AWSアンチパターン戦記

Transcript

1. AWSアンチパターン 戦記 2024.7 アマゾンウェブサービスジャパン 荒⽊靖宏

2. Xへの投稿の際は、 ハッシュタグ #cm_odyssey でお願いいたします。 2 お願い

3. $ whoami 荒⽊はAWSのSAです AWSをつかいはじめて17年 ソリューションアーキテクト（SA）13年 AWSアンチパターン研究 12年

4. 本題のまえに

5. AWS サポート ⽬的を達成するための専⾨的なガイダンスとアシスタンスを⼊⼿

6. https://aws.amazon.com/jp/premiumsupport/tech-support-guidelines/

7. アンチパターンに準備をして挑むべし プラクティスをアウトプットするべし

8. AWSアンチパターン

9. AWSアンチパターンのこれまで 発表日 タイトル（一部抜粋） 2022年10月 AWSで2022に打破されたアンチパターン(2022.09まで) 2022年1月 JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介 2018年5月 失敗例を成功に変えるAWSアンチパターン

   2015年6月 失敗例を成功に変える AWSアンチパターンのご紹介 2012年10月 [AWS Summit 2012] クラウドデザインパターン#8 CDP アンチ パターン編

10. AWSアンチパターンのこれまで 2012年10月 [AWS Summit 2012] クラウドデザインパターン#8 CDP アンチ パターン編 AWSクラウドデザインパターンとは...

    AWSクラウドを使ったシステムアーキテクチャ設計を⾏う 際に発⽣する、典型的な問題とそれに対する解決策‧設計 ⽅法を、分かりやすく分類して、ノウハウとして利⽤でき るように整理したもの

11. アンチパターン 動作やプロセス、構造につい て、当初は妥当であったの に、最終的に悪い結果が繰り 返される リファクタリングするための ⽅法が存在する

12. システムを取り巻く環境 利⽤者とその環境 あなたの作ったサービス AWSのサービス群

13. システム構築時 利⽤者とその環境 あなたの作るサービス AWSのサービス群 XXXみたいなサー ビス作りたいので ベストプラクティ スを教えて！ XXXなら、 1.6TBのHDD

    がある c1.xlargeで XXXさん、 DynamoDB活 ⽤されてます XXXさん、 VPNだと帯域 たりないので 専⽤線つかっ てます とあるSA

14. 動作するシステム 妥当なシステム アンチパターン 環境の変化 リファクタリング システム構築は「妥当点」でリリースされ それははじまりにすぎない

15. アンチパターンとベストプラクティス 合理的なシステム アンチパターン 環境の変化 リファクタリング ベストプラクティス （1社では） 尋常ならざる努⼒

16. 環境の変化？ 利⽤者とその環境 あなたの作ったサービス AWSのサービス群 変動要因 AWS⾃体の更新と拡張 使いこなし術の進化 ビジネス要件、規制、 技術トレンド

17. 環境変化には⾃ら対応するべき 利⽤者とその環境 あなたの作ったサービス AWSのサービス群 変動要因 AWS⾃体の更新と拡張 使いこなし術の進化 ビジネス要件、規制、 技術トレンド ⾃⼒をつけ

    る取り組み

18. ⾃信をもった リファクタリングのために

19. 外形監視サービス リファクタリング時は外部から⾒た時の挙動は変えない Synthetics RUM Evidently AWS X-Ray アプリケーション動作 の監視やカナリアテ ストの実行に

    エンドユーザの実際 の体験をモニタリング A/Bテストやカナリ アデプロイに使用 分散システムの 問題箇所特定に

20. モニタリングとログ収集 システムの可視性を⾼めて健全性を維持 インシデントへの迅速な対応を可能に Amazon CloudWatch AWS CloudTrail Amazon EventBridge AWS

    X-Ray AWS Distro for OpenTelemetry Amazon Managed Service for Prometheus

21. 収集したデータの活⽤ 収集したログデータは、統合→加⼯→分析→可 視化して使⽤する Amazon Athena Amazon QuickSight AWS Lambda Amazon

    Kinesis AWS Glue Amazon SageMaker

22. インフラをコード化して再現性確保 変更管理の容易化、変更履歴の追跡が容易 AWS CloudFormation AWS Cloud Development Kit (AWS CDK)

23. リファクタリングのための番外編 AWSに頼らない⾃⾛⼒の確保 OSSやSaaSの利⽤検討 社内知識活⽤のための投資

24. DevelopersIOでふりかえる AWSアンチパターンを ⽣みそうな発表選 24 多すぎるので新し ⽬のセキュリティ 関連に絞りました

25. Cloudshell VPC environment ←平⽊佳介さんの今⽉の記事 “今回新規で追加された CloudShell VPC environment によって踏み台 サーバの運⽤に⼤きな変化が起きる

    と思います。 しかし⼿軽にできるのが逆にネック になってしまったり監査証跡が取れ ないなど踏み台サーバとして 100% 代替するのは難しそうですが最⾼の アップデートだと思いました。” https://dev.classmethod.jp/articles/jawsmt-2024-cloudshell-vpc/

26. Amazon GuardDutyのEC2ランタイム保護 にUbuntuとDebianが追加 ← 臼田佳祐さんの 2024-06-20 の記事 “GuardDutyのEC2 Runtime MonitoringでサポートするOSが

    増えました。やったね。” “新しくUbuntuとDebianがサ ポートされたので試してみま す。” https://dev.classmethod.jp/articles/guardduty-ec2-runtime-support-ubuntu-and-debian/

27. Amazon GuardDuty Malware Protection for Amazon S3 (2024 re:Inforceで発表) ←

    臼田佳祐さんの 2024-06-11 の記事 “ちなみに、従来S3に対する サーバレスなマルウェアスキャ ンを実行しようとしたら、Trend MicroのCloud One File Strage Security(C1FSS)が代表的な選 択肢でした。” https://dev.classmethod.jp/articles/release-guardduty-s3-malware-protection/

28. CloudTrail LakeでCloudTrail Insights のイベントが分析できるように ←芦沢 広昭さんの2024.03の記事 “セキュリティガバナンスに関する費 ⽤にあまりコストをかけたくない、む しろゼロに抑えたいという要望も出て くるはずです。これまでの証跡による

    Insights運⽤ではこれが実現できませ んでした。” https://dev.classmethod.jp/articles/cloudtrail-lake-supported-cloudtrail-insights/

29. Amazon Detectiveの調査機能で、IAMリ ソースの調査が可能に ←鈴⽊純さんの2023.11の記事 “Detective の調査機能で、IAM リソー スについての調査を試してみました。 攻撃者が利⽤した IAM

    リソースを特定 できた時の影響範囲の特定などに活⽤ できそうです。 いざという時のために、この機能が利 ⽤できることを覚えておきたいです ね。” https://dev.classmethod.jp/articles/update-amazon-detective-investigation-feature-iam-resource/

30. Amazon S3の新規バケットのブロックパブ リックアクセスが有効化およびACLが無効化 ←みなみ さんの2023.04の記事 “今回のアップデートでは、APIでバケット作 成する場合に、デフォルトでブロックパブ リックアクセスが有効化、ACLが無効化され るというものです。 実施に、CloudFormationなどIaCでS3バ

    ケットを構築した際に、ブロックパブリック アクセスの有効化、ACLの無効化を忘れた⽅ もいるんじゃないでしょうか？ それではスクリプトで利⽤可能な全リージョ ンでS3バケットを作成してみます。” https://dev.classmethod.jp/articles/udpate-default-change-amazon-s3-bpa-acl/

31. AWS IAM Access Analyzer ←千葉 幸宏（チバユキ）さんの2022.11の記事 2019.12GAのサービスだが “2022年10⽉には他にも IAM Acceess

    Analyzer 関連のアップデートがあり ます。最近頑張ってるなという印象を 感じます。” “どんどん強くなっていく IAM Access Analyser を活⽤して環境のセキュリ ティレベルを上げていきましょい。” https://dev.classmethod.jp/articles/iam-access-analyzer-findings-amazon-sns-topics-5-aws-resource-types-account-access/

32. CloudFrontからS3への新たなアクセス制御⽅法とし てOrigin Access Control (OAC)が発表されました！ ←清⽔俊也さんの2022.08の記事 “CloudFrontからS3へのアクセス制限を⾏う場 合には必須機能であるOAIですが、S3バケット 側でAWS Key

    Management Service (AWS KMS)を使った暗号化、SSE-KMSを使⽤した場 合に使⽤できない（対応していない）という制 限がありました。” “セキュリティ⾯の強化もありますので、新た にCloudFrontからS3へのアクセス制限を⾏う 場合にはOAC (origin Access Control)を使⽤し ていきましょう。” https://dev.classmethod.jp/articles/amazon-cloudfront-origin-access-control/

33. まとめ

34. アンチパターンに準備をして挑むべし プラクティスをアウトプットするべし

35. アンチパターンとベストプラクティス 合理的なシステム アンチパターン 環境の変化 リファクタリング ベストプラクティス （1社では） 尋常ならざる努⼒ みんなでOutputすればより よいものになる

    データを集め、テストを繰 り返せるように準備をすれ ば確実性が増す

36. Thanks!

37. None
38. None
39. None