2009.03.19
Amazon EC2のセキュリティ
サービスを開始するに当たり、最も気になるのがセキュリティ。
日本企業の方もそこを重視することが多いのではないでしょうか。
そんなわけでAmazon EC2が発表しているセキュリティ関連を調べてみました。
2009年2月25日「クラウドコンピューティング フォーラム」
クラウド・コンピューティングに移行する上で気になるのはセキュリティだが,AWSは安全なのか。
米アマゾン・ドット・コムは,既に9000万人分のクレジットカード番号を預かっている。そのため,これまでもセキュリティには力点を置いてきた。AWSを開始したときにも,これまでと同様に,セキュリティを強固にすることに執着した。現時点で,金融機関のユーザーもAWSのセキュリティを信用して使っているので,既に優れたセキュリティを提供できていると考える。
データや、社内管理については大丈夫な気がします。
EC2やS3をインターネットではなく,よりセキュアなネットワークで使うことはできるか。
ユーザーのパソコンと,EC2/S3間の通信を暗号化することは可能だ。また,米国や欧州では,サード・パーティーがVPNなどのサービスを提供している。
インターネットではなくすることは不可能ですよね。どうやってもインターネットの通信ですから。
その上で暗号化するHTTPSだとかVPNだとか使うしかないですよね。
2008年9月公開「Amazon Web Services:Overview of Security Processes」
これは全部英語なのでかなり適当に訳します。
Host Operating System
AWSの管理者が業務上必要な場合は、拠点サーバにSSHで接続するには個々に割り当てられた暗号キーが必要です。またアクセスはログへ記録されています。
まぁ、ここはAmazonの社内管理なので問題ない気がします。
Guest Operating System
仮想マシンは完全にお客様の管理になります。AWSの管理者がお客様の仮想マシンにアクセスすることはできません。全部自己管理で。
かなり適当に書いてますがそういうことです。
Firewall
Amazon EC2はすごいファイアウォールを提供しています。通信をデフォルトでは拒否しているので、お客様で通信を許可するポートを開けなければいけません。プロトコル、ポート、送信元IPで設定できます。
基本的なファイアウォールは提供していますよー。
ちょっと適当になってきました。
気を取り直して一番重要なネットワークセキュリティです。
Distributed Denial Of Service (DDoS) Attacks
AWSはAmazon.comと同じインフラの上にあります。一般的なDDoS攻撃は限界まで通信を使用したりします。しかしAmazonの帯域幅はプロバイダが提供するインターネット帯域幅を上回る帯域幅を保持しているので大丈夫です。
帯域幅だけで言いきっちゃうとゾンビPCを利用したDDoS攻撃はどうするんでしょう。まぁ、あんなものを防ぎきるのは不可能ですよね。
Man In the Middle (MITM) Attacks
AWSのAPIはすべてSSLで守られています。
だらだらと説明書いてるけどSSLで守られてるから大丈夫との主張らしい。そのSSLを偽装しちゃったりするのもMITM攻撃じゃないのか。。。?
IP Spoofing
Amazon EC2のインスタンスは偽装したIPでの通信はできません。AmazonはファイアウォールでIPやMACアドレスが自分のものだけ通信を許可します。
まぁ、そりゃ不特定多数に使わせるんだから、これくらい当然か。
Port Scanning
ポートスキャンはAmazon EC2 Acceptable Use Policy (AUP)に違反します。また、スキャンしたとしてもデフォルトではすべて通信を拒否する設定になっているので無意味です。ただお客様が設定しているセキュリティーグループによっては返すものもあります。
やっちゃだめなんだ。。。
利用者のみなさん、やっちゃだめですよー。
Packet sniffing by other tenants
他の仮想マシンからプロミスキャスモードを使用してのパケットの盗聴は不可能です。ハイパーバイザーが他のアドレスのパケットは転送しないからです。ARP cache poisoning攻撃なんかもEC2では機能しません。Amazon EC2では十分な保護を提供しています。
けっこう厳重なんですねぇ。
悔しいですが大丈夫そうです。
そんなわけで、基本的には大丈夫そうです。
あとは普通のインターネットサーバなので、各自のセキュリティ対策が重要ということですね。
