JICS2013レポート(2) 3/4午後 Enterprise Sessions
AWSセキュリティープロセス概説
- Amazon 荒木さん
- 世界に広がるAWSインフラストラクチャー
- クラウド ≠ サーバ仮想化
- セルフサービス可能、使用分のみ支払い、スケールアップ/ダウン容易
- 仮想サーバーだけではないクラウドサービス群
- クラウドネイティブサービス
- AWS Security Center
- Security White Paper
- Risk, Compliance White Paper
- 定期的に更新
- 物理セキュリティー
- non-descript facilities: 一見してAWS DCとはわからない。看板を出さない。場所を教えない
- 周囲に対する堅牢な管理
- 厳格に管理された物理的アクセス
- 2つ以上のレベル・要素による認証(それ以上の場合もある)
- すべてのアクセスはログされ監視される
- EC2セキュリティー
- ネットワークセキュリティー
クラウドサービスとしてのdigital identity
- Active Directory ドメインを使っている人
- 中央システムとして、一部システムで〜 パラパラ 〜1/10以下
- AD: 昔はディレクトリサービスだった。2008年以降、ソリューション全体を指す
- ADFS federation service: identity federation 2003R2以降でサポート 〜 いまだ浸透していない
- Agenda
- パブリッククラウド上のIdPの役割とは?
- IdPの乱立は続くのか?
- Windows Azure Active Directoryとは?
- パブリッククラウド上のIdPの役割とは?
- サービスあるところIdPあり
- サービス(Service Provider: SP)には認証と認可がつきもの
- Facebook, Windows Live, google, Salesforce, MS Office 365
- これまでオンプレミスで増えてしまったIdPをどうするか? → パブリッククラウドでもくり返すのか??
- くり返されると困る
- オンプレミスでは乱立をどう回避したのか → 回避は……できませんでした……
- クレームベース(認証と認可の分離)
- 認証側と認可側に分離することが大前提。分かれていることが重要
- IdP: ユーザー認証、デバイス認証を行いトークン(assertion)を発行
- SP: トークンから本人を識別し、ロールを決定してアクセスを認可
- クレームとは「要求」のこと「これこれの情報を持って来い。うちが信頼しているIdPからでよろ」
- ユーザーはクレームを持ってIdPへ行く。IdPが認証を行う。トークン(署名済)にクレームを入れて渡す → SPはトークンを解析してクレームを取得。本人識別、ロール決定、アクセス認可
- IdPの認証結果に応じてSP側でロールを再計算可能
- SPにトークンを渡すのはユーザーであるのも重要。IdPとSP間は直接通信をする必要がない → SPからIdPに「これホント?」と聞きに行く必要がない
- クレームベースのメリット
- 会場でフェデレーション導入されている方 → ほとんどいない
- SEが理解できない → ローカル認証で行っちまえ、ってなっちゃってる
- MSのIdPプラットフォーム
- Microsoft Account (Windows Live ID) consumer
- Windows Azure Active Directory ┓ enterprise
- Windows Server Active Directory ┛ちょっと違うよ enterprise
- MS Server AD: MS全製品・全OSが対応している
- MS Account: メール、People, Calendar、Skydrive, Store
- MS Azure AD: SaaS認証: Windows Intune, Office 365, Dynamics CRM
- MS Server AD, Azure AD
- federation可能
- 人事メタデータからへの同期が可能
- Azure AD
- Directory
- マルチテナントに対応したディレクトリサービス
- AD LDS: ようするにLDAP
- オンプレミスADとの同期、フェデレーションが可能
- 多要素認証
- Access Control
- Graph API
- Odata V3
- オンプレミスADとの同期
- すでにオンプレミスSSOができている場合
- Azure ADと同期(Graph API, PowerShell, DirSync, Forefront Id Manager)
- 利点: 管理すべきリポジトリはオンプレミスのServer ADのみ
- まとめ
- Id federationを正しく理解しましょう
- public cloudのIdPをうまく使うには
- アプリをクレームベースに対応
- アプリとの互換性を確認
- 運用をイメージする