたり、高速なデータベースを利用することが可能になります。このクラウドコンピューティングサービスが誕生する前は、クラウドのような目に見えないものではなく、社内などに設置されるサーバー機器を介して利用するのが一般的でした。これを「オンプレミス」と呼びます。このオンプレミスは、利用を導入する際はサーバー機器を購入しなければならないことや、管理、設置するスペースの確保などを要しました。初期投資のコストがかかることや、設置から導入・利用開始まで時間も要してしまうこともありました。一方で、このクラウドコンピューティングは、サーバーの購入や管理、スペースの確保、導入までのウェイトタイムといった従来のオンプレミスのデメリットを覆し、全ての手間を一切取り除くことが可能になりました。インターネットを接続できる環境さえあれば、即座に使用可能となります。このクラウドコンピューティングが誕生したことによって、手軽さやスピーディーに利用することができるようになりました。

クラウドコンピューティングの種類

クラウドコンピューティングはいくつかに分類され、どの範囲まで包含するのかのでサービスが違ってきます。サービスは以下の3つに分類することができます。

Infrastructure as a Service (IaaS)

インフラのみを担うクラウドサービスです。この上に、各企業で必要なOSやミドルウェア、アプリケーションなどをインストールして利用します。ユーザー側でのシステム稼働が多く、自由がきくのがメリットです。一方で、知識のない方や詳しくない方は設定などが複雑になりますので導入には気をつけてください。

Platform as a Service (PaaS)

ミドルウェアまでを担うサービスです。IaaSではインフラまででしたが、こちらはインフラ設備に加えOSやミドルウェアまでを提供します。データベース環境やアプリケーション実行環境など構築することができ、簡単にソフトウェアやアプリケーション開発を実行することが可能です。あくまで開発を担うかた向けのサービスになります。

Software as a Service (SaaS)

先述したIaaS、PaaSのサービスに加え、アプリケーションまでを担うサービスです。ユーザー側で準備するようなことは不要です。代表的なサービスとしてSalesforceが挙げられます。

AWSを導入したことで可能となること

最大のポイントは何と言ってもスピード感です。このスピード感はビジネスのスピードを加速させ、ビジネスチャンスの拡大や効率化に大きく貢献できます。

以下5つのポイントを提唱しています。

  1. 豊富なサービス
  2. 世界でも最高クラスの運用専門知識
  3. 最もセキュアなセキュリティ
  4. 安全と安心性
  5. 新たなテクノロジーを最速に提供するサービス

AWSのサービス例

先述した通り、AWSはAmazonが提供する100以上のクラウドサービスの総称であって、サービスも数多く存在します。ここでは代表的なサービスを紹介しますので参考にしてみてください。

サーバー環境の構築(Amazon EC2)

ユーザーの必要に応じてスペックを変更することができる仮想サーバーの作成をし、利用できるサービスです。この仮想サーバーの作成はほんの数分程度しかかかりません。仮想サーバーを複数作成することも可能で、仮にハードディスクメモリといったスペックを変更したい場合でも、画面上での簡単な操作のみでシンプルに実行することが可能です。

データ保存とコンテンツの配信(Amazon S3)

データ保存に関しては、保存できる容量やファイルの数に制限がありません。その上、非常に高い恒久性を保持しており、データの消失などといった心配もほぼありません。このAmazon S3条で保存したデータについてはインターネット経由でどこでもアクセスが可能ですので、配信も可能になります。

データベースの利用(Amazon RDS)

MySQLやPostgreSQL、Oracleなどといった主要データベースを画面上で簡単に操作し簡単に作成できるデータベースサービスになります。バックアップなどといった処理も画面上の簡単な操作のみで実行できます。フルマネージドですので、データベースサーバーを管理する手間もかかりませんし、パッチの適用もAmazon側で実行してくれます。

プログラムの実行環境(AWS Lambda)

任意のプログラムを実行できる環境を提供するサービスになります。サーバーの運用負担はありません。このAWS Lambdaを使用することで仮想サーバーなしで任意のアプリケーションやサービスを実行することが可能になります。料金もリクエスト単位での従量制課金ですので無駄な出費もなく、また100万リクエストまでは無料となっていますのでほぼ無料で使用できます。コスト削減には大きく有効的に使用できます。

AWS導入事例

SONY

日本を誇る世界的シェアをも拡大する大手企業。世界首位のゲームやイメージセンサなどといったハードウェア分野を始め、音楽や映像分野など多岐に渡って事業を展開し成功を収めています。中でも、1999年に発売し、人気を獲得したSONYのエンタテイメントロボットの「AIBO」生産と販売を終了したのち、12年後の2018年の1月に新型「aibo」として復活したことは各メディアでも取り上げられました。このロボットのaiboと密接な関係にあるAWSですが、どういったことなのでしょうか?SONYはクラウド環境をAWSのマネージメントサービスとサーバーレスアーキテクチャ機能を全面的に採用しました。IoTセンサーを複数搭載し自律的に稼働することが可能となったaiboは、AWSにおける各サービスと連携しつつ日々進化を遂げています。SONYがAWSを導入する上で最も鍵となったのは最先端のテクノロジーでした。aiboを開発するにあたり最先端のテクノロジーサービスの提供と運用不可軽減可能なマネジメントサービスが必要です。AWSはこれらの条件を満たしていたと言います。

SONYの導入サービス例
  • AWS IoT(産業・消費者・商用ソリューションのためのサービス)
  • AWS AppSync(GraphQL を使用して必要なデータを正確に取得可能とするマネージド型サービス)
  • Amazon Kinesis Video Streams( 動画などを接続されたデバイスから AWS へ簡単かつ安全にストリーミングが可能となるサービス)
  • AWS Lambda(サーバーのプロビジョニングや管理を必要とせずにコードの実行が可能)

花王

日本の大手化学メーカー。世界的に見ても化粧品やトイレタリー企業のシェアランキングはトップ10入りを果たしています。自社Webサイトの運営やインターネット広告、消費者との対話といった花王のデジタルコミュニーケーション活動を推進・支援する部門のデジタルコミュニケーションセンターでAWS が採用されました。花王はコストの削減やグローバルな展開事業、BCPの対応などに向けての準備としてAWS を採用。花王グループが展開する世界各地に所在するグループ会社や販社といった、Webインフラを統合する必要性があると考え、グローバルに展開しているAWS とのことで採用を決定しました。よって、結果的に今後のグローバル展開の基盤を構築することに成功したそう。グローバルに展開している全てのパソコン・携帯用の対外向けWebシステムをAWS に移行しました。採用したことにより、従来と比較して年間のコストを80%削減することに成功し、これまでの数年ごとに必要としていたハードウェアの更新時かかるコストもなくなりました。システムの構築スピードも一気に加速し、AWS の導入の決定後システムの構築から移行まで4ヶ月で完了とのことでした。こちらも、従来はハードウェアの調達から設置、利用開始まで2ヶ月間とかかっていたそう。またAWS の柔軟性にメリットを評価しています。スペックを増減することが可能で、マシンの構成の変更が容易にできるのが強みAWS ですが、必要に応じて最適な環境を構築することが可能なこともメリットの柔軟性の一つと捉えています。

花王の導入サービス
  • Amazon EC2
  • Elastic Load Balancing
  • Amazon S3
  • Amazon RDS
  • Amazon CloudFront
  • Route53

信州大学

AWS は企業だけではなく、教育機関でも採用されています。国立大学法人の信州大学でもAWS の導入を開始しています。信州大学は、クラウドをはじめとしたインフラ調査を実施し、従来の大学センター内での運用スペックよりもAWS クラウドが全ての要素において運用コストが良いとの結論を出しました。中でも、Amazon EC2とElastic Load Balancingの組み合わせによってサーバの冗長構成が容易になったこと、複数のアベイラビリティゾーンが選択できることによってシステム全体の冗長性が確保できるようになったこと、Amazon RDSによってデータベースの運用から解放されたことからの負担軽減を理由に、AWS上へ環境を移行しました。このような柔軟な組み合わせが可能で、コストの削減も実現できることに高く評価をしています。先述したAmazon EC2は、既存のLMS環境の移行をスムーズに実行できた他、Multi-AZを構成することによって従来の学内システムでは不可能だった冗長構成を実現できることに成功しました。また、このAmazon EC2にこれもまた先述したElastic Load Balancing や Amazon RDSを組み合わせることで拡張性が高まり、運用コストも低減した環境を実現し、移行後も問題なく安定した運用を実現しています。

Amazonウェブサービス共有セキュリティモデル

Amazonは、コンピューティング、ストレージ、ネットワーキング、データベースサービスの保護を含むAWSインフラストラクチャのセキュリティを提供します。つまり、Amazonは、ソフトウェア、ハードウェア、およびAWSサービスをホストする物理的施設のセキュリティに責任があります。

ただし、コンピューターシステムとデータをクラウドに移行する場合、セキュリティの責任はAWSとお客様の間で共有されます。AWSは、クラウドをサポートする基盤となるインフラストラクチャの保護のみを担当しますが、顧客は、クラウドに配置したり、クラウドに接続したりするすべてのリソースを担当します。

お客様の管理下にありながら、認証とユーザーアクセス制御による独自のセキュリティを必要とする管理されていないAWSサービスの例には、Amazon EC2、Amazon VPC、Amazon S3 などのAWS Infrastructure as a Service(IaaS)リソースが含まれます。さらに、AWSネットワークモニタリングツールは、異常または無許可のアクティビティと条件、サーバーとネットワークの使用、ポートスキャンアクティビティ、アプリケーションの使用、および不正な侵入の試みを検出できますが、入力と出力の通信ポイントでのみです。

AWSネットワークセキュリティ

AWSネットワークインフラストラクチャは注意深く監視および管理されており、IT管​​理者は各ワークロードに適したセキュリティと復元力のレベルを選択できるため、地理的に分散した、フォールトトレラントなIT アーキテクチャをクラウドリソースに利用できます。

AWSネイティブネットワークファイアウォール(別名セキュリティグループ)とサードパーティの次世代ファイアウォール(NGFW)は、ネットワークの外部境界とネットワーク内の主要な内部境界での通信を監視および制御します。これらの集合的な「ファイアウォール」は、ルールベースのアクセス制御リスト(ACL)と構成を使用して、情報システムサービスを保護します。

ACLまたはトラフィックフローポリシーは、AWSネットワーク全体のトラフィックフローを管理および実施するために、各管理対象インターフェイスにデプロイされます。Amazon Information Securityによって承認されたACLポリシーは、AWSのACL Manageツールを使用して自動的にデプロイされ、管理対象インターフェイスが最新のACLを実施するようにします。

Secure Sockets Layer(SSL)を使用してHTTPまたはHTTPS経由でAWSアクセスポイントに接続することは可能ですが、ネットワークセキュリティの追加のレイヤーが必要なお客様は、Amazon Virtual Private Cloud(VPC)を作成してAWSクラウド内にプライベートサブネットを提供できます。AWS VPCは、ITマネージャーにIPsec仮想プライベートネットワーク(VPN)を使用して、Amazon VPCと顧客のデータセンター間に暗号化されたトンネルを提供する機能を提供します。

他のホワイトペーパーもご覧ください。今だけ無料で公開しています。

Amazon Virtual Private Cloud (Amazon VPC)のセキュリティ

各Amazon VPCは、クラウド内の別個の分離されたネットワークであり、各Amazon VPC内のネットワークトラフィックは他のすべてのAmazon VPCから分離されています。新しいVPCをデプロイする場合、ITマネージャーは各VPCのIPアドレス範囲を選択し、オプションでインターネットゲートウェイ、仮想プライベートゲートウェイ、またはその両方を作成して接続して外部を確立します。

標準のAmazon EC2インスタンスには、Amazon EC2アドレス空間でランダムなパブリックIPアドレスが割り当てられます。さらにセキュリティを強化するために、Amazon VPCを使用すると、ITマネージャーはAWSクラウドの一部を分離して、選択した範囲のプライベートIPアドレスを持つAmazon EC2インスタンスを起動できます。

Amazon VPCサブネットを作成して、インスタンスとサブネットに出入りするIPトラフィックのフローを制御するIPアドレス範囲に基づいて、類似のインスタンスをグループ化することもできます。AWSは、以下を含むさまざまなレベルのパブリックアクセスを提供する構成を持つVPCアーキテクチャテンプレートも提供しています。

単一のパブリックサブネットのみのVPC

インスタンスは、直接インターネットにアクセスできるAWSのプライベートで隔離されたセクションで実行されます。ネットワークACLとセキュリティグループは、インスタンスの受信および送信ネットワークトラフィックを厳密に制御するために使用されます。

パブリックおよびプライベートサブネットVPC

パブリックサブネットは、インターネットからアドレス指定できないプライベートサブネットと組み合わされます。プライベートサブネットインスタンスは、ネットワークアドレス変換(NAT)を使用して、パブリックサブネット経由でインターネットへの送信接続を確立します。

パブリックおよびプライベートサブネットとハードウェアVPNアクセスを備えたVPC

VPCとデータセンター間のIPsec VPN接続は、Amazon VPCのパブリックサブネットインスタンスにインターネットへの直接アクセスを提供しながら、顧客のデータセンターをクラウドに拡張します。この構成により、顧客は企業のデータセンターにVPNアプライアンスを追加できます。

プライベートサブネットのみとハードウェアVPNアクセスを備えたVPC

インスタンスは、インスタンスがインターネットからアドレス指定できないプライベートサブネットを持つAWSのプライベートな分離セクションで実行され、プライベートサブネットをIPsec VPNトンネルを介して企業のデータセンターに接続します。2つのVPC は、2つのVPC内のインスタンスが同じネットワーク内にあるかのように通信できるプライベートIPアドレスを使用して接続できます。VPCピアリング接続は、VPC間、または単一リージョン内の別のAWSアカウントのVPCで作成できます。セキュリティ機能には、セキュリティグループ、ネットワークACL、ルーティングテーブル、および外部ゲートウェイが含まれます。

接続ポリシーを一元管理できずに多くのAmazon VPC間でポイントツーポイント接続を管理すると、運用コストが高くなる可能性があります。AWS Transit Gatewayサービスを使用すると、お客様はVPCとオンプレミスネットワークを単一のゲートウェイに接続し、複数のアカウントとAmazon VPC間でネットワークを拡張できます。

AWS Transit Gateway5を使用すると、中央ゲートウェイから各Amazon VPC、オンプレミスデータセンター、またはネットワーク上のリモートオフィスへのネットワークを作成および管理するために必要な接続は1つだけです。Transit Gateway はハブのように機能し、接続されているすべてのネットワーク全体のトラフィックルーティングを制御します。トランジットゲートウェイに接続されている新しいVPCは、トランジットゲートウェイに接続されている他のすべてのネットワークで自動的に使用できるようになります。

AWSのゼロトラストセキュリティ

ゼロトラスト・セキュリティは、安全なAWSクラウドネットワークアクセスを簡素化し、AWS共有セキュリティ要件を満たすだけでなくそれを超える強化されたセキュリティ機能を提供します。ゼロトラストITセキュリティモデルは、マルウェア標的型攻撃、機密データの不正な持ち出しから組織を保護するために必要な可視性、制御、脅威検査機能を提供します。

AWSにゼロトラスト・ネットワーク・アーキテクチャ(ZTNA)を導入することにより、ITマネージャーはネットワークとリソースを完全に視覚化して、クラウドリソースへの最小限の特権と安全なアクセスを確保しながら、AWSとオンプレミスのアプリケーションとサービス全体のネットワークアクセスのあらゆる側面を制御できます。

ゼロトラストなNaaSのセキュリティモデルの主要なコンポーネントは、ソフトウェア定義境界(SDP)です。Software-Defined Perimeters は、基盤となるネットワークインフラストラクチャに関係なく、ユーザーとそのデバイスからアプリケーションとサービスへの安全なアクセスを可能にし、従業員の特定のグループのみがAWS VPCへの安全でシームレスなアクセスを確保できるようにすることで、「決して信頼せず、常に検証する」というゼロトラストの原則を活用します。

Cloud Security Alliance(CSA)は、ユーザーとユーザーがアクセスするリソースのみの間に1対1のネットワーク接続を動的に作成するネットワークセキュリティモデルに関して、ソフトウェア定義の境界を定義します。コンポーネントは、ユーザーのID、検証などがネットワークリソースへのアクセス許可する前に、そのデバイス、および役割を含んでいます。

ネットワークアクセスへの認証と承認に基づくこのネットワークセキュリティモデルは、米国国防総省コミュニティによってしばらく使用されており、「知る必要がある」アクセスとして知られています。セキュリティモデルでは、すべてのサーバーまたはクラウドリソースをリモートアクセスゲートウェイの背後に隠し、ユーザーが認証を受けて承認されたサービスを利用できるようになる前にアクセスを取得する必要があります。Software-Defined Perimetersの背後にある革新は、デバイス認証、IDベースのアクセス、動的にプロビジョニングされた接続の統合です。

Software-Defined Perimetersは、高度にスケーラブルでカスタマイズ可能なクラウドベースのネットワークハブを提供し、レガシーネットワークアプライアンスやオープンソースVPNの理想的な代替手段となります。最も重要なことは、SDPは、攻撃者からアプリとリソースを隠すマネージドネットワークサービスソリューション、およびAWSとユーザーのデバイスとアプリの間の暗号化された接続を必要に応じて提供することです。現在VPNを利用している企業はゼロトラストネットワークへの移行をただちに検討しましょう。

VPNがなぜテレワークに適していないのか、詳細をホワイトペーパーにまとめております。
今だけ無料で公開していますので、是非ご覧ください。

AWSのためのゼロトラストソリューション

AWSとそのパートナーは、可視性、監査性、制御性、俊敏性に関する組織のセキュリティ目標の達成に役立つ多くのツールと機能を提供しています。ゼロトラストなNaaSのセキュリティの高度なソリューションは、シンプルでコスト効率の高いアクセス制御と、中小企業から大企業までの組織に完全なネットワークリソースの可視性を提供します。

Amazon Advanced Technology Partnerとして、ソリューションは安全で準拠しており、AWS Well-Architectedフレームワークに準拠し、セキュリティ、高可用性、サポート、AWSのコスト、およびAWSでの自動化のベストプラクティスを実装しています。このソリューションは、管理されていないAWSサービスを安全に使用する責任がある場合に、完全なネットワークセキュリティソリューションを提供します。ネットワーク構築機能により、マルチリージョンで、AWSおよびオンプレミス環境に相互接続され、速度が最適化された、柔軟でカスタマイズされたネットワークの展開も可能になります。

すべてのデータが制御された、AWSクラウド環境からとAWSクラウド環境への両方のキーを使用して完全に暗号化されたセキュアシェル(SSH)とリモートデスクトップ(RDP)を介して組織の重要なWebアプリケーションに完全に保護され、エージェントレスでアクセスできるAWSリソースへのネットワークとアプリケーションアクセスの両方にゼロトラストセキュリティを提供します。

IDとアプリケーションアクセスのセキュリティを強化するために、すべてのユーザーに対する最小特権アクセスと組み込みの2要素認証、IdP統合を備えています。さらに、Azure ADとActive Directory LDAP)、およびAWS Transit Gateway との相互接続を備えています。

サービスとしてのゼロトラストネットワークは、AWSのコアセキュリティサービスを超えて独自のセキュリティを提供する必要がある状況で、管理されていないAWSサービスを安全に使用できるようにします。高度なセキュリティ機能には、費用対効果の高いコンプライアンス、セグメント化されたリソースアクセス、実用的なインテリジェンス、シンプルなクラウド移行、安全なリモートアクセス、ユーザーとネットワーク間(従業員がオフィスで、リモートで、または外出先で作業しているかどうか)のエンドツーエンドの暗号化が含まれます。

現代の分散型労働力のための安全なネットワーク、クラウド、およびアプリケーションアクセスを簡素化するように設計されたサービスとしてのゼロトラストネットワークです。従来のネットワークセキュリティテクノロジーとは異なり、ゼロトラストおよびSoftware-Defined Perimeterモデルを組み込んだ受賞歴のあるSaaSソリューションは、優れたネットワーク可視性、シームレスなオンボーディング、および主要なクラウドプロバイダーとの自動統合を提供します。

従業員がオフィスの内外を問わず、統一されたネットワークセキュリティを保証します。中堅企業からフォーチュン500までの幅広いビジネスに対応し、世界の主要なインテグレーター、マネージドサービスプロバイダー、チャネルリセラーとのパートナーシップを確立しています。

ゼロトラストの原理や原則を詳しく知りたい方はこちらのホワイトペーパーもご覧ください。

SNSでもご購読できます。