$30 off During Our Annual Pro Sale. View Details »

AWSアンチパターン戦記

 AWSアンチパターン戦記

「君子危うきに近寄らず」という言葉は、賢明な人は危険を避けるという意味を持ちます。
アンチパターンを知り、それを回避するのは第一歩
準備を怠ると動いてるシステムがアンチパターンとなる。
準備とは、データを集め、テストを繰り返すことから。
新しいことへの果敢なチャレンジをわすれずに。ときには、AWSに過度に依存せず、自走力を身につける
継続的な学習と改善のために外に目をむけよう。

ARAKI Yasuhiro

July 08, 2024
Tweet

More Decks by ARAKI Yasuhiro

Other Decks in Technology

Transcript

  1. AWSアンチパターンのこれまで 2012年10月 [AWS Summit 2012] クラウドデザインパターン#8 CDP アンチ パターン編 AWSクラウドデザインパターンとは...

    AWSクラウドを使ったシステムアーキテクチャ設計を⾏う 際に発⽣する、典型的な問題とそれに対する解決策‧設計 ⽅法を、分かりやすく分類して、ノウハウとして利⽤でき るように整理したもの
  2. システム構築時 利⽤者とその環境 あなたの作るサービス AWSのサービス群 XXXみたいなサー ビス作りたいので ベストプラクティ スを教えて! XXXなら、 1.6TBのHDD

    がある c1.xlargeで XXXさん、 DynamoDB活 ⽤されてます XXXさん、 VPNだと帯域 たりないので 専⽤線つかっ てます とあるSA
  3. 外形監視サービス リファクタリング時は外部から⾒た時の挙動は変えない Synthetics RUM Evidently AWS X-Ray アプリケーション動作 の監視やカナリアテ ストの実行に

    エンドユーザの実際 の体験をモニタリング A/Bテストやカナリ アデプロイに使用 分散システムの 問題箇所特定に
  4. Cloudshell VPC environment ←平⽊佳介さんの今⽉の記事 “今回新規で追加された CloudShell VPC environment によって踏み台 サーバの運⽤に⼤きな変化が起きる

    と思います。 しかし⼿軽にできるのが逆にネック になってしまったり監査証跡が取れ ないなど踏み台サーバとして 100% 代替するのは難しそうですが最⾼の アップデートだと思いました。” https://dev.classmethod.jp/articles/jawsmt-2024-cloudshell-vpc/
  5. Amazon GuardDutyのEC2ランタイム保護 にUbuntuとDebianが追加 ← 臼田佳祐さんの 2024-06-20 の記事 “GuardDutyのEC2 Runtime MonitoringでサポートするOSが

    増えました。やったね。” “新しくUbuntuとDebianがサ ポートされたので試してみま す。” https://dev.classmethod.jp/articles/guardduty-ec2-runtime-support-ubuntu-and-debian/
  6. Amazon GuardDuty Malware Protection for Amazon S3 (2024 re:Inforceで発表) ←

    臼田佳祐さんの 2024-06-11 の記事 “ちなみに、従来S3に対する サーバレスなマルウェアスキャ ンを実行しようとしたら、Trend MicroのCloud One File Strage Security(C1FSS)が代表的な選 択肢でした。” https://dev.classmethod.jp/articles/release-guardduty-s3-malware-protection/
  7. Amazon Detectiveの調査機能で、IAMリ ソースの調査が可能に ←鈴⽊純さんの2023.11の記事 “Detective の調査機能で、IAM リソー スについての調査を試してみました。 攻撃者が利⽤した IAM

    リソースを特定 できた時の影響範囲の特定などに活⽤ できそうです。 いざという時のために、この機能が利 ⽤できることを覚えておきたいです ね。” https://dev.classmethod.jp/articles/update-amazon-detective-investigation-feature-iam-resource/
  8. Amazon S3の新規バケットのブロックパブ リックアクセスが有効化およびACLが無効化 ←みなみ さんの2023.04の記事 “今回のアップデートでは、APIでバケット作 成する場合に、デフォルトでブロックパブ リックアクセスが有効化、ACLが無効化され るというものです。 実施に、CloudFormationなどIaCでS3バ

    ケットを構築した際に、ブロックパブリック アクセスの有効化、ACLの無効化を忘れた⽅ もいるんじゃないでしょうか? それではスクリプトで利⽤可能な全リージョ ンでS3バケットを作成してみます。” https://dev.classmethod.jp/articles/udpate-default-change-amazon-s3-bpa-acl/
  9. AWS IAM Access Analyzer ←千葉 幸宏(チバユキ)さんの2022.11の記事 2019.12GAのサービスだが “2022年10⽉には他にも IAM Acceess

    Analyzer 関連のアップデートがあり ます。最近頑張ってるなという印象を 感じます。” “どんどん強くなっていく IAM Access Analyser を活⽤して環境のセキュリ ティレベルを上げていきましょい。” https://dev.classmethod.jp/articles/iam-access-analyzer-findings-amazon-sns-topics-5-aws-resource-types-account-access/
  10. CloudFrontからS3への新たなアクセス制御⽅法とし てOrigin Access Control (OAC)が発表されました! ←清⽔俊也さんの2022.08の記事 “CloudFrontからS3へのアクセス制限を⾏う場 合には必須機能であるOAIですが、S3バケット 側でAWS Key

    Management Service (AWS KMS)を使った暗号化、SSE-KMSを使⽤した場 合に使⽤できない(対応していない)という制 限がありました。” “セキュリティ⾯の強化もありますので、新た にCloudFrontからS3へのアクセス制限を⾏う 場合にはOAC (origin Access Control)を使⽤し ていきましょう。” https://dev.classmethod.jp/articles/amazon-cloudfront-origin-access-control/