サーバーレス × マルチアカウント構成で、統合ログ管理ソフトウェアを SaaS 化する

© 2023, Amazon Web Services, Inc. or its affiliates. All
rights reserved. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. サーバーレス × マルチアカウント構成で、統合ログ管理ソフトウェアを SaaS 化する福地信哉 (he/him) S A - 2 - 2 株式会社網屋開発部チームリーダー

rights reserved. 自己紹介福地信哉株式会社網屋開発部チームリーダー好きな AWS サービス： AWS Lambda, AWS Organizations

rights reserved. アジェンダ • プロジェクトゴールとアーキテクチャ • 分けるべきものとまとめるべきもの • どう分け、どうまとめるか • ふりかえりと今後の展望

rights reserved. SIEM ソフトウェアを SaaS 化するプロジェクトゴール

rights reserved. SIEM とは？プロジェクトゴール SIEM (Security Information and Event Management): 多種多様なシステムのログデータを収集・分析し、脅威の検出をサポートする。cf. Gartner

rights reserved. SIEM とは？プロジェクトゴール

rights reserved. SaaS 化する？プロジェクトゴール • もとは Windows サービスとして常駐するオンプレミスのソフトウェア • 下記のメリットを見込んで SaaS 化ユーザー開発運用ログ管理サーバの構築・バージョンアップの手間を削減インフラのトラブルを抑えてビジネスロジックに集中密なテクニカルサポートログ管理のセキュリティを一任ユースケースをより直に知り、新機能開発に生かせる簡略で自動化されたリリース

rights reserved. Amazon Elastic Compute Cloud (Amazon EC2) Windows インスタンス × シングルアカウントアーキテクチャ（第 1 案） AWS Cloud user corp. network forward log collect log collect log Amazon EC2 VPC Public subnet

rights reserved. 第 1 案のメリット・デメリットメリット隔離デメリットインスタンス管理スケーラビリティコスト効率

rights reserved. 課題隔離のメリットを最大限享受しつつ、どう SaaS らしいアーキテクチャにするか？

rights reserved. サーバーレス × マルチアカウントアーキテクチャ（採用案）管理側 user corp. network Amiya network forward log pull image collect log alert error AWS Cloud get config Amazon ECR monitor usage Amazon ECS Amazon ECS collect log Amazon DynamoDB 企業側 notify kick scan query kick cron Amazon ECS AWS Batch Amazon Athena Amazon S3 Amazon SNS AWS Lambda Amazon EventBridge AWS Lambda AWS Lambda VPC Public subnet VPC Public subnet AWS Step Functions workflow AWS Step Functions workflow

rights reserved. Isolation is not optional – isolation is a foundational element of SaaS AWS Whitepaper: SaaS Tenant Isolation Strategies https://d1.awsstatic.com/whitepapers/saas-tenant-isolation-strategies.pdf

rights reserved. 検討隔離すべきものと集約すべきものを洗い出すところからスタート

rights reserved. 分けるべきもの • データ • プロセス • 課金 • 環境

rights reserved. まとめるべきもの • アプリケーション設定・テナント情報 • コンテナイメージ • 監視 • CI/CD パイプライン

rights reserved. どのレベルで分けるか • タグ？リソース？アカウント？ • → 基本的にアカウントレベルで ▪ セキュリティ製品という業務ドメインを最大限に生かす

rights reserved. アカウントレベルでの隔離管理側 AWS Cloud 企業側

rights reserved. データどう分けるか管理側 AWS Cloud 企業側 Amazon S3

rights reserved. プロセスどう分けるか管理側 user corp. network forward log collect log AWS Cloud 企業側 notify kick scan query kick cron Amazon ECS AWS Batch Amazon Athena Amazon S3 Amazon EventBridge AWS Lambda AWS Lambda AWS Step Functions workflow AWS Step Functions workflow collect log query

rights reserved. 課金どう分けるか管理側 user corp. network forward log collect log AWS Cloud 企業側 notify kick scan query kick cron Amazon ECS AWS Batch Amazon Athena Amazon S3 Amazon EventBridge AWS Lambda AWS Lambda AWS Step Functions workflow AWS Step Functions workflow collect log query

rights reserved. 環境どう分けるか AWS Cloud dev OU test OU prod OU 管理側 OU 企業側 OU 企業側アカウント管理側アカウント

rights reserved. アプリケーション設定・テナント情報どうまとめるか管理側 AWS Cloud 企業側 Amazon DynamoDB

rights reserved. コンテナイメージどうまとめるか管理側 AWS Cloud 企業側 Amazon ECR

rights reserved. 監視どうまとめるか管理側 Amiya network AWS Cloud monitor usage Amazon ECS Amazon DynamoDB 企業側 Amazon SNS AWS Lambda VPC Public subnet alert error

rights reserved. CI/CD パイプラインどうまとめるか AWS Cloud root account dev pipeline Amiya network dev OU test OU prod OU 管理側 OU 企業側 OU 企業側アカウント管理側アカウント test pipeline prod pipeline deploy git push AWS CodeCommit AWS CodeBuild AWS CloudFormation

rights reserved. ふりかえり（1） ▪ プロジェクト – オンプレミスの SIEM ソフトウェアの SaaS 化 ▪ 課題 – 隔離のメリットを最大限享受しつつ、どう SaaS らしいアーキテクチャにするか？

rights reserved. ふりかえり（2） ▪ アーキテクティング – 分ける / まとめるべきものは何か？分けるべきものデータ・プロセス・課金・環境 → アカウント・OU レベルで隔離まとめるべきものアプリケーション設定 / テナント情報・コンテナイメージ・監視・ CI/CD パイプライン → 管理側 / root アカウント、管理用 Web コンソール、Slack チャンネルに集約

rights reserved. 管理側全体像アプリケーション user corp. network Amiya network forward log pull image collect log alert error AWS Cloud get config Amazon ECR monitor usage Amazon ECS Amazon ECS collect log Amazon DynamoDB 企業側 notify kick scan query kick cron Amazon ECS AWS Batch Amazon Athena Amazon S3 Amazon SNS AWS Lambda Amazon EventBridge AWS Lambda AWS Lambda VPC Public subnet VPC Public subnet AWS Step Functions workflow AWS Step Functions workflow

rights reserved. AWS Cloud root account dev pipeline 全体像 C I / C D パイプライン Amiya network dev OU test OU prod OU 管理側 OU 企業側 OU 企業側アカウント管理側アカウント test pipeline prod pipeline deploy git push AWS CodeCommit AWS CodeBuild AWS CloudFormation

rights reserved. 今後の展望 • アカウントの事前準備と pre-warming ▪ 現状： – ユーザーがテナント開設リクエストを送ってから企業側アカウント環境構築開始 – → quota 引き上げの時間を考慮すると、フル稼働までにラグが発生する ▪ 将来： – quota 引き上げの完了したプロビジョニング済アカウント群をプールしておく – → テナント開設リクエスト直後からフルに AWS リソースを利用できる • cf. https://aws.amazon.com/jp/blogs/news/managing-the-account-lifecycle-in-account-per-tenant- saas-environments-on-aws/

rights reserved. Thank you! © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. 福地信哉 [email protected] 株式会社網屋 https://www.amiya.co.jp ALog Cloud https://www.amiya.co.jp /solutions/alog_cloud/

サーバーレス × マルチアカウント構成で、統合ログ管理ソフトウェアを SaaS 化する

サーバーレス × マルチアカウント構成で、統合ログ管理ソフトウェアを SaaS 化する

Other Decks in Technology

Featured

Transcript