Upload
kohei-hoshi
View
964
Download
0
Embed Size (px)
Citation preview
組織利用における MFA 管理方法を考える
2
自己紹介
• 星 幸平 / Hoshi Kohei• 株式会社スカイアーチネットワークス• 好きな AWSサービス IAM、 CloudFormation、 AWS CLI
• 最近のハマり事ゴルフ(コース未デビュー)テニスポケゴー(赤 26)、油そば
3
どんな会社?
サバカン屋(サーバー管理 )
大阪
NY
大連
東京サバ缶活動
4
業務風景サーバー購入 サーバー構築
サーバー運用
5
はじめに
MFA つかっていますか?Yes? No?
6
導入しましょう
ルート(特権)アカウントには必ず適用しましょう※ できれば IAM ユーザーにもね!
7
MFA ( AWS Multi-Factor Authentication )とは?• AWS Multi-Factor Authentication (AWS MFA) は、 AWS 環境のセキュリティを非常に高いレベルに強化するサービスです。 AWS MFA は、 AWS アカウント、およびこのアカウントで作成した個別の AWS Identity and
Access Management (IAM) ユーザーに対して有効にできます。• 通常の認証( ID パスワード、 API アクセス)に加えて時刻ベースのワンタイムパスワードによる2段階認証を実装できる
8
MFA を導入する理由
• 特権アカウントは全権限を所有しているため、漏洩リスクがどでかい• 過去、漏洩した特権アカウントの悪用が話題となった
• 特権アカウントはアクセスキーを削除して MFA で保護、 IAM で権限を使い分けて運用するAWS アカウント IAM
全機能使用可 AWS リソースは基本的に利用可能( 一部例外有り ※ 1)契約関連の操作不可(解約、サポートプランの変更、通信設定、AWS アカウントの情報変更)
※1 IAM をサポートする AWS サービスhttp://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html
9
組織で複数アカウントを管理しているケース• アカウント数は数十~数百単位で管理している• プロジェクト、エンドユーザー、案件毎にアカウントが分かれている• 一括請求(コンソリデーティッドビリング)で請求を管理している• MFA 管理方法がアカウント、案件毎に違う
規模が大きくなると管理の手間がかかる(はず)
10
要件(希望)
• ルート(特権)アカウントへの MFA 導入は必須• 出来れば IAM ユーザーの導入も可能
• MFA にアクセスする権限を管理したい(決められた人だけが MFA を使用)• セキュリティを担保しつつ複数拠点からリモートで MFA アクセスしたい• 可用性、信頼性を考慮したい( US に電話連絡して再設定するリスクを極力除外したい)
11
ハードウェア MFA? or 仮想 MFA?
ハードウェア MFA 、仮想 MFA から色々選択できます※SMS MFA はプレビュー版のため除外
12
ハードウェア MFA を検討してみる
キーホルダー型かカード型
13
保管場所
• セキュリティの高い場所を選定して保管• 会社の金庫、銀行の貸金庫等
• 高温多湿、物の出入りの激しい過酷な環境は避ける• 温度、湿度、圧力などの環境要因により、クロックがずれたりデバイスが壊れたりする
14
正しく保管しなかった結果
15
収納について
複数個管理するのはつらい形的に収納性がイマイチ(複数個管理に向いていない)カードバインダーで収納は解決できそう
16
カード型はどうなのか• 同期について
• 早い時は 1~2ヶ月で同期切れになる• 定期的に再同期をする必要がある
• 最悪 US のサポートに電話連絡する必要がある• 時刻ずれを再同期を前提とした運用設計が必要
• リモートアクセス、可用性、信頼性について• 物理デバイスという性質上、難しい
• コスト• 20 ドル * 個数分• 管理工数、ロケーション代等
• そもそも購入できない• 販売停止中、再販見込み未定? (2016年 9月現在 )→
17
仮想 MFA (スマートフォン)を検討してみる
• 代表的なアプリは Google Authenticator と Authy• RFC 6238 – TOTP に対応した実装ソフトウェアであれば利用可能
18
仮想 MFA (スマートフォン)を検討してみる
• 同期について• スマホ本体の時刻同期が出来ていれば再同期の心配はない
• コスト• アプリケーションは基本無料• ハードウェアの調達代(スマホ本体等)、保管場所
• 管理方法• 基本的に持ち歩くことを想定しないため、安全な場所で厳重に保管• ハードウェア MFA と同じような管理方法
19
仮想 MFA (スマートフォン)で要件を満たせるのか• 収納について• 1 ハードウェアで複数のアカウントでトークンを発行可能
• MFA アクセス可能な権限を管理したい(決められた人だけがアクセス)• 保管場所の運用次第で可能
• セキュリティを担保しつつリモートでも MFA アクセスしたい• リモートアクセス自体は出来なくもないが・・・• リモートアクセスを想定した端末ではない
• 可用性、信頼性 を考慮したい(壊れて再設定というリスクを極力除外したい)• スマホ端末自体の信頼性は機種によって異なる• バックアップは可能(アプリ、スマホ OS )
20
仮想 MFA (ソフトウェア型)を検討してみる• RFC 6238 – TOTP に対応した実装ソフトウェアであれば利用可能※ 1• WinAuth と et-otp 等
※- RFC 6238 - TOTP: Time-Based One-Time Password Algorithmhttp://tools.ietf.org/html/rfc6238
21
仮想 MFA (ソフトウェア型)を検討してみる
• 実行条件を満たしていればどの端末でも実行可能• Windows 、 Linux 、 Mac 等・・・• et-OTP は java の実行環境があれば起動可能• WinAuth は Windows のみ対応
• 同期について• 起動端末側の時刻同期が出来ていれば再同期の心配はない
• コスト• ソフトウェアは基本無料• ハードウェアの調達代(ストレージ、実行環境)
22
仮想 MFA (ソフトウェア型)で要件を満たせるのか• MFA アクセス可能な権限を管理したい(決められた人だけがアクセス)• 端末側、保管先のストレージ側等で権限管理の選択肢は多い
• セキュリティを担保しつつリモートでも MFA アクセスしたい• 色々手段がある、可能
• 可用性、信頼性 を考慮したい(壊れて再設定というリスクを極力除外したい)• ファイル形式かつサイズが小さいのでストレージ等に保管しやすい
( 数百バイト )
23
実際に管理方法を検討する• 仮想 MFA (ソフトウェア型) WinAuth を採用• 利用端末は Windows
• MFA 保管場所は社内基幹システムのストレージサーバー• RAID1以上の冗長性を保ちたい
• 管理者のみが MFA 保管場所にアクセス可能• Windows の AD でアクセス権限を管理
• 複数拠点からのリモートアクセスが可能• オフィス、自宅等アクセスを想定
• DR もある程度考慮したい• 別ロケーションに MFA の exeファイルをバックアップ
24
運用してみた
①exeファイルにアクセス ②WinAuth起動
③トークン発行④ルート ( 特権 ) アカウントログイン
※ 設定ファイルを S3 にバックアップ
25
運用してみてわかったこと• 同期切れの心配がなくなった
• 今のところ同期が切れたことはない• リモートアクセスが便利
• 便利な反面、運用の注意は必要である• 特にリモート端末側のセキュリティ対策(運用方法も)は怠らない!
• MFA デバイスの管理から解放された• 物理 MFAやスマホの購入、物理故障等々の管理は結構大変• その代わりアクセス権の管理と構成の運用が必要になった
• ついでにディザスタリカバリの対策にもなった• 遠隔地へのバックアップが容易• 災害等で保管場所への物理アクセスが不可能になるリスクを回避
26
まとめ
• 仮想 MFA が必ずしも最適解というわけではない• ハードウェア MFA 、仮想 MFAそれぞれの特徴を理解して選定する
• 利用ケースに応じて正しく MFA の運用方法を選択する。• 今回の紹介例も最強の運用方法ではない。セキュリティ要件、規模、予算毎に適切な運用方法を検討しましょう
ご清聴ありがとうございました。