SBN What is the AWS Shared Responsibility Model?
2021/12/02 SecurityBoulevard — 多くのクラウド・プロバイダーと同様に、AWS は 責任共有モデル (Shared Responsibility Model) を基に運営されている。AWS は ‘of’ the cloud のセキュリティに責任を持ち、AWSの顧客は ‘in’ the cloud のセキュリティに責任を持つ。AWS は、顧客の重要な情報やアプリケーションを保護するために、プラットフォームのセキュリティを優先しており、インフラのセキュリティに責任を持つ。
AWS は、不正や悪用を検知し、顧客に通知することでインシデントに対応する。その一方で、顧客は、AWS 環境が安全に構成され、データが社内外の信頼できない相手と共有されないことを確認する。そして、ID を持つ人間やボットなどによる AWS の悪用を識別し、コンプライアンスとガバナンスに基づくポリシーを実施する責任がある。
AWS Shared Responsibility ‘of’ the Cloudとは?
AWS は、顧客による AWS の利用形態を完全には制御できないため、コンピューティング/ストレージ/ネットワーク/データベースなどのサービスを侵入から守ることで、AWS インフラのセキュリティを維持する。AWS は、AWS サービスをホストするソフトウェア/ハードウェア/物理的な設備のセキュリティに責任を負う。また、AWS DynamoDB/RDS/Redshift/Elastic MapReduce/WorkSpaces などのマネージド・サービスのセキュリティ設定についても、AWS が責任を負う。
AWS における顧客の責任とは?
AWS の顧客は、非管理型とされる AWS サービスを安全に利用する責任がある。たとえば、AWS は多要素認証などの、AWS への不正アクセスを防ぐための多層セキュリティ機能を構築しているが、AWSで 最も広範な IAM 権限を持つユーザーたちが、多要素認証を利用していることを確認するのは顧客の責任である。
さらに、AWS サービスのデフォルト・セキュリティは、最も安全性が低い状態に設定されていることが多い。したがって、誤って設定された AWS セキュリティ設定を修正することは、ユーザー組織が AWS セキュリティにおける責任を果たすための、最も容易に解決できる課題となる。
以下は、AWS クラウドの管理とセキュリティに役立つチェック・リストである。
パブリック・クラウドの責任 チェックリスト
Responsibility | Customer Responsibility | AWS Responsibility |
---|---|---|
Preventing or detecting when an Azure account has been compromised | ✓ | |
Preventing or detecting a privileged or regular Azure user behaving in an insecure manner | ✓ | |
Business continuity management (availability, incident response) | ✓ | |
Protecting against Azure zero-day exploits and other vulnerabilities | ✓ | |
Providing environmental security assurance against things like mass power outages, earthquakes, floods, and other natural disasters | ✓ | |
Providing physical access control to hardware/software | ✓ | |
Configuring Azure Managed Services in a secure manner | ✓ | |
Ensuring network security (DoS, man-in-the-middle (MITM), port scanning) | ✓ | ✓ |
Ensuring Azure and custom applications are being used in a manner compliant with internal and external policies | ✓ | ✓ |
Updating guest operating systems and applying security patches | ✓ | |
Restricting access to Azure services or custom applications to only those users who require it | ✓ | |
Configuring Azure services (except Azure Managed Services) in a secure manner | ✓ | |
Preventing sensitive data from being uploaded to or shared from applications in an inappropriate manner | ✓ | |
Database patching | ✓ |
ユーザー企業が AWS へと移行し、また、カスタム・アプリケーションの構築を続けると、新たなセキュリティ境界が ID へと変化するために、直面する脅威の形態も変化し、オンプレミス・アプリケーションの古い世界のように隔離されたものではなくなる。 これらの多様な脅威を防ぐことは、AWS の顧客の責任となる。 では、どのようにデータを保護すれば良いのだろうか?
AWS 環境を保護するための準備はできているだろうか?
この記事では、たくさんのことを書いてきたが、これらは AWS を利用する際に理解しておく必要のある責任の、ほんの一部に過ぎないという現実がある。責任の分担/クラウド・セキュリティ/プライバシー権利/ポリシーの施行、AWS サービスの仕組みについて質問がある場合は、 Sonrai Technical Team のセキュリティ専門家に質問してほしい。
他のクラウド・サービス・プロバイダーのベスト・プラクティスについて興味のある方は、Azure Shared Responsibility Model Explained ebook を参照してほしい。
Sonrai のスポンサー記事のようですが、要点を整理してくれるので、とても助かります。Sonrai は Azure にも対応しているようで、ちょっと混線ぎみですが、同じ視点を持つ記事が Microsoft Azure のサイトにもありました。なお、文中の security ‘of’ the cloud と security ‘in’ the cloud は、日本語にするとかえって分かりにくいので、そのままにしました。この表現は、AWS のサイトでも使われているものです。それと Documents ページには、NIST 800-144 : Guidelines on Security and Privacy in Public Cloud Computing の対訳も置いてありますので、よろしければ、ご利用ください。