自社のセキュリティポリシーとの整合性
システムがAWSで稼働することが確認できたら、次に自社のセキュリティポリシーとの整合性をチェックしよう。
最初に目を通すべきは、AWSコンプライアンスだ。
皆さんにもお馴染みのISO27001(ISMS)以外にも、より実効性高いSOC1-3、クレジットカードによるトランザクションを扱う際に必要なPCI-DSSなど、第三者機関が審査する多数の認証をAWSが取得していることを確認できるだろう。
「AWSリスクとコンプライアンスのホワイトペーパー」は、上記の認証も含めて、皆さんが利用を検討する上で必ず確認すると思われる内容(例えば、データセンターの場所や訪問が可能か)が、網羅的に説明されている。
次に、AWSクラウドセキュリティでは、AWSのサービスコンポーネントを用いて、セキュリティが確保されたシステムを設計/運用する上で必要となる情報を確認することができる。AWSクラウドセキュリティホワイトペーパーやAWSクラウドセキュリティのベストプラクティスなどは必ずチェックしておこう。
オンプレミスとクラウドとの違いを理解する
前述のコンプライアンスやセキュリティに関するホワイトペーパーを読むと、従来のオンプレミスやホスティングサービスとの違いに気づくはずだ。共有責任モデル(Shared Security Responsibility Model)は、AWSと利用者の責任範囲が明記されており、AWSに任せてよい部分と利用者側で考慮が必要な部分がわかるだろう。AWSに任せておけば、万事都合よくやってくれるというわけではないので注意しよう。
AWSには「IAM」という非常に強力なアカウント/権限管理の仕組みが実装されている。単なるAWSの利用ユーザーを管理するだけではなく、AWSの各種サービスコンポーネントに対して細かく権限管理をすることができる。
例えば、開発者と運用者が分かれているようなケースでは、開発者は開発環境の仮想サーバ(EC2)を起動/停止することはできるが、本番環境のEC2は起動することしかできないといった権限管理も簡単に実装できる。オンラインストレージ(S3)に、EC2上のログファイルを定期バッチでアーカイブしているようなケースでは、S3への書き込み権限のみをEC2自体に権限付与する(IAMロール)といった権限管理も可能である。
IAMだけを取り上げても、オンプレミスでは実現が困難な、非常に強固だが柔軟性のあるセキュリティが実現できることがわかるだろう。従来のオンプレミスとの違いを理解し、クラウドの良さを最大限に活かしたシステム/運用設計が肝要である。