AWSのセキュリティ対策

  • 背景
    • 事業部に散々脅かされた
    • 「もし、ハックされたら研開(というか江端一人)で責任取れよ」と念を押された
    • AWSコンソールは、江端のみにログイン権限があるので、ここからいじるのは難しいそう
  • 江端予測
    • EC2への直接の攻撃・または侵入
      • 一応SSHアクセスはできる状態
      • SSHによる攻撃はかなり難しいのではないか(秘密鍵がある限り)
    • EBLへの攻撃・または侵入
      • 無闇なアタックはできるだろうが、内部に入ることはできないのでは?
    • 取られる情報
      • 個人情報はないので、個人情報の流出は不可能だが、ユーザ利用情報やら運行情報が取られる可能性もある
  • 江端が調べた範囲のこと
    • SQLインジェクション
      • WebからSQLに触れないので意味なし
    • XSS(クロスサイトスクリプティング)
      • Webサイトのリンクは限定的であり、外部から改竄される余地がない
    • バッファオーバーフロー
      • ELBでEC2を保護しているから、サービスは落せない(?)
    • WebDAV
      • 本サービスでは使っていないので関係なし
    • FTPS(FTP over SSL)やSFTP(SSH File Transfer Protocol)等)を採用しているか
      • FTPサーバ上げる予定がないので、自動的にこれを採用することになる
    • メールサーバ
      • メールサーバがない
    • CMS
      • 使用しない
    • 意図しないサーバへのゾーン転送の防止
      • 発生しえない
    • 安全なHTTPS通信
      • TLSを利用したhttps通信を使用
    • 社外公開サーバ セキュリティ対策リスト_20191007.xlsxにて確認済み
  • 江端不明点
    • EC2からIAMを書き換えることって可能なのか?

2020/10,江端さんの技術メモ

Posted by ebata