20240307 Webinar Well-Architected Framework

Transcript

1. Copyright © IDS Corporation. All rights reserved. 1
 1

2. Copyright © IDS Corporation. All rights reserved. 2
 2
 自己紹介


   株式会社アイディーエス　小寺　加奈子（こでら　かなこ） 【仕事】 AWSアライアンスリード 【好きなAWSサービス】 Cost Exploler 【その他】 AWS Top Engineers 2023(services) AWS Community Builder 2024 (Cloud Operation)

3. Copyright © IDS Corporation. All rights reserved. 3
 3
 アジェンダ


   
 
 
 • Well-Architected フレームワークとは？
 • どうやってベストプラクティスに近づける？
 
 


4. Copyright © IDS Corporation. All rights reserved. 4
 4
 今日のゴール


   
 
 
 • Well-Architected フレームワークの概要を理解する （５つの柱を対象）
 • ベストプラクティスを理解したうえで、自社で対応すべ き内容について理解する
 
 


5. Copyright © IDS Corporation. All rights reserved. 5
 5
 本日のテーマ


6. Copyright © IDS Corporation. All rights reserved. 6
 6
 みなさん、改めてWell-Architected

   フレームワークってな んでしょうか？
 What is Well-Architected ？
 AWSの10年以上の経験からまとめられたベストプラク ティクス集です。
 
 6つの柱から構成されており、
 従うべき「設定原則」が定義されています。


7. Copyright © IDS Corporation. All rights reserved. 7
 7
 6つの柱とは


8. Copyright © IDS Corporation. All rights reserved. 8
 8
 運用の優秀性


   
 • 運用をコードとして実行する
 • 小規模かつ可逆的な変更を頻繁に行う
 • 運用手順を定期的に改善する • 障害を予想する • 運用上のあらゆる障害から学ぶ • マネージドサービスを使用する • オブザーバビリティを実装して実用的なインサイトを得る

9. Copyright © IDS Corporation. All rights reserved. 9
 9
 •

   人為的なミスをなくす仕組みづくり
 
 • 誰がジョインしても大丈夫な
 運用手順のアップデート
 
 • 定期的に、年に1度は障害を予測した訓練 を行う
 
 • 障害から学ぶのは「ナレッジベース」に情 報を残す。後学のためにも。
 • ビジネス上のKPIを定める！
 
 
 運用の優秀性は何を考慮すべき？
 


10. Copyright © IDS Corporation. All rights reserved. 10
 10
 セキュリティ

    
 • 強力なアイデンティティ基盤を実装する
 • トレーサビリティの実現
 • 全レイヤーでセキュリティを適用する
 • セキュリティのベストプラクティスを自動化する
 • 伝送中および保管中のデータを保護する
 • データに人の手を入れない
 • セキュリティイベントに備える


11. Copyright © IDS Corporation. All rights reserved. 11
 11
 •

    最小特権の原則に基づく。
 すべてAdministratorAccessではない？
 
 • IDは一元管理して、ログで追跡可能に
 
 • すべてのレイヤーがセキュリティ管理の対象
 
 • 暗号化などは徹底して実施（SSLのみが対 象ではない）
 • インシデントの予測＝リスク管理
 
 
 セキュリティは何を考慮すべき？
 


12. Copyright © IDS Corporation. All rights reserved. 12
 12
 信頼性

    
 • 障害から自動的に復旧する
 • 復旧手順をテストする
 • 水平方向にスケールしてワークロード全体の可用性を高 める
 • キャパシティーを推測することをやめる
 • オートメーションで変更を管理する


13. Copyright © IDS Corporation. All rights reserved. 13
 13
 •

    障害がおこったときの自動通知と自動復旧 （止まったままにならないよう）
 
 • 作った手順で復旧できるか？
 
 • 障害点を特定しておく
 
 • 自動的にキャパシティが拡張できるように！ （停止しないように事前に備える）
 
 • 変更管理も自動化を
 信頼性は何を考慮すべき？


14. Copyright © IDS Corporation. All rights reserved. 14
 14
 パフォーマンス効率

    
 • 高度なテクノロジーを誰でも使えるようにする
 • 数分でグローバルに展開する
 • サーバーレスアーキテクチャを使用する
 • 実験の頻度を高める
 • メカニカルシンパシーを検討する


15. Copyright © IDS Corporation. All rights reserved. 15
 15
 •

    製品の開発＝本業へ集中できるようアップデー トを取り入れる。（ベンダー任せではなく）
 
 • サーバーレスアーキテクチャを取り入れ よう
 
 • リソースを自動的に起動できる仕組みづ くりで、いろいろなタイプで開発の検証を
 • データの効率性を考える
 パフォーマンス効率は何を考慮すべき？


16. Copyright © IDS Corporation. All rights reserved. 16
 16
 コスト最適化

    
 • クラウド財務管理を実装する
 • 消費モデルを導入する
 • 全体的な効率を測定する
 • 差別化につながらない高負荷の作業に費用をかけるのを やめる
 • 費用を分析し帰属関係を明らかにする


17. Copyright © IDS Corporation. All rights reserved. 17
 17
 •

    「コスト効率」を達成できる組織作り
 
 • 必要な使用分のみを支払うように
 開発環境もずっと起動していない？
 
 • コストのモニタリングを行う
 なんとなくクラウドだから利用が増えても仕方ないと 思っていないか？
 
 • 費用の分析＝ビジネス指標をもつ
 常にROIを意識する
 
 コスト最適化は何を考慮すべき？


18. Copyright © IDS Corporation. All rights reserved. 18
 18
 本日のテーマ


    • どのように自社に適用するのか？


19. Copyright © IDS Corporation. All rights reserved. 19
 19
 診断をして自社に適用する部分を理解する


    AWS Well-Architected Framework診断でできること

20. Copyright © IDS Corporation. All rights reserved. 20
 20
 まずは診断を行ってみる


    スコアで今の現状を知ることができる！ リスクは「High Risk」とそうではないものに分類 すべて診断するのが難しい場合は、1つの柱だけでも 対応を⾏うことに意味がある

21. Copyright © IDS Corporation. All rights reserved. 21
 21
 診断レポート例


22. Copyright © IDS Corporation. All rights reserved. 22
 22
 続いて


    第2部ではセキュリティの柱の中から 重要項⽬について、「ログ管理」として お伝えいたします！

23. Copyright © IDS Corporation. All rights reserved. 23
 第2部
 ログ記録


24. Copyright © IDS Corporation. All rights reserved. 24
 24
 自己紹介


    ログ記録
 名前：
 大島雪乃
 
 経歴：
 株式会社アイディーエス　
 サニークラウド事業部
 　　
 好きなもの：
 猫とビール
 
 好きなAWSサービス：
 AWS Organizations


25. Copyright © IDS Corporation. All rights reserved. 25
 25
 Agenda


    • 01. アンチパターン
 • 02. アンチパターンに対しての解決策
 • 03. 具体的な設定例のご紹介
 
 ログ記録


26. Copyright © IDS Corporation. All rights reserved. 26
 ログ記録
 アンチパターン


    • 必要な場合に備えて、あらゆるタイプのログを保存する。 • ログが永久に保存される、またはすぐに削除される。
 • 誰でもログにアクセスできる。
 • 必要な場合にのみログ整合性をチェックする。 • ログガバナンスと使用について、手動プロセスのみに依存する。


27. Copyright © IDS Corporation. All rights reserved. 27
 ログ記録
 アンチパターンに対しての解決策


    • 必要な場合に備えて、あらゆるタイプのログを保存する。 →セキュリティ要件に合わせたログを取得する • ログが永久に保存される、またはすぐに削除される。 • 誰でもログにアクセスできる。 • 必要な場合にのみログ整合性をチェックする。 →適切なログ保持期間・アクセス権限を識別する • ログガバナンスと使用について、手動プロセスのみに依存する。 →適切な保持とライフサイクルポリシーを使う

28. Copyright © IDS Corporation. All rights reserved. 28
 ログ記録　–アンチパターンに対しての解決策-
 セキュリティ要件に合わせたログを取得する


    AWSのサービスのログ
 環境に合わせたログ
 • 取得するログの種類
 ログ名 CloudTrailログ（AWS） VPCフローログ（AWS） ALBアクセスログ（AWS） /var/log/message（OS）
 /var/log/secure（OS） 監査ログ（アプリ） アクセスログ（アプリ）

29. Copyright © IDS Corporation. All rights reserved. 29
 適切なログ保持期間・アクセス権限を識別する
 ログ名

    保管期間 CloudTrailログ（AWS） 1年 VPCフローログ（AWS） 1か月
 ALBアクセスログ（AWS） 半年 /var/log/message（OS）
 1年 /var/log/secure（OS） 1年 監査ログ（アプリ） 1年 アクセスログ（アプリ） 1年 AWS Cloud S3 S3 Backet Backet Policy ログ記録　–アンチパターンに対しての解決策-


30. Copyright © IDS Corporation. All rights reserved. 30
 適切な保持とライフサイクルポリシーを使う
 S3

    Standard S3 標準-IA ログファイルA
 アップロード
 0日
 90日
 180日
 365日
 ログファイルA の削除
 アクセス頻度の高い ファイル向け
 アクセス頻度が低いが すぐに取り出す必要 があるファイル向け
 アクセスがほぼなく、
 即時取り出しを必要 
 としないファイル向け 
 S3 Glacier Flexible Retrieval ログ記録　–アンチパターンに対しての解決策-


31. Copyright © IDS Corporation. All rights reserved. 31
 ログ記録
 アンチパターンに対しての解決策


    • 必要な場合に備えて、あらゆるタイプのログを保存する。 →セキュリティ要件に合わせたログを取得する • ログが永久に保存される、またはすぐに削除される。 • 誰でもログにアクセスできる。 • 必要な場合にのみログ整合性をチェックする。 →適切なログ保持期間・アクセス権限を識別する • ログガバナンスと使用について、手動プロセスのみに依存する。 →適切な保持とライフサイクルポリシーを使う

32. Copyright © IDS Corporation. All rights reserved. 32
 ログ記録
 設定例のご紹介


33. Copyright © IDS Corporation. All rights reserved. 33
 ログ記録
 設定例のご紹介


    • CloudTrailの監査証跡をS3に保存
 AWS Cloud AWS CloudTrail S3 Cloud Trailのログの
 最大保管期間は90日
 ・最大保存期間を1年にする
 ・ライフサイクルポリシーの　
 　設定
 ・編集の禁止権限
 ・全員からの削除不可権限
 ログ格納


34. Copyright © IDS Corporation. All rights reserved. 34
 ログ記録　–設定例のご紹介-
 CloudTrailの監査証跡をS3に保存


    • CloudTrailの証跡とS3バケットの作成
 S3のデータイベント(変更/ 削除/追加)を記録するログ


35. Copyright © IDS Corporation. All rights reserved. 35
 CloudTrailの監査証跡をS3に保存
 •

    S3バケットにログが格納されていることを確認
 ログ記録　–設定例のご紹介-


36. Copyright © IDS Corporation. All rights reserved. 36
 ログ記録　–設定例のご紹介-
 CloudTrailの監査証跡をS3に保存


    • S3のライフサイクルの設定


37. Copyright © IDS Corporation. All rights reserved. 37
 ログ記録　–設定例のご紹介-
 CloudTrailの監査証跡をS3に保存


    • S3のライフサイクルの設定
 S3 Standard 0日
 90日
 S3 Glacier Flexible Retrieval 365日
 削除


38. Copyright © IDS Corporation. All rights reserved. 38
 ログ記録　–設定例のご紹介-
 CloudTrailの監査証跡をS3に保存


    • S3のライフサイクルの設定


39. Copyright © IDS Corporation. All rights reserved. 39
 ログ記録　–設定例のご紹介-
 CloudTrailの監査証跡をS3に保存


    • S3バケットポリシーの設定
 { "Sid": "ReadOnly", "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": "s3:DeleteObject", "Resource": "arn:aws:s3:::aws-cloudtrail-logs-123456789012 -6cbd7c96/*" }, { "Sid": "ReadOnly2", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::123456789012:user/test" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::aws-cloudtrail-logs-123456789012-6cbd7c96/*“ }
 全てのアカウントで
 オブジェクト削除禁止
 Testユーザーは
 オブジェクトへの
 書き込み禁止


40. Copyright © IDS Corporation. All rights reserved. 40
 ログ記録　–設定例のご紹介-
 CloudTrailの監査証跡をS3に保存


    • S3バケットポリシーの設定確認


41. Copyright © IDS Corporation. All rights reserved. 41
 ログ記録　–設定例のご紹介-
 CloudTrailの監査証跡をS3に保存


    • S3バケットポリシーの設定確認


42. Copyright © IDS Corporation. All rights reserved. 42
 ログ記録
 アンチパターンに対しての解決策


    • 必要な場合に備えて、あらゆるタイプのログを保存する。 →セキュリティ要件に合わせたログを取得する • ログが永久に保存される、またはすぐに削除される。 • 誰でもログにアクセスできる。 • 必要な場合にのみログ整合性をチェックする。 →適切なログ保持期間・アクセス権限を識別する • ログガバナンスと使用について、手動プロセスのみに依存する。 →適切な保持とライフサイクルポリシーを使う

43. Copyright © IDS Corporation. All rights reserved. 43
 AWS構築‧導⼊⽀援〜運⽤保守を トータルサポート「SunnyCloud」

    https://www.sunnycloud.jp/