・AWSを使うとなぜセキュリティレベルが向上するのか? ・そのロジックをどのようにお客様に伝えるのか? ・AWSが提供する「共有責任モデル」において、ユーザーが守るべき領域はどこで、それは具体的にどのように守るのか? 100を超えるAWS導入プロジェクトを進めてきたAWS専業のインテグレーターであるサーバーワークスが、過去の実績を踏まえ、AWSのセキュリティに関する疑問にお答えします。 (2013年2月16日 JAWS-UG横浜 第3回勉強会での発表資料です)
Webアプリケーションをローカル環境で開発している場合に、Selenium と OWASP ZAP を使って自動的に脆弱性検査を実行するための設定・実行手順について説明します。使用するプログラミング言語には依存しない範囲で書くので、具体的な記述方法までは踏み込みません。 前置き大まかに言うと、開発中のWebアプリケーションに対してまず Selenium を使ったテストを実行し(この時、ブラウザのプロキシ設定をZAPにしておきます)、その後で OWASP ZAP による脆弱性検査を行います。自動といっても、今回はローカルのPC上でブラウザやZAPがGUI起動することを前提としています。GUIのない環境でブラウザを実行できるツールもありますし(XVFB, PhantomJS, etc.)、ZAPもデーモンモードで起動できますので、CUI環境(サーバ上等)でも今回のテストは可能なはずです。しかし
AWSのリソースに対して脆弱性/侵入テストを行う場合は事前に申請をしておく必要があります。 申請情報 申請時に必要な情報は以下の通りです。 診断先EIP 192.168.1.5 診断先インスタンスID i-hogehoge インスタンスが診断元か、診断先か 診断元?診断先? スキャンをする診断元IPアドレス XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX インスタンスがあるリージョン 東京リージョン(等) 開始時間 2014/3/11 10:00 終了時間 2014/3/25 19:00 診断元サービス、企業名、および連絡先 セキュリティアプリ名 連絡先(URL等) コメントがあれば 返信時に追加したいメールアドレスがあれば penetration@example.com 備考 スキャン対象のインスタンスですが、t1.micro/m1.sma
クラウドコンピューティングに乗り出す際の最大のセキュリティ上の懸念は、顧客情報・書きためたポエム・マル秘画像などを誰かに預けるところにある。「財布などの貴重品は肌身離さず、自分の近いところに置いておく」という今までの常識に反する行動を迫られるのである。クラウド恐ろしや。まして預ける相手がAmazonという140億円の追徴課税を命じられような事業者であればなおさらである。 この誰しも感じる不安を払拭するためにAmazon Web Services (AWS) は自社のセキュリティ対策をまとめた文章を公開している。 Amazon Web Services Security ホワイトペーパー (PDF注意) 要は「Amazonはこんなに頑張って皆さんのデータのセキュリティを確保していますよ」という販売促進の一環である。しかしよくまとまっていて、Amazonのサービス利用を検討している人だけでなく
EC2を使い始めてはや半年以上が経過した。セキュリティの調査目的、つまりは自分のパソコンではやりたくない作業に使おうと思って契約したのだが、あらためて約款を読んでみると、IDSを動かすのも微妙なのではないかという位にその用途を縛っていることがわかった。 「え?約款て何??」という方も多いと思うが、EC2やS3をはじめとするAmazon AWSを使っている人は例外なく加入時に約款(ユーザーアグリーメント)を承諾しているんです。 これがその実物。http://aws.amazon.com/agreement/ こんな長い約款を読んでいる人なんていないと思うので注意すべき点を書いておく。僕もあまり真面目に読んでないので、このエントリーをみて引っかかった人は是非原文をあたって下さい。 AWSでのご法度/禁則事項 お金を払わないと強制退会になるのは当然として、AWSを使ったDoS攻撃なども全て禁止、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く