Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20240307 Webinar Well-Architected Framework
Search
Sunny Cloud
March 07, 2024
Business
1
81
20240307 Webinar Well-Architected Framework
20240307 Webinar Well-Architected Framework
#AWS #Webinar
Sunny Cloud
March 07, 2024
Tweet
Share
More Decks by Sunny Cloud
See All by Sunny Cloud
ここまでできるAWSコスト削減
kanakokodera
1
38
#41 JAWS-UG主催 週刊AWSキャッチアップ (2024/7/15週)
kanakokodera
0
42
#41 JAWS-UG主催 週刊AWSキャッチアップ (2024/7/15週):[週刊生成AI with AWS – 2024/7/15週
kanakokodera
0
49
2024年7月16日開催【オンラインイベント】セキュリティリスクの把握・評価・軽減からみるAWSセキュリティの具体策
kanakokodera
0
74
JAWS-UG福岡 #18: JAWS-UGクラウド女子会共催スペシャル【ハイブリッド開催】
kanakokodera
0
36
週刊AWSキャッチアップ(2024年6月24日週)
kanakokodera
0
62
女性でエンジニア以外も楽しめる支部活動を
kanakokodera
2
190
webinar20240529.pdf
kanakokodera
0
27
週刊AWSキャッチアップ~週刊生成AI with AWS – 2024/5/13週~
kanakokodera
0
120
Other Decks in Business
See All in Business
SUN METALON会社紹介・採用説明資料
shindoyuto
0
370
GA technologies Co.,Ltd. Corporate Story
gatechnologies
2
920
【After】サービス紹介資料③_HP掲載用
redeslide
0
510
東京都教育委員会 情報共有掲示板
tokyo_metropolitan_gov_digital_hr
0
290
202412_CultureDeck
todoker
0
140
なぜ施策優先度を意思決定しなければならないのか? 経験から得た要因と対策
mkitahara01985
2
230
産業用自家消費型太陽光80kW 投資対効果(ROI)・投資回収期間シミュレーション結果(エネがえるBiz診断レポートサンプル)
satoru_higuchi
PRO
0
350
ドコドア_採用ピッチ資料_20241205
docodoor_hr
3
7.6k
workx-company-profile
eastfields
0
21k
Works Human Intelligence
whisaiyo
1
79k
成功をつなげる プロジェクトマネジメントの探求 / Exploring Project Management to Continuous Success
tunepolo
0
170
Japan Open Chain White Paper
gugroup
0
310
Featured
See All Featured
Fontdeck: Realign not Redesign
paulrobertlloyd
82
5.3k
The Art of Programming - Codeland 2020
erikaheidi
53
13k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
159
15k
Large-scale JavaScript Application Architecture
addyosmani
510
110k
Six Lessons from altMBA
skipperchong
27
3.5k
Bootstrapping a Software Product
garrettdimon
PRO
305
110k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.1k
GraphQLとの向き合い方2022年版
quramy
44
13k
Building Applications with DynamoDB
mza
91
6.1k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.9k
Designing for Performance
lara
604
68k
RailsConf 2023
tenderlove
29
940
Transcript
Copyright © IDS Corporation. All rights reserved. 1 1
Copyright © IDS Corporation. All rights reserved. 2 2 自己紹介
株式会社アイディーエス 小寺 加奈子(こでら かなこ) 【仕事】 AWSアライアンスリード 【好きなAWSサービス】 Cost Exploler 【その他】 AWS Top Engineers 2023(services) AWS Community Builder 2024 (Cloud Operation)
Copyright © IDS Corporation. All rights reserved. 3 3 アジェンダ
• Well-Architected フレームワークとは? • どうやってベストプラクティスに近づける?
Copyright © IDS Corporation. All rights reserved. 4 4 今日のゴール
• Well-Architected フレームワークの概要を理解する (5つの柱を対象) • ベストプラクティスを理解したうえで、自社で対応すべ き内容について理解する
Copyright © IDS Corporation. All rights reserved. 5 5 本日のテーマ
Copyright © IDS Corporation. All rights reserved. 6 6 みなさん、改めてWell-Architected
フレームワークってな んでしょうか? What is Well-Architected ? AWSの10年以上の経験からまとめられたベストプラク ティクス集です。 6つの柱から構成されており、 従うべき「設定原則」が定義されています。
Copyright © IDS Corporation. All rights reserved. 7 7 6つの柱とは
Copyright © IDS Corporation. All rights reserved. 8 8 運用の優秀性
• 運用をコードとして実行する • 小規模かつ可逆的な変更を頻繁に行う • 運用手順を定期的に改善する • 障害を予想する • 運用上のあらゆる障害から学ぶ • マネージドサービスを使用する • オブザーバビリティを実装して実用的なインサイトを得る
Copyright © IDS Corporation. All rights reserved. 9 9 •
人為的なミスをなくす仕組みづくり • 誰がジョインしても大丈夫な 運用手順のアップデート • 定期的に、年に1度は障害を予測した訓練 を行う • 障害から学ぶのは「ナレッジベース」に情 報を残す。後学のためにも。 • ビジネス上のKPIを定める! 運用の優秀性は何を考慮すべき?
Copyright © IDS Corporation. All rights reserved. 10 10 セキュリティ
• 強力なアイデンティティ基盤を実装する • トレーサビリティの実現 • 全レイヤーでセキュリティを適用する • セキュリティのベストプラクティスを自動化する • 伝送中および保管中のデータを保護する • データに人の手を入れない • セキュリティイベントに備える
Copyright © IDS Corporation. All rights reserved. 11 11 •
最小特権の原則に基づく。 すべてAdministratorAccessではない? • IDは一元管理して、ログで追跡可能に • すべてのレイヤーがセキュリティ管理の対象 • 暗号化などは徹底して実施(SSLのみが対 象ではない) • インシデントの予測=リスク管理 セキュリティは何を考慮すべき?
Copyright © IDS Corporation. All rights reserved. 12 12 信頼性
• 障害から自動的に復旧する • 復旧手順をテストする • 水平方向にスケールしてワークロード全体の可用性を高 める • キャパシティーを推測することをやめる • オートメーションで変更を管理する
Copyright © IDS Corporation. All rights reserved. 13 13 •
障害がおこったときの自動通知と自動復旧 (止まったままにならないよう) • 作った手順で復旧できるか? • 障害点を特定しておく • 自動的にキャパシティが拡張できるように! (停止しないように事前に備える) • 変更管理も自動化を 信頼性は何を考慮すべき?
Copyright © IDS Corporation. All rights reserved. 14 14 パフォーマンス効率
• 高度なテクノロジーを誰でも使えるようにする • 数分でグローバルに展開する • サーバーレスアーキテクチャを使用する • 実験の頻度を高める • メカニカルシンパシーを検討する
Copyright © IDS Corporation. All rights reserved. 15 15 •
製品の開発=本業へ集中できるようアップデー トを取り入れる。(ベンダー任せではなく) • サーバーレスアーキテクチャを取り入れ よう • リソースを自動的に起動できる仕組みづ くりで、いろいろなタイプで開発の検証を • データの効率性を考える パフォーマンス効率は何を考慮すべき?
Copyright © IDS Corporation. All rights reserved. 16 16 コスト最適化
• クラウド財務管理を実装する • 消費モデルを導入する • 全体的な効率を測定する • 差別化につながらない高負荷の作業に費用をかけるのを やめる • 費用を分析し帰属関係を明らかにする
Copyright © IDS Corporation. All rights reserved. 17 17 •
「コスト効率」を達成できる組織作り • 必要な使用分のみを支払うように 開発環境もずっと起動していない? • コストのモニタリングを行う なんとなくクラウドだから利用が増えても仕方ないと 思っていないか? • 費用の分析=ビジネス指標をもつ 常にROIを意識する コスト最適化は何を考慮すべき?
Copyright © IDS Corporation. All rights reserved. 18 18 本日のテーマ
• どのように自社に適用するのか?
Copyright © IDS Corporation. All rights reserved. 19 19 診断をして自社に適用する部分を理解する
AWS Well-Architected Framework診断でできること
Copyright © IDS Corporation. All rights reserved. 20 20 まずは診断を行ってみる
スコアで今の現状を知ることができる! リスクは「High Risk」とそうではないものに分類 すべて診断するのが難しい場合は、1つの柱だけでも 対応を⾏うことに意味がある
Copyright © IDS Corporation. All rights reserved. 21 21 診断レポート例
Copyright © IDS Corporation. All rights reserved. 22 22 続いて
第2部ではセキュリティの柱の中から 重要項⽬について、「ログ管理」として お伝えいたします!
Copyright © IDS Corporation. All rights reserved. 23 第2部 ログ記録
Copyright © IDS Corporation. All rights reserved. 24 24 自己紹介
ログ記録 名前: 大島雪乃 経歴: 株式会社アイディーエス サニークラウド事業部 好きなもの: 猫とビール 好きなAWSサービス: AWS Organizations
Copyright © IDS Corporation. All rights reserved. 25 25 Agenda
• 01. アンチパターン • 02. アンチパターンに対しての解決策 • 03. 具体的な設定例のご紹介 ログ記録
Copyright © IDS Corporation. All rights reserved. 26 ログ記録 アンチパターン
• 必要な場合に備えて、あらゆるタイプのログを保存する。 • ログが永久に保存される、またはすぐに削除される。 • 誰でもログにアクセスできる。 • 必要な場合にのみログ整合性をチェックする。 • ログガバナンスと使用について、手動プロセスのみに依存する。
Copyright © IDS Corporation. All rights reserved. 27 ログ記録 アンチパターンに対しての解決策
• 必要な場合に備えて、あらゆるタイプのログを保存する。 →セキュリティ要件に合わせたログを取得する • ログが永久に保存される、またはすぐに削除される。 • 誰でもログにアクセスできる。 • 必要な場合にのみログ整合性をチェックする。 →適切なログ保持期間・アクセス権限を識別する • ログガバナンスと使用について、手動プロセスのみに依存する。 →適切な保持とライフサイクルポリシーを使う
Copyright © IDS Corporation. All rights reserved. 28 ログ記録 –アンチパターンに対しての解決策- セキュリティ要件に合わせたログを取得する
AWSのサービスのログ 環境に合わせたログ • 取得するログの種類 ログ名 CloudTrailログ(AWS) VPCフローログ(AWS) ALBアクセスログ(AWS) /var/log/message(OS) /var/log/secure(OS) 監査ログ(アプリ) アクセスログ(アプリ)
Copyright © IDS Corporation. All rights reserved. 29 適切なログ保持期間・アクセス権限を識別する ログ名
保管期間 CloudTrailログ(AWS) 1年 VPCフローログ(AWS) 1か月 ALBアクセスログ(AWS) 半年 /var/log/message(OS) 1年 /var/log/secure(OS) 1年 監査ログ(アプリ) 1年 アクセスログ(アプリ) 1年 AWS Cloud S3 S3 Backet Backet Policy ログ記録 –アンチパターンに対しての解決策-
Copyright © IDS Corporation. All rights reserved. 30 適切な保持とライフサイクルポリシーを使う S3
Standard S3 標準-IA ログファイルA アップロード 0日 90日 180日 365日 ログファイルA の削除 アクセス頻度の高い ファイル向け アクセス頻度が低いが すぐに取り出す必要 があるファイル向け アクセスがほぼなく、 即時取り出しを必要 としないファイル向け S3 Glacier Flexible Retrieval ログ記録 –アンチパターンに対しての解決策-
Copyright © IDS Corporation. All rights reserved. 31 ログ記録 アンチパターンに対しての解決策
• 必要な場合に備えて、あらゆるタイプのログを保存する。 →セキュリティ要件に合わせたログを取得する • ログが永久に保存される、またはすぐに削除される。 • 誰でもログにアクセスできる。 • 必要な場合にのみログ整合性をチェックする。 →適切なログ保持期間・アクセス権限を識別する • ログガバナンスと使用について、手動プロセスのみに依存する。 →適切な保持とライフサイクルポリシーを使う
Copyright © IDS Corporation. All rights reserved. 32 ログ記録 設定例のご紹介
Copyright © IDS Corporation. All rights reserved. 33 ログ記録 設定例のご紹介
• CloudTrailの監査証跡をS3に保存 AWS Cloud AWS CloudTrail S3 Cloud Trailのログの 最大保管期間は90日 ・最大保存期間を1年にする ・ライフサイクルポリシーの 設定 ・編集の禁止権限 ・全員からの削除不可権限 ログ格納
Copyright © IDS Corporation. All rights reserved. 34 ログ記録 –設定例のご紹介- CloudTrailの監査証跡をS3に保存
• CloudTrailの証跡とS3バケットの作成 S3のデータイベント(変更/ 削除/追加)を記録するログ
Copyright © IDS Corporation. All rights reserved. 35 CloudTrailの監査証跡をS3に保存 •
S3バケットにログが格納されていることを確認 ログ記録 –設定例のご紹介-
Copyright © IDS Corporation. All rights reserved. 36 ログ記録 –設定例のご紹介- CloudTrailの監査証跡をS3に保存
• S3のライフサイクルの設定
Copyright © IDS Corporation. All rights reserved. 37 ログ記録 –設定例のご紹介- CloudTrailの監査証跡をS3に保存
• S3のライフサイクルの設定 S3 Standard 0日 90日 S3 Glacier Flexible Retrieval 365日 削除
Copyright © IDS Corporation. All rights reserved. 38 ログ記録 –設定例のご紹介- CloudTrailの監査証跡をS3に保存
• S3のライフサイクルの設定
Copyright © IDS Corporation. All rights reserved. 39 ログ記録 –設定例のご紹介- CloudTrailの監査証跡をS3に保存
• S3バケットポリシーの設定 { "Sid": "ReadOnly", "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": "s3:DeleteObject", "Resource": "arn:aws:s3:::aws-cloudtrail-logs-123456789012 -6cbd7c96/*" }, { "Sid": "ReadOnly2", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::123456789012:user/test" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::aws-cloudtrail-logs-123456789012-6cbd7c96/*“ } 全てのアカウントで オブジェクト削除禁止 Testユーザーは オブジェクトへの 書き込み禁止
Copyright © IDS Corporation. All rights reserved. 40 ログ記録 –設定例のご紹介- CloudTrailの監査証跡をS3に保存
• S3バケットポリシーの設定確認
Copyright © IDS Corporation. All rights reserved. 41 ログ記録 –設定例のご紹介- CloudTrailの監査証跡をS3に保存
• S3バケットポリシーの設定確認
Copyright © IDS Corporation. All rights reserved. 42 ログ記録 アンチパターンに対しての解決策
• 必要な場合に備えて、あらゆるタイプのログを保存する。 →セキュリティ要件に合わせたログを取得する • ログが永久に保存される、またはすぐに削除される。 • 誰でもログにアクセスできる。 • 必要な場合にのみログ整合性をチェックする。 →適切なログ保持期間・アクセス権限を識別する • ログガバナンスと使用について、手動プロセスのみに依存する。 →適切な保持とライフサイクルポリシーを使う
Copyright © IDS Corporation. All rights reserved. 43 AWS構築‧導⼊⽀援〜運⽤保守を トータルサポート「SunnyCloud」
https://www.sunnycloud.jp/