Mais conteúdo relacionado
Semelhante a 組織利用におけるMFA管理方法を考える OpsJAWS Meetup#8 (20)
組織利用におけるMFA管理方法を考える OpsJAWS Meetup#8
- 2. 2
自己紹介
• 星 幸平/ Hoshi Kohei
• 株式会社スカイアーチネットワークス
• 好きなAWSサービス
IAM、CloudFormation、AWS CLI
• 最近のハマり事
ゴルフ(コース未デビュー)テニス
ポケゴー(赤26)、油そば
- 7. 7
MFA(AWS Multi-Factor Authentication)とは?
• AWS Multi-Factor Authentication (AWS MFA) は、AWS 環境のセキュリティ
を非常に高いレベルに強化するサービスです。AWS MFA は、AWS アカ
ウント、およびこのアカウントで作成した個別の AWS Identity and Access
Management (IAM) ユーザーに対して有効にできます。
• 通常の認証(IDパスワード、APIアクセス)に加えて時刻ベースのワン
タイムパスワードによる2段階認証を実装できる
- 16. 16
カード型はどうなのか
• 同期について
• 早い時は1~2ヶ月で同期切れになる
• 定期的に再同期をする必要がある
• 最悪USのサポートに電話連絡する必要がある
• 時刻ずれを再同期を前提とした運用設計が必要
• リモートアクセス、可用性、信頼性について
• 物理デバイスという性質上、難しい
• コスト
• 20ドル * 個数分
• 管理工数、ロケーション代等
• そもそも購入できない
• 販売停止中、再販見込み未定?(2016年9月現在)→
- 20. 20
仮想MFA(ソフトウェア型)を検討してみる
• RFC 6238 – TOTP に対応した実装ソフトウェアであれば利用可能※1
• WinAuthとet-otp等
※- RFC 6238 - TOTP: Time-Based One-Time Password Algorithm
http://tools.ietf.org/html/rfc6238
- 23. 23
実際に管理方法を検討する
• 仮想MFA(ソフトウェア型) WinAuthを採用
• 利用端末はWindows
• MFA保管場所は社内基幹システムのストレージサーバー
• RAID1以上の冗長性を保ちたい
• 管理者のみがMFA保管場所にアクセス可能
• WindowsのADでアクセス権限を管理
• 複数拠点からのリモートアクセスが可能
• オフィス、自宅等アクセスを想定
• DRもある程度考慮したい
• 別ロケーションにMFAのexeファイルをバックアップ
- 25. 25
運用してみてわかったこと
• 同期切れの心配がなくなった
• 今のところ同期が切れたことはない
• リモートアクセスが便利
• 便利な反面、運用の注意は必要である
• 特にリモート端末側のセキュリティ対策(運用方法も)は怠らない!
• MFAデバイスの管理から解放された
• 物理MFAやスマホの購入、物理故障等々の管理は結構大変
• その代わりアクセス権の管理と構成の運用が必要になった
• ついでにディザスタリカバリの対策にもなった
• 遠隔地へのバックアップが容易
• 災害等で保管場所への物理アクセスが不可能になるリスクを回避
Notas do Editor
- では、早速組織に利用におけるMFA管理方法を下記のような要件を例として考えていきたいと思います。
1点目は大前提としてルート(特権)アカウントにはMFAを導入します。
理由は最初に説明したとおり、漏洩のリスクが非常に大きいからです。
IAMのMFAを有効化も視野に入れておきます。
2点目は決められた権限のある人だけがMFAを利用できる権限とします
3点目は複数拠点からリモートでもアクセスが出来ること
利便性とセキュリティの両立は難しいですが、出来る限りセキュリティを保ったままリモートでアクセスできる方法を検討します
4点目は可用性と信頼性です
ハードウェアの故障と同期切れによってMFAを再設定するリスクを可能な限り除外したいです
- 実際に利用するMFAを検討していきたいと思います
MFAは大きくわけて2つ、専用物理デバイスでトークンを発行するハードウェアMFAと、スマートフォンやPCのソフトウェアからトークンを発行する仮想MFAがあります。
SMS MFAも存在しますが、現在はプレビュー版のため今回は選択肢から除外しています
- まずはハードウェアMFAから検討していきます
タイプは2種類あってキーホルダー型とカード型が存在しています。