Comments
Transcript
クラウド・セキュリティー概要 渋谷テクニカル・ナイトセッション 2010年1月 日本アイ・ビー・エム
クラウド・セキュリティー概要 渋谷テクニカル・ナイトセッション 2010年1月 日本アイ・ビー・エム システムズ・エンジニアリング株式会社 システムズ・マネージメント 百瀬 孝三 CISSP ([email protected]) 概要 クラウドの特性から生じる新たなセキュリティー・リスクと対策を、 4つのTopicに整理してお話しします。 Topic1 セキュリティー・リスク 標準化・ガイドライン オフサイト オンディマ ンド クラウド サービス Topic2 仮想化セキュリティー Topic4 クラウド運用管理 従量課金 Page 2 仮想化 資源共有 Topic3 マルチテナンシー Web ベース (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. 目次 はじめに Topic1 セキュリティー・リスクと標準化・ガイドライン Topic2 仮想化セキュリティー Topic3 マルチテナンシー Topic4 クラウドの運用管理 登録商標 Page 3 (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. はじめに Page 4 (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. クラウド・サービスのフレームワーク SPI(Software-Platform-Infrastructure)モデル スケールアウト クラウド 処 理 析 散 解 ・ ・分 析 速 分 高 アプリケーション・ドメイン 理 ン 処 ョ シ ース ク ザ タベ 他 ン ー eb ラ の W ト デ そ ン ト・ モ デ ル Platform-as-a-service (PaaS) ロ イ メ Infrastructure-as-a-service (IaaS) 参考:「Cloud Security and Privacy」 Mather, Kumaraswamy & Latif O’REILLY Page 5 デ プ サービス・ デリバリー・ モデル Software-as-a-service (SaaS) Public Hybrid Private サーバー クラウド (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. IBM Smart Business クラウド・ポートフォリオ Page 6 (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. Topic1 セキュリティー・リスクと 標準化・ガイドライン Page 7 (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. セキュリティーがSaaSを利用しない理由になっている 総務省の調査報告: ASP・SaaSを利用しない理由 参照: 総務省 平成20年度 通信利用状況調査(企業編) http://www.johotsusintokei.soumu.go.jp/statistics/pdf/HR200800_002.pdf Page 8 (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. クラウドにおけるセキュリティーの課題、事故 法規制、業界基準への対応 EUデータ保護指令, 米国パトリオット法, 電子証拠開示(米国eDiscovery) PCI DSS, HIPPA, FISMA, COBIT, ISMS, SAS70 TypeII クラウド・データ消失の事故 MicrosoftのT-mobile向けクラウドでユーザデータ消失 データバックアップサービスにおけるサーバ障害が原因で連絡先、予定表、 写真などの個人データが消失した。 (2009/10/10 USA) http://www.itmedia.co.jp/enterprise/articles/0910/13/news079.html 情報漏洩の事故 Twitter幹部のGmailのパスワードを盗み、twitterの機密情報が漏洩 Gmail、PayPal、Apple/ MobileMe、Amazon、AT&Tなどへのアクセスを通じて、ク レジットカード番号、取引先のコンタクト、ミーティング報告書、転職/入社希望者の 履歴書などを入手 http://journal.mycom.co.jp/news/2009/07/17/013/index.html Page 9 (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. クラウドの特性上、特に注意すべきセキュリティー事項 法令順守 ・法規制への対応 ・基準、認証、監査への対応 ・知的資産の所有権保護 可用性 ・稼働率保障とペナルティー ・障害時、災害時対策 ・問合せ、報告対応 データ保護 ・情報漏えい対策、テナント間のデータの隔離 ・クラウドへのデータ登録、サービス終了時のデータ消去 ID・アクセス管理 ・特権ユーザーのアクセス制御 ・認証・認可方式、ID連携方法 アプリケーション・セキュリ ティ ・セキュアなSDLC (Software Development Life Cycle) ・DoS、DDoS、EDoS(Economic DoS) 監査証跡 ・監査ログ取得と保管、テナント別の提供 インシデント・レスポンス ・テナント別のインシデント・レスポンス対応 事業継続性 ・提供ベンダーの倒産、合併、転換時のシステム/データ移行 ・アーカイブや、コピーされたデータの消去 Page 10 (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. 標準化動向 Open Cloud Manifesto 250以上の企業・団体によるクラウドのオープン化に関する支持声明 google,amazon,salesforce.com,microsoftなどは参加していない DMTF Open Cloud Standards Incubator クラウド相互運用性のためのセキュリティー標準仕様策定 IBM, Sun, Microsoft, Intel, Cisco, AMD, VMware, Citrix, Hitachi 他 CSA: Cloud Security Alliance 「Security Guidance for Critical Areas of Focus in Cloud Computing」 Qualys,eBay,salesforce.com, GoodHarbor Consulting, PGP,Visa,Sun,McAfee 他 Jericho Cloud Cube Model Page 11 クラウドとのセキュアな連携のために、クラウド・モデルを定義 (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. 政府のガイドライン 総務省「ASP・SaaS における情報セキュリティ対策ガイドライン」 経済産業省「SaaS向けSLAガイドライン」 経済産業省「アウトソーシングに関する情報セキュリティ対策ガ イダンス」 総務省の「データセンターの安全・信頼性に係る情報開示指針」 「ASP・SaaS 安全・信頼性に係る情報開示認定制度」 財団法人 FMMCで 活用されている NIST(National Institute of Standards and Technology:米国 標準技術局) クラウドのセキュリティーに関するプレゼンテー ションを公開 ENISA(EU Network and Information Security Agency) クラウ ドにおけるセキュリティー・リスク・アセスメント ガイドを発行 Page 12 (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. IBMセキュリティー・フレームワーク ビジネスの視点から、6つのITセキュリティー・ドメインを定義 ID,アクセス制御ポリシーの統合管理 特権ユーザーの管理、監査 IDフェデレーション、SSO クラウドのデータ・クラシフィケーション データー登録、転送、保存時のセキュリティー 暗号鍵の統合管理 セキュアなイメージ管理 セキュアなアプリケーション開発とプロセス ポリシーベースの信頼ドメイン マルチテナンシー 仮想化インフラ・サービス 定期的な脆弱性検査 物理と論理のID/アクセス管理システム 強化された物理データセンター IBM Whitepaper http://www.redbooks.ibm.com/redpapers/pdfs/redp4614.pdf (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. Page 13 Topic2 仮想化セキュリティー Page 14 (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. 仮想環境における新たなセキュリティー脅威 従来の脅威に加えて、仮想環境特有の新たな脅威がある 表記 特権の拡大 不正使用・誤操作 管理 VM VMの放置 VMのポリシー違反 モビリティー時の情報漏洩 移動先での脆弱性 App App App OS OS OS VM間内部通信が監視できない VMMの改竄 Hypervisor 共有資源の帯域占有 リソース共有による情報漏洩 Hardware Page 15 新たな脅威 従来の脅威 クロスサイト・スクリプト SQL/XMLインジェクション マルウェア DoS ルートキット ウィルス なりすまし 不正アクセス 盗聴 (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. 仮想環境に対するソリューション(従来) ネットワーク型およびホスト型 FW,IPSによる保護 NW,OS,アプリに対するマルチレイヤー・セキュリティーを実現 VM間の内部通信は従来のネットワーク型セキュリティー機器ではモニターできない ホスト型Firewall,IPS Mgmt. VM Hypervisor App App App OS OS OS Virtual Switch Hardware 放置VMの誤起動や、 ポリシー違反VMへの 対応が困難 Virtual Switch VM間の内部通信は、 ネットワーク型FWでは モニターできない ネットワーク型Firewall,IPS Page 16 (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. 仮想環境に対するソリューション(New) IBM Virtual Server Security for VMware vSphere 筐体上の特権VM(SVM)として稼動 VMwareと連携してVM間の内部通信をモニター IPS、FW,Hypervisorの保護、vNAC、Vmotion先へのポリシー強制が可能 ゲストVMのOSに依存したセキュリティー用にエージェントを提供 Mgmt. VM App App OS OS SVM Virtual Switch VMsafe Hypervisor Virtual Switch コンテキスト・エージェント ポリシー違反VMの 検知と切断が可能 VM間の内部通信の モニターと保護が可能 Hardware Page 17 (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. IBMの長期ビジョン:仮想信頼ドメイン(TVD) Trusted Virtual Domain ポリシーに基づき仮想ドメインに分離する仕組み ポリシー(管轄、暗号化、認証、プラットフォーム保証、コンプライ アンスなど)に基づくアプリケーション実行環境間の検証 ドメイン間の分離(Hypervisor,OS,J2EEレベルなど) 稼働プラットフォーム 上でのドメイン間の強 制分離 ドメインAの セキュリティー ポリシー ドメインBの セキュリティー ポリシー sHype (Secure Hypervisor) 認証・暗号化による 通信の保護 vTPM (Virtualizing the Trusted Platform Module) プラットフォームの完 全性検証、ポリシーに 基づくリモート検証 Page 18 (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. Topic3 マルチテナンシー Page 19 (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. マルチテナンシーとは シングル・インスタンスで複数テナントにサービスを提供する SaaS型のソフトウェア・アーキテクチャーのこと クラウドでは複数のテナントがサービスを共有するため、テナン ト間のセキュリティー確保が重要となります このTopicでは、 「複数テナントをサポートするためのインフラ構 成」について、要件、パターン、考え方をご紹介します Page 20 (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. レイヤーの視点でみたマルチテナント対応 7つのパターンが考えられる 物理レベル VMレベル ミドルウェアレベル アプリレベル 仮想サーバ マルチMWインスタンス マルチAPPLインスタンス App App App App OS OS OS App MW MW MW OS MW MW MW App OS App App App App1 App2 App3 MW MW MW MW OS OS OS Hypervisor Hardware HW HW HW 仮想OS App App シングルMWインスタンス App MW MW MW Application T1 T2 T3 シングルAPPLインスタンス T1 T2 T3 Application Middleware Middleware OS OS vOS vOS vOS OS Page 21 (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. 実装レイヤーの比較 どのレイヤーでテナント境界を実現するかにより、要件のトレードオフがある 大規模テナント、個別要件が高い場合はVMレベルの分離が有効 中小規模テナント、標準化されたサービスはMW,アプリレベルの分離が有効 要件 物理 VM MW アプリ 分離 テナント間の境界強度 テナント別の可用性、パフォーマンスの保証 高い 低い セキュリティー テナント間の情報漏えい、干渉からの保護 強い 弱い カスタマイズ テナント別カストマイズの自由度 高い 低い 障害回復 テナント別バックアップ、障害対応の容易性 容易 複雑 保守性 テナント別更新または共通更新 個別 共通 コスト テナント当たりのシステム・コスト 高い 安い 俊敏性 プロビジョニングに要する時間 遅い 速い スケーラビリ ティー 多数の小規模テナントをサービスする能力 不向 有効 大規模テナントへの対応 有効 不向 Page 22 (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. Tierの視点でみたマルチテナント対応 インフラの階層(Tier): プレゼンテーション層、ビジネス・ロジック層、データ層など Tier内の各ノード毎に実装レイヤーを選択する フロントエンド セキュリティー プレゼンテーション ビジネスロジック データ テナント1 テナント2 テナント3 TAM FW XML GW LB 運用管理 Page 23 WS Portal IHS WAS DB2 LOGサーバ 運用管理サーバ TSAM,TPM (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. マルチテナント実装方式の選択例 各Tierを構成するノード毎に実装レイヤーを選択した例 Tier ノード フロントエンド セキュリティー FireWall 物理 VM MW アプリ 説明 ○ FWポリシー設定で対応 XMLGW ○ テナント別インスタンス 認証 ○ テナント別インスタンス LDAP ○ テナント別DITサブツリー Policy ○ ポリシー管理アプリを開発 プレゼンテーション Portal ビジネスロジック WAS データ DB 運用管理 LOG ○ アプリでテナント別にログ収集 運用管理 ○ テナント別スケジュール機能の実装 テナント別管理者ロール RBAC制御 Page 24 ○ テナント別の仮想ポータル ○ マルチテナント対応のアプリ開発 テナント別にDBを構成 ○ (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. (参考)Tivoli Access Managerのマルチテナント実現方法 サーバー分離構成 Policy Policy,LDAP,WebSEALをテナント毎に分離 WEBSEAL テナント1 複数ドメイン構成 テナント間で、Policy、LDAPを共有 WebSEALは複数インスタンス構成 LDAPはツリーを分離 TAM共有構成 テナント2 テナント1 テナント2 WEBSEAL WEBSEAL LDAP ACL DB Policy ACL LDAP DB Web Policy ACL ACL Web WEBSEAL LDAP DB テナント間で、Policy,LDAP,WebSEALを共有 session timerやthread制御、ポリシー管理は共通になる Policy ACL テナント1 WEBSEAL LDAP Web DB テナント2 Page 25 (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. (参考)LDAPのマルチテナント実現方法 テナント別にLDAPサーバを分ける T1 T2 T3 テナント別にLDAPツリーを分ける T1 T2 T3 テナント別に参照する属性を分ける 各テナント用に属性を区別する T1 T2 T3 Page 26 (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. (参考)DB2のマルチテナント実現方法 テナント別にDBまたはテーブルを分ける T2 T1 T3 テーブルを共有し、ROWレベルのアクセス制御で分離する TENANTID XMLカラム T1 ・・・ ・・・ T2 ・・・ ・・・ ・・・ ・・・ TENANTID KEY DATA DATE ・・・ T1 101 data1 2007-7-7 ・・・ T2 102 data2 2008-1-1 ・・・ ・・・ ・・・ ・・・ または Shared XSD schema <xsd:element name= <xsd:element name= minOccures=0 : テーブルを共有し、LBAC(Label based Access Control)で分離する テナント毎にDB2 connectするユーザIDを分け、IDに紐づいたPolicy、RULEベースの制御を行う T1 T2 T3 Page 27 DB2LBACRULES SecurityPolicy Shared Table DB2SECURITY LABEL KEY DATA DATE ・・・ LABEL1 101 data1 2007-7-7 ・・・ LBAEL4 102 data2 2008-1-1 ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. Cloudにおけるマルチテナント・パターンの活用 クラウド・デリバリー・モデルに応じて、クラウド提供者と利用者の責任範囲が 異なる クラウド提供者は、クラウド・サービスのマルチテナンシーを実現 クラウド利用者は、クラウド・サービス上に実装する実サービスのマルチテナ ンシーを実現 Cloudタイプと利用者・提供者の担当範囲 Private Cloud Public Cloud Cloudタイプ Private Cloudの 提供範囲 SaaS PaaS 物理 VM OS Page 28 アプリ Public Cloudの提供範囲 IaaS 占有(シングル・テナント)クラウド サービスのマルチテナント対応 MW Cloud利用者の構築範囲 クラウドのマルチ・テナント対応 サービスのマルチテナント対応 (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. Topic4 クラウドの運用管理 Page 29 (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. 当Topicで紹介する内容 クラウドにおけるサービス・ライフサイクル管理 クラウドにおける運用管理ロール クラウドにおけるID管理、権限管理 クラウドのサービス・レベル管理 クラウドにおけるセキュリティー・ガバナンス クラウド間の相互運用性の確保 Page 30 (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. クラウド・サービス・ライフサイクル管理 クラウドにおけるIT管理は3つのレイヤーで考える事ができる IT管理プロセス(従来のITIL) クラウドサービスライフサイクル管理 プロビジョニング、メータリング、モニタリング、イメージ管理など Page 31 クラウド・インフラ管理 (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. クラウド・サービス・ライフサイクル管理の実装 Page 32 (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. Security and Cloud Computing IBMのクラウド・アーキテクチャー・モデル Page 33 (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. 仮想プライベート・クラウド 各テナントに割り当てられたリソースを、テナント自身が仮想プライベート・クラ ウドとして運用・管理するモデル どのレイヤーまでを管理するかはXaaSのモデルにより異なる サービス 消費者 サービス 消費者 仮想プライベート・クラウド Service Service サービス Instances Instances インスタンス Service Service サービス Instances Instances テンプレート Service Service サービス Instances Instances インスタンス Service Service サービス・テンプレート固有 Instances Instances 管理SW Service Service サービス・テンプレート固有 Instances Instances 管理SW Service テナント1 Service Resource Instances リソースプール Instances Pools Service テナント2 Service Resource Instances リソースプール Instances Pools テナント1 ドメイン クラウド Service Service 共有パブリック・サービス Instances Instances テンプレート Service Service サービス Instances Instances テンプレート テナント2 ドメイン Service Service サービス・テンプレート固有 Instances Instances 管理SW Service Service 共有リソース Instances Instances プール サービス自動化 イメージ管理 プロビジョニング 各テナントが 仮想プライベート・クラウドに対して クラウド・サービス・ライフサイクル管理を行う … モニタリング クラウド提供者が管理 クラウド・サービス・ライフサイクル管理 可用性 共有リソース・プール Page 34 (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. クラウドにおける運用管理ロール デリバリー・ストラテジに応じたロール・モデルを定義する クラウド・モデル、インソース、アウトソース、ステークホルダーを明確 にしてロールを定義する 例: Hybrid Cloudのモデル例 Public テナント テナント運用管理者 開発・テスト担当者 サービス提供者 サービス運用管理者 一般的には同一業者 T1 T2 T3 ... SAAS/PAAS IAAS インフラ提供者 インフラ運用管理者 Page 35 Private DSaaS インフラ提供者 インフラ運用管理者 エンド・ユーザー (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. クラウドにおけるID管理、権限管理 クラウド提供者と利用者の責任分解点を明確にする 対象ID,ID管理システム,IDライフサイクル管理 以下の観点の確認が重要 特権IDの管理と操作履歴の取得 IDの配布、連携、シングルサインオン方式 法規制、アカウント・ポリシー、パスワード・ポリシーの順守 パブリック・クラウド エンタープライズ・システム IAMシステム SaaS ID連携 IAM管理者ID アプリ エンド・ユーザーID 管理者ID エンド・ユーザー Page 36 SAML OpenID Information Card SSO PaaS IaaS エンド・ユーザーID アプリ開発者ID アプリ管理者ID システム管理者ID HW管理者ID Cloud提供者と利用者を区別 IAM管理者ID IDaaS IDaaS: Identity as a Service IAM: Identity and Access Management (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. クラウドのサービス・レベル サービスレベルの合意 プライベートクラウド : 社内システムOLA パブリッククラウド : 委託企業と受託企業とのSLAまたはUC 【ITILのモデル】 SLM SLA エンド・ユーザー 業務視点 UC サービス OLA 外部サプライヤー システム視点 社内サポート部門 SLM(service level management)サービスレベル管理 SLA(service level agreement)サービスレベル OLA(operational level agreement)運用レベル契約 UC(underpinning contract)外部との契約 Page 37 サービス時間/課金 可用性/信頼性/性能 セキュリティー/監査・認証 システム構成管理 リリース・終了管理 データ管理 ID管理 ログ管理 問題管理 インシデント・レスポンス 保守サポート 損害賠償、保険 SLM詳細 SLA改編手順 サプライヤー管理 情報開示 (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. アウトソーシングにおけるセキュリティー・ガバナンス Strategyは利用側の責任、アウトソースできない リスク(Due Diligence)と対策(Due Care)の計画・調整 ガイドラインや法への順守要件の整理・確認 実運用はアウトソースできる Page 38 fit&gapによる提供者の選択 (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. クラウドの相互運用性 クラウド運用管理のためのOpenなAPIを各社が発表 IBM,MS他 Simple Cloud APIを発表2009/09 ファイル保管、文書保管、単純なキューに対応 Sun Cloud APIを公開 2009/03 VMware vCloud APIをDMTFに草案提出 2009/09 libcloudオープンソースライブラリの発表 2009/7 Redhat δ・Cloudを発表 2009/9 OGF OCCI Cloud API仕様化中 SNIA Cloud Data Management Interface (CDMI) DSaaSのAPI Page 39 運 A 用 P 管 I 理 SaaS PaaS IaaS (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. まとめ Page 40 (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. 全体のまとめ クラウドの特性から生じるセキュリティー・リスクがある。 クラウドのデリバリー・ストラテジーに応じた責任分解点を理解し、対策を実施する。 Topic2 仮想化セキュリティー Topic1 セキュリティー・リスクと 標準化・ガイドライン クラウド特有のセキュリティー・リスク オフサイト CSA、政府ガイドライン、認定制度 オンディマ ンド ISS Proventia Server for VMware 仮想信頼ドメイン(TVD) 仮想化 クラウド サービス Topic4 クラウド運用管理 クラウド・サービス・ライフサイクル管理 運用管理ロール 従量課金 Web SLA ID管理、権限管理ベース Page 41 資源共有 Topic3 マルチテナンシー マルチテナント構成パターン (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. Page 42 (C) Copyright IBM Japan, Ltd. 2010 All rights reserved. 登録商標 IBM、IBM ロゴ、ibm.com、Lotus、Rational、WebSphere、DB2、およびLotusphere は、 世界の多くの国で登録されたInternational Business Machines Corp.の商標です。 他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があり ます。 現時点での IBM の商標リストについては、www.ibm.com/legal/copytrade.shtml (US)をご覧ください。 当資料をコピー等で複製することは、日本アイ・ビー・エム株式会社および執筆者の承 認なしではできません。 Page 43 (C) Copyright IBM Japan, Ltd. 2010 All rights reserved.