AWSのセキュリティ対策について

• ISO7階層モデル

• 各階層でのAWS対策

まず、ISO７階層モデルというものがあります。

L7：アプリケーション
L6：プレゼンテーション
L5：セッション
L4：トランスポート
L3：ネットワーク
L2：データリンク
L1：物理

ソフトウェアでの制御がL4より上
ハードウェアとネットワークでの制御がL3より下
になります。

■L1、L2はユーザは何もしなくていいのです。
これはAWSのデータセンターで働いてる人がなんとかしてくれてます。

■L3の領域は
VPCで対策ができます。

• サブネット（プライベートネットワーク）を作る
  

• ネットワークACL（AccessControlList）で制限する
  ネットワークACLは基本許可なので、拒否する設定を書きます。
  

■L4の領域は
セキュリティグループで守ります。
サブネット同士間のファイアーウォールのみ許可したりします。

■L5の領域は
SSL サーバー証明書を設置する対策です。

管理方法は2つ
①CertificateManger
②IAM

設定箇所は３つ
①CloudFront
②EC2
③ELB

ELBにSSLを設置する項目として２つあります。
①証明書
②SSL Ciphers
Ciphersとは、どのような暗号アルゴリズムを使うかを決めます。
バージョンはSSLv2を使います。
SSLv3があったけど、脆弱性があったので使用しません。

• 基本EC2に繋ぎたいならパブリックIPは付与せず、ELB経由で繋ぐこと。
  

• どうしてもEC2にGlobalで繋ぎたかったらVPN接続をすること。
  

というルールを守るとかなりセキュアになります。