どうもPナッツです。
CLF学習2日目でテキスト53Pまで進みました。
今日はセキュリティ分野の基礎である「責任共有モデル」を学習。
最初はよく分からなかったんですが、調べながら読んでいくと意外とシンプルな考え方でした。
責任共有モデルとは
AWS側とユーザー側の責任が明確に分かれているモデルの事を責任共有モデルというらしい。
全部の責任をAWSが持ってくれるわけではないってことですね。
感想
まあ当然のことというか、例えば今僕が使用しているブログタイトルswellを利用して悪質なページを作ったとして、
その責任がswell制作者に行くわけないのと同じってことですね。
具体的な範囲
じゃあ具体的にどこからどこまでをAWS側として持って、ユーザー側として責任を持つんでしょうか。
ざっくり、AWSは「クラウド本体のセキュリティ」、ユーザーは「クラウド内のセキュリティ」をもつらしいです。
責任共有モデルでまず覚えること
AWS
→ クラウドのセキュリティ
利用者
→ クラウド内のセキュリティ
試験ではかなり重要そうなので、この考え方だけでも覚えておきたいです。
これで分かったら理解の天才だったんですが、僕にはわからなかったので詳しく書きますw
「クラウド本体のセキュリティ」が指す範囲
以下がすべてAWSの責任範囲らしいです。
- ハードウェア
- リージョンやアベイラビリティゾーン、エッジロケーションといったデータセンター
- マネージドサービスのソフトウェアに含まれる各種サービス管理(アップデートやセキュリティパッチ)
- ハイパーバイザーのセキュリティ
たぶん3つ目が一番難しいですね。そもそもマネージドサービスってなんやねんって感じです。
「AWSが出しているサービスの総称」かなと思っていたんですが、調べてみたところ「AWSが出しているサービスの運用(責任)範囲」みたいな意味合いっぽいです。
具体的なマネージドサービスについては後々出てくるらしいのですが、ぱっと見でどんなのか知っときたいのでAIに画像出してもらいました。
画像を見ると、
RDSやS3はAWS側が運用してくれる一方で、
EC2はOS管理など利用者側の責任も残るようです。
だから責任共有モデルを理解するうえでは、
「マネージドサービスかどうか」が重要になりそうですね。
「クラウド内のセキュリティ」が指す範囲
以下がユーザーの責任範囲らしいです。
- IDとPW管理
- ルートユーザーの管理
- APIキーの管理
ルートユーザーは普段は使わずIAMユーザーを作成して利用するのがセオリーな様です。
IAMユーザーも適切に権限付与することが重要ですね。
個人利用でも、必要以上の権限を与えない方が安全そうです。
APIキーはアクセスキーとシークレットアクセスキーで構成されていてAWS CLIやAWS SDKというサービスを操作するための認証で使用されていたみたいです。
現在は流出の危険性などから使用は推奨されておらず、IAMロールが推奨されているようです。
なにが便利なのか分からないので画像作ってもらいました。
まじでIAMロール便利じゃないか!
最初は「アクセスキーで良くない?」と思ったんですが、
- 認証情報を埋め込まなくていい
- 一時的な権限なので安全性が高い
という理由を見ると、推奨されるのも納得でした。
感想
APIキーは組み込み型なので更新が入るたびにデプロイしないといけないのではないか、となるとそりゃ面倒ですね笑
IAMロールをつかうと組み込み必要ないし、一時的な認証なので比較的安全ってことでAWSさんかゆいところに手が届くサービス考えるなあと思いました笑
APIキーを使った認証方法が練習問題に出て、しっかり間違えたんで一応残しておきますw
上記以外にも基本的にユーザーが操作できるところ・サードパーティ製品のセキュリティ対策はユーザーの責任だということも注意ですね。
AWSさんのセキュリティ管理は何してんの?ざるな管理してんじゃないだろうな。と思う人はまずいないと思いますが、
一応AWS Artifactというサービスで第三者の検査レポートを提供しているらしいので気になったら見てみても良いかもしれないです。
僕はAWSさん信頼してるので見ないかも・・・w
困ったときどこ見ればいいの
セキュリティ対策どうすればいいのか分からないですよね。
僕みたいな人でも万全な状態に出来るように手厚くサポートがあります。
ナレッジセンター
AWSユーザーが技術的な課題や質問に対する悩みを解決できる場所
AWS re:Postというコミュニティサイト内にあるらしいです。
セキュリティーセンター
AWSのセキュリティ対策や機能に関心がある人が見るサイト
困ったときに見るというより、AWSのセキュリティ対策を知りたいときに見る場所っぽいですね
AWS公式ブログ
AWSに関する最新情報、アップデート、セキュリティ情報を提供するブログ
ここが一番見ることが多そう
セキュリティブログ
セキュリティ分野に特化し最新のセキュリティ情報とソリューションを公開している専用ブログ
まとめるとこんな感じです!
上記サービスではないですが、もし不正なものを見かけた場合はAWS Trust&Safetyチームが対応してくれるらしいのでどんどん連絡しましょう!
最後に
今日の3行まとめ
- 責任共有モデルはAWSと利用者の責任範囲を分けた考え方
- ルートユーザーは普段使わずIAMユーザーを利用する
- アクセスキーよりIAMロールが推奨される
少しずつですがAWSのセキュリティの考え方が見えてきました。
責任共有モデルはプラクティショナー試験に求められる条件の1つにも入っているくらい重要な箇所だと思うのでしっかり対策したいです。
マネージドではないサービスの責任とか出してきそうな雰囲気ですねw
また、今回からまとめ問題みたいなのを最後に付ける事にしました。
生成AIを使えば簡単に問題が作成できるので、どんどん問題出してもらってアウトプットしていきましょう!
自分も頑張ります。
ではまた!
まとめ問題
理解度チェックとして問題を作ってみました!
復習がてら挑戦してみてください。
問題1
AWSの責任共有モデルにおいて、AWS側が責任を持つものとして最も適切なのはどれでしょう?
A. IAMユーザーの権限設定
B. APIキーの管理
C. データセンターの物理セキュリティ
D. ルートユーザーの管理
問題2
責任共有モデルでまず覚えるべき考え方として正しい組み合わせはどれでしょう?
A. AWS:クラウド内のセキュリティ、利用者:クラウドのセキュリティ
B. AWS:クラウドのセキュリティ、利用者:クラウド内のセキュリティ
C. AWS:すべてのセキュリティ、利用者:なし
D. AWS:ハードウェアのみ、利用者:それ以外すべて
問題3
普段の運用で推奨されるユーザーの使い方として適切なのはどれでしょう?
A. ルートユーザーのみを利用する
B. IAMユーザーを作成して利用する
C. アクセスキーのみを利用する
D. すべてのユーザーに管理者権限を与える
問題4
AWSが現在推奨している認証方法として適切なのはどれでしょう?
A. アクセスキーとシークレットアクセスキーの長期利用
B. パスワードの共有
C. IAMロールの利用
D. ルートユーザーの常用
問題5
次のうち、利用者側の責任に該当するものはどれでしょう?
A. ハイパーバイザーの管理
B. リージョンの物理設備管理
C. マネージドサービスのセキュリティパッチ適用
D. APIキーの管理
答えはコチラ
問1:C
問2:B
問3:B
問4:C
問5:D
コメント