blog

DeNAのエンジニアが考えていることや、担当しているサービスについて情報発信しています

2019.12.23 DeNAインフラノウハウ発信プロジェクト

本日(12/23)発売:雑誌「WEB+DB PRESS Vol.114」の特集 1「AWS/GCP セキュア化計画」を執筆しました

by Yuma Takahashi

#infrastructure #security #aws #google-cloud #public-cloud #IaC #network #infra-quality

こんにちは、IT 基盤部の髙橋です。
私は、DeNA が提供するエンタメ、ヘルスケア、ライブ配信、スポーツ、AI サービスのインフラを見ており、そのグループのマネージャをしています。また、クラウド移行におけるセキュリティ環境整備のチームのリーダーも兼任しています。
今回機会をいただき雑誌「WEB+DB PRESS Vol.114」の特集 1「AWS/GCP セキュア化計画」を執筆しました。発売日は本日 12 月 23 日です。

https://gihyo.jp/magazine/wdpress/archive/2020/vol114

このブログでは、特集の概要と簡単な補足をします。

特集の概要

特集の目次は次のとおりです。

  • 第 1 章 クラウドのセキュリティ対策
  • 第 2 章 アカウント/プロジェクトのセキュア化
  • 第 3 章 IAM のセキュア化
  • 第 4 章 ネットワークのセキュア化
  • 第 5 章 オブジェクトストレージのセキュア化
  • 第 6 章 セキュリティ監査

本特集では、AWS/GCP での安全な設定の指針を解説しています。
紙面の都合上すべてのセキュリティサービスを取り上げてはいませんが、特に重要なアカウント/プロジェクト、IAM、ネットワーク、オブジェクトストレージのセキュリティについて記載しています。最後に、セキュリティで必須となる監査についても述べます。
各セキュリティサービスの機能を整理して記載しているのにくわえ、設定のベストプラクティスについても紹介しています。

対象読者

本特集では、AWS/GCP のセキュリティに関して、重要なサービスを取り上げ、基本から体系的に学べる内容になっています。 主に以下のような読者を想定しています。

  • クラウド(AWS/GCP)を安全に利用したい
  • クラウドセキュリティのベストプラクティスが知りたい
  • セキュリティマネージドサービスを利用して工数を削減したい

クラウドのセキュリティについて、あまり考えたことがない人にとってもわかりやすいように心がけて書いています。 セキュリティについてしっかり対策しているという人には、考慮漏れの事項がないか、またはよりよいサービスはないか、といった視点で見ていただければと思います。

特集の見どころ

各章の見どころについて簡単に紹介します。

第 1 章 クラウドのセキュリティ対策

本章では、次の内容を記載しています。

  • クラウド事業者のセキュリティに対する考え方
  • クラウド特有のセキュリティ
  • クラウドのセキュリティに関するよくある問題

セキュリティはクラウド事業者、利用者の双方にとって最優先事項です。利用者は、クラウド事業者とのセキュリティの責任範囲を理解する必要があります。
本章を参考に、クラウドの特性を押さえたセキュリティ設定の全体像を把握してください。

第 2 章 アカウント/プロジェクトのセキュア化

本章では、次の内容を記載しています。

  • アカウント/プロジェクトの運用ルール
  • マネージドサービスを利用したアカウント/プロジェクトの管理効率化
  • アカウント/プロジェクト作成の自動化

クラウドでは、アカウントやプロジェクトで各種リソースを管理します。サービスや環境ごとにアカウント/プロジェクトを分ける場合、展開するサービスが増えてくると管理するアカウント/プロジェクトの数も増えていきます。
本章を参考に、多数あるアカウント/プロジェクトを効率的に安全に管理してください。

第 3 章 IAMのセキュア化

本章では、次の内容を記載しています。

  • アクセス制御の種類
  • 認証情報の扱いのベストプラクティス

クラウドリソースへのアクセス権限は IAM(Identity and Access Management)で制御します。IAM の権限の種類を理解し、適切に権限管理をしないと、意図しないアクセス許可がなされ、セキュリティ侵害につながります。
本章を参考に、IAM の適切な設定方法を理解して、安全な運用を実現してください。

第 4 章 ネットワークのセキュア化

本章では、次の内容を記載しています。

  • クラウドのネットワークの特性
  • プライベート通信の実現方法
  • 外部攻撃の防御や脅威検出をするサービスの紹介

クラウドでは、VPC(Virtual Private Cloud)を利用して簡単に仮想ネットワークを構築できます。また、ファイアウォール機能を持つサービスを利用して簡単にアクセス制御ができます。外部からの攻撃への対策や脅威の検出が可能なマネージドサービスもあります。
本章を参考に、ネットワークサービスの特性を押さえた設定をし、安全なアクセス制御を実現してください。

第 5 章 オブジェクトストレージのセキュア化

本章では、次の内容を記載しています。

  • オブジェクトストレージのアクセス制御
  • オブジェクトストレージのアクセスログの取得
  • オブジェクトストレージの保存データの暗号化
  • オブジェクトストレージの改竄防止

クラウドのオブジェクトストレージとは、AWS の S3 や GCP の Google Cloud Storage を指します。
オブジェクトストレージにはさまざまな種類のデータを保存できるため、機密情報が保存されることもあります。そのため、アクセス制御やデータ暗号化を適切に理解し設定しないと、機密情報の漏洩につながる恐れがあります。
本章を参考に、オブジェクトストレージのアクセス制御の種類を理解し、アクセスログ記録、データ暗号化、データ改竄防止によって安全なデータ管理を実現してください。

補足:先日の AWS re:Invent 2019 で、S3 の新たなアクセス制御の方法として S3 Access Points が発表されたので、そちらも参照してください。
https://docs.aws.amazon.com/AmazonS3/latest/dev/access-points.html

第 6 章 セキュリティ監査

本章では、次の内容を記載しています。

  • 監査の基準となるセキュリティ標準
  • アカウント/プロジェクト全体の操作履歴や設定履歴の記録
  • 監査項目の集中管理と可視化

セキュリティ設定は一度実施したら終わりでなく、その設定が問題ないかを継続的に確認する必要があります。クラウドには、アカウント/プロジェクト全体の操作履歴や設定履歴を記録できるサービスがあり、監査の助けになります。
本章を参考に、セキュリティ標準に従ったセキュリティ監査を行い、結果の集中管理と可視化によって、セキュリティ監査を効率的に実施してください。

おわりに

担当編集者の稲尾さんを始め、レビューをしてくださった AWS/GCP のみなさま、弊社のメンバ、本特集に関わってくださったすべての人に心より感謝申し上げます。
DeNA では、本特集で紹介している内容も参考にし、セキュリティレベルの高い状態をより効率的に維持できる方法を日々考えています。
最後に、読者のみなさまには、本特集を参考にクラウド上で安全なセキュリティ設定を行い、サービスを安心して提供していただければ幸いです。

最後まで読んでいただき、ありがとうございます!
この記事をシェアしていただける方はこちらからお願いします。

recruit

DeNAでは、失敗を恐れず常に挑戦し続けるエンジニアを募集しています。