[ホーム] > [AWS 環境で不正利用から身を守るための設定事項のまとめ]
このページでは無料枠などを使用してAWS を試使用する場合の設定推奨事項を説明します。無料とは言え、無料枠を超過した場合は期間内でも支払う必要があります。もしセキュリティ対策を怠りアカウントを不正利用され、結果として不正利用された分の請求を受ける可能性もあります。きちんとセキュリティ対策を行うことがクラウド使用ではとても重要です。
多要素認証(MFA)を有効化する。2018年現在では仮想MFA(スマホアプリ)とハードウェアMFA(専用デバイスを購入)がある。
AWS アカウントは権限がフルなので普段は使用しない。別途権限を制限したIAM ユーザを作成し、このユーザで運用する。
以下を設定する。
アクセスキーなし
初期で権限はなし
MFA
IPアドレスによるアクセス元制限
(*)IAM の読み方は"アイアム" で間違いない。AWS のセミナーで講師がそう発音していたため。
権限を限定したグループを作成する。作成したIAMユーザをこのグループに追加する。
パスワードのポリシーを強化する。
IAM ユーザに請求書へのアクセスを許可
デフォルトでは AWS アカウントのみ請求書へのアクセスが可能。AWS アカウントは原則として使用しないため、IAM ユーザへも許可を行う。
設定誤り、EDos (Economic Denial of service) 攻撃によるリソースの想定外の消費、不正ログインによりリソース消費(マイニング)を検知するために CloudWatch による請求額の閾値監視は必要。
EDos :攻撃先の経済的破産を狙った不正な大量のアクセス。CPU使用率やネットワーク帯域が従量課金の場合、この攻撃を放置すると莫大な請求が発生する可能性あり。
Amazon から利用者へ何らかの原因で連絡が付かない場合、代替の連絡先を登録しておくとそちらへ連絡が行われる。登録するのが望ましい。
AWS のネットワークは SDN(Software Design Network) です。Firwall も ルーターもスイッチも仮想的な機器です。だからといってセキュリティの設定が不要という訳ではありあせん。セキュリティグループとNACL でパケットフィルタを行ってください。
AWS、IAM アカウントへのケア以外にも EC2インスタンスのアカウントの保護も必要です。これらのアカウントの管理は完全に利用者側の責任です。パスワードの管理は厳重に行う必要があります。
EC2インスタンスを作成すると標準では PEM キーを作成しアクセスと行います。(作成は必須ではありません)。このPEMファイルも厳重に管理する必要があります。
OSの"Windows Firewall"機能、Linux 系の iptables や Firewalld によりEC2インスタンスごとのパケットフィルタリングを行います。
Windows Update のパッチ、RedHat の hotfix その他 OSのパッチをタイムリーに適用します。忘れていけないのは AMI (Amazon Machine Image) のパッチです。古い AMI からマシンイメージを生成すると、思わぬ古い脆弱性ありの OS が起動してしまう可能性があります。
[ホーム]