オンプレミスからAWSへの移行時のセキュリティ対策

はじめに

オンプレからAWSへの移行時のセキュリティ対策についてどうやって対策すればいいか、学習とともにまとめました。

目次

• 認証とアクセス制御
• データ移行
• ネットワークセキュリティ
• AWSセキュリティ対策サービス
• まとめ

認証とアクセス制御

オンプレからクラウドへデータを移行する際の暗号化やグローバルでのデータの保管を行うにあたって国ごとのコンプライアンスが違うため確認が必要です。
またデータ移行後のデータアクセス権限の適切な付与などアクセス管理が必要です。AWSでは認証や権限についてもサービスが充実していて、特にIAMと呼ばれるサービスは、認証するにあたって非常に重要なサービスです。IAMとはAWS Identity and Access Managementの略で、IAMユーザー、ロール、ポリシーなどいくつか種類があります。
IAMユーザーではAWSアカウント内に新たにユーザーを作成します。最初にログインするアカウントはルートユーザーで、すべての権限を持っています。ただセキュリティの観点で言えば、アクセス権限は必要最小限が望ましいので、こちらのアカウントは極力使用せずに、新しいユーザーを作成し運用を行ってください。またルートユーザーについては2要素認証や操作ログを定期的に確認をしましょう。
IAMユーザーは、ユーザー毎にアクセスできる場所の設定を行ったり開発者用などユーザーをグループ化し、アクセスをグループで制限することも可能です。IAMロールではユーザーではなく、リソースであるEC2等にアクセス制御を行うことができます。
下記ではIAMロールのAssumeRoleクロスアカウント接続について執筆していますので興味があれば覗いてくれると嬉しいです。
https://www.skyarch.net/blog/assumerole%e3%82%af%e3%83%ad%e3%82%b9%e3%82%a2%e3%82%ab%e3%82%a6%e3%83%b3%e3%83%88%e6%8e%a5%e7%b6%9a/

データ移行

AWSではAWS Direct Connectのように専用線を繋ぎ安全にデータを移行するサービスや、AWS Snowballのようなローカル環境でのデータ移行も可能です。実際にウクライナの紛争時にAWS Snowballを使用し民間企業のデータをクラウドへ移行しました。紛争時でもデータ移行できるなど安全性は確保されています。オンラインでのデータ移行も可能でAWS DataSync、S3 Transfer Accelerationなどのサービスもあります。
下記情報を参考にしてください。
https://aws.amazon.com/jp/cloud-data-migration/
またAWS Storage Gatewayを使用することでハイブリット型クラウド運用を行うことができ、オンプレのデータをクラウドに移行し使用することも可能です。

ネットワークセキュリティ

AWSではVPCと呼ばれる仮想ネットワークの中にサーバーなどを構築していきます。イメージとしてはデータセンターでの運用と置き換えると分かりやすいかもしれません。実際に構築するとデフォルトでどの通信も可能となるため、アクセス制御が必要です。アクセス制御にはセキュリティグループ、ネットワークACLと呼ばれるファイアウォールの設定します。この二つの違いは、ホワイトリストかブラックリストか、ステートフルかステートレスかの違いがあります。またサブネットかEC2インスタントに設定するかの違いもあります。

ネットワークACL

サブネット単位での設定ができます。ステートレスなので、接続の状態を保持しません。通信は入る通信（インバウンド）と出ていく通信（アウトバウンド）の二つがあり、両方を許可しないとアクセスができません。またブラックリスト形式なので拒否したいIPの設定をすることが可能です。

セキュリティグループ

EC2インスタンスに設定ができます。ステートフルなので、接続の状態を保持します。なのでインバウンドのみ設定をすることでアクセスすることが可能です。またホワイトリスト形式なので許可したいIPアドレスの設定が可能です。

AWSセキュリティ対策サービス

AWSでは様々なセキュリティサービスが存在します。今回はAWS Security HubとAWS WAFについて取り上げます。

AWS Security Hub

AWS環境がセキュリティのベストプラクティスに則っているかを確認することができます。CISベンチマークと呼ばれる世界的に認められたセキュリティのベストプラクティスを用いてチェックをすることができます。細かな内容は参考文献をご覧ください。もう一つの機能としてAWSのセキュリティサービスやサードパーティー製品の検出結果を一元管理することができます。これにより様々なセキュリティサービスを導入しても、AWS Security Hubを使用することで簡単にログ等確認できます。

AWS WAF

AWSでWAFを使用することができます。WebアプリケーションやWebサイトなどを運用する場合はWAFの導入を強く推奨します。なぜなら、脆弱性を突いた攻撃の中にWAFで防げるものが多いためです。AWS WAFではルールを設定し、攻撃を遮断します。導入時に適切なルール設定と、誤検知対応を行う必要があります。

まとめ

オンプレミスからクラウドに移行するには沢山のセキュリティ対策や構築方法を学ばないといけません。
スカイアーチではクラウド移行の実績もあり、様々な構築を行ってきたノウハウがあります。クラウド環境のお悩みなどありましたら、お気軽にスカイアーチまでお問い合わせを！！