IBM Cloud で CISを始めよう（超入門編）

Transcript

1. Workshop IBM Cloud + CIS⼊⾨ 加藤典子（NORIKO KATO） Developer Advocate /

   [email protected]

2. SPEAKER

3. Noriko Kato IBM Developer Advocate Specialist in TJBot（IoT） (Notes Architect)

   @noricokt t

4. IBM DEVELOPER ADVOCATE

5. None

6. TECHNOLOGISTS RULE THE WORLD 技術者が世の中を変えていくお⼿伝いをします！ ・技術情報を提供します ・開発者と話をします ・開発者にとって何が⼀番良いかを考えます ・開発者の困ったを⼀緒に解決します ・開発者をヒーローにします

7. OUR ACTIVITIES こんな活動をしながら技術者のみなさまをサポートします！ ・オンラインでの情報発信（Blog、SNS、Podcastなど） ・オフラインでの情報発信（書籍、雑誌など） ・セミナー、勉強会などでの登壇 ・コミュニティ、Meetupなどのリード ・ハンズオンワークショップなどでの講師 ・ハッカソン、ラボ、Dojoなどでのテックサポート

8. Yes, we are DeveloperAdvocate https://developer.ibm.com/profiles/

9. None

10. AGENDA 前編：IBM Cloud + CIS⼊⾨ 1. IBM Cloud とは？ 2.

    IBM Cloud Internet Services 概要 3. Cloudflare社 レポートより（抜粋）

11. text IBM Cloudとは？ IBM が提供するクラウド・サービス Built with オープン Integrated for

    ハイブリッド AI Ready 1. オープン・テクノロジーを活⽤して 構築された、特定のベンダーにとら われないオープンなクラウド。 2. 仮想サーバーだけではなく、物理 サーバー、コンテナ、Cloud Foundry、Serverlessと処理環境だ けでも豊富なラインナップがある。 3. オフサイトだからこそ、種々のスタ ンダードに準拠している。また運⽤ 管理に必要な様々な情報を開⽰して いる。 1. クラウド・ファーストに特化した⽤ 途でも使いやすい様々なサービスが ある。 2. オンプレミスのVMware をLIFTす るのも、ハイブリッドにするのも便 利なサービスが揃っている。 3. 世界中60拠点のデータセンターと、 ハイブリッド・クラウドに必要不可 ⽋なグローバルネットワークは無償 で利⽤できる。 1. Watsonだけでなく、さまざまな Deep Learning/Machine Learningが使える。 2. AI活⽤に不可⽋なデータのための ツール⼀式（収集、保管、分析）が 揃っている。 3. データはお客様のものであるという 宣⾔をし、ビジネス⽤途に最も採⽤ されているクラウド。

12. IBM Cloud Internet Services概要 IBM Cloud Internet Services (CIS) は、Cloudflareの技術を採⽤しています。

    お客様の利便性を強化するために、3つの主要な機能を提供します。 サービス毎の個別⾒積もりから解放されるAll in One サービスです。 CIS セキュリ ティー 可用性 パフォー マンス

13. IBM Cloud Internet Services概要 Cloudflare社 とのパートナーシップにより、世界中の180以上のCloudflare社のデータセンターを活⽤した サービスを IBM Cloud から利⽤できるようになりました。インターネットに公開されたアプリケーションや

    Webサイトのパフォーマンスを改善し、セキュアに保ちます。 セキュリティ 回復性 パフォーマンス DDoS 防御: レイヤ3、4、または7が対象の⼤量のトラフィックやリクエストを利⽤した攻撃に対する保護 Web アプリケーション ファイアウォール (WAF): 既知や未知の脆弱性に対してアプリやウェブサイトを保護 SSL/TLS: 最新の標準暗号化⽅式を利⽤し、インターネットを通じたデータ転送をセキュアに維持 DNS: IPアドレスやエイリアスに対して、⾼速な名前解決を提供 Global Load Balancer (GLB): 可⽤性やサービス健全性に基づいたルーティングにより、 可⽤性を向上し、レイテンシを低減 CDN: ロケーションベースのアクセスを提供し、レイテンシを低減し、性能を改善 ページルール: ウェブページごとに詳細なアクションを管理、リダイレクト作成、キャッシュ動作調整が可能

14. IBM Cloud Internet Servicesとは IBM Cloud Internet Services概要 IBM Cloud

    Internet Services を利⽤すると、すべてのリクエストは ①まず、Cloudflare社のデータセンターに⾶び ②各種のサービスによるチェックを終え ③オリジンサーバーに接続されるようになります。 IBM Cloudのダッシュボー ドから簡単に設定できる。 Cloudflareのデータセンター 全データセンターで 同⼀サービスとして提供されている 必要なサービスを選択して利⽤ できる。 オリジンサーバー DNS Global LB DDoS Firewal l TLS CDN WAF

15. IBM Cloud Internet Servicesの適⽤前と適⽤後 IBM Cloud Internet Services 適⽤前の主要なポイント IBM

    Cloud Internet Services 適⽤後のポイント IBM Cloud 共通インフラはDDoS防御されている。 利⽤者個別の環境は、個別のDDoS防御を導⼊する必 要がある。（⽉額40万円〜という規模感） IBM Cloudの異なるデータセンターに、Global load balancer⽤のサービスを利⽤する。 （⽉額50万円〜という規模感） WAF⽤のサービスを利⽤する。 （⽉額50万円〜という規模感） CDN⽤のサービスを利⽤する。 （従量課⾦） 必要なサービスとを個別に選択して、実装する必要がある。 All in Oneのサービスを利⽤し、必要な機能をONする。 IBM Cloud Internet Servicesで提供される。 （固定料⾦。Standard Serviceに含まれる）

16. CISはこのようなケースで使われています。 1.インターネットにさらされているシステムのセキュリティを強化したい。 1. DDoS防御 2. WAF 3. Capcha 2.攻撃の対象になりやすいシステムを構築、運⽤している。 1.

    有名な会社名やサービス 2. 公共性が⾼いサービス（国や⾃治体のシステムやサービス） 3. FintechとかIoTシステム 3.Global LBを使ってHAなシステムが必要だ 1. 仮想サーバーベースのHigh Availability (HA)システム 2. Kubernetesベースのシステム 3. IoTシステム

17. Cloudflare社 レポートより

18. Cloudflare社 Webより

19. AGENDA 後編：IBM Cloud + CIS⼊⾨ 1. IBM Cloud Internet Services（CIS）とは

    2. IBM Cloud デモ 3. 参考サイト・ガイドのご紹介 4. Developer チームからご案内

20. IBM Cloud Internet Servicesとは Webアクセスで必要とされる機能は⼤きくわけて３つ オリジンサーバー DC01 オリジンサーバー DC02 オリジンサーバー

    DC03 DDoS攻撃 Bots データ盗難 1. セキュリティー 多種多様な攻撃からどうやってサービスを保護するか？ 2. 可⽤性 データセンター障害や災害発⽣時も含めて、 サービスの可⽤性をどうやって担保するか？ 3. パフォーマンス 複数箇所からの⼤量のアクセスを、なるべくオリジンサーバー に負荷をかけずに、どうやってサービスの品質を担保するか？ Internet

21. IBM Cloud Internet Servicesとは オリジンサーバー DC01 オリジンサーバー DC02 オリジンサーバー DC03

    DDoS攻撃 Bots データ盗難 1. セキュリティー 多種多様な攻撃からどうやってサービスを保護するか？ 2. 可⽤性 データセンター障害や災害発⽣時も含めて、 サービスの可⽤性をどうやって担保するか？ 3. パフォーマンス 複数箇所からの⼤量のアクセスを、なるべくオリジンサーバー に負荷をかけずに、どうやってサービスの品質を担保するか？ 対策例 ３つの要件を満たすために必要な対策例 JS Image HTML •コンテンツ キャッシュ •DDoS防御 •WAF •Firewall •TLS1.2強制化 •DNS •グローバル ロード バランサー

22. DNS DDoS Firewall TLS CDN WAF Cloudflare Edge CIS の効果的なパフォーマンスとセキュリティは、ネットワークの規模と安定性に基づいている

    165+ 全世界のデータセンターで 提供されています。 10% 3,000億 リクエスト/⽇を処理しています。 ⽇々、全世界の 以上の HTTP/Sリクエスト数 を処理しています Cloudflareサービスは Cloudflareサービスは 25 Tbps のネットワーク帯域 を持ちます。 1000万 ドメインで利⽤されています。 Cloudflareサービスは Cloudflareサービスは

23. CIS とは、DNSサービスである − IBM Cloud のサービスでも使われています root edu org com

    (TLD) example democis ibm cloud (Akamai) CIS (Cloudflare) functions delegation (zone) ibm.com domain ibm.com CIS (Cloudflare)

24. CIS のDNSは世界最速である − https://www.dnsperf.com/ で公表されている結果からも、 世界で最も⾼速な DNS 機能を提供していることがわかります。 DNSの機能 Ø

    CNAME Flattening Ø DNSSEC Ø Anycast Network シェアもNo.1で業界標準

25. CIS とは、グローバルロードバランサー（GLB）である − HTTP / HTTPS 通信に対して、負荷分散、フェイルオーバー、地理的ルーティングの機能を提供します。 − ハイブリッドクラウド環境やマルチクラウド環境でも、可⽤性とパフォーマンスを強化できます。 dal12

    dal13 lon02 lon04 mysite.example.com mysite.example.com DALLAS Pool LONDON Pool (Western Europe) (Default and Western North America) Primary Path Failover Path GLBの機能 Ø オリジンプール内の ラウンドロビン負荷分散 Ø オリジンプールの優先順位に 基づいたフェイルオーバー Ø クライアントの地理的な場所に 応じた振り分け設定 Ø HTTP / HTTPS 通信に対する 定期的なヘルスチェック Ø Email 通知, イベントログ Ø パラメータカスタマイズ

26. CIS とは、クラウド型リバースプロキシである − DNSレコードを追加し、プロキシーを有効化することでトラフィックがCIS経由となり、 DDoS、WAF、TLS、CDNなどの追加機能が利⽤できるようになります。 Proxy設定が無効 オリジン サーバー＠ 東京DC ユーザー

    ④161.202.xxx.xxx ③161.202.xxx.xxx ②www.example.comの 名前解決リクエスト CISの DNS＋GLB 最寄りの Cloudflare データセンター Proxy設定が有効 オリジン サーバー＠ 東京DC ユーザー ⑤ 161.202. xxx.xxx CISの DNS＋GLB ③104.x.x.x ①www.example.com にブラウザでアクセス ④104.x.x.x (anycast) TLS WAF DDoS CDN DNS GLB +α + DNS基本機能 リバースプロキシ追加機能 ①www.example.com にブラウザでアクセス ②www.example.comの 名前解決リクエスト

27. CIS とは、DDoS保護サービスである − リアルタイムな IP レピュテーションデータを活⽤し、 DNS とプロキシ先のオリジンの両⽅を保護 − 帯域幅によらない⼀律の価格設定

    （DDoS攻撃によるトラフィックの急増には課⾦しない） − サービス全体で、25 Tbps のネットワーク帯域 （これまでに記録された最⼤のDDoS攻撃の20倍の容量） CISで防御できるDDoS攻撃のタイプ 過去にあった攻撃の通信量

28. CIS とは、クラウド型WAFサービスである IBM Cloud 2019 / © 2019 IBM Corporation

    すべての脅威を記録し、トラフィックに関する深い洞察に基づいた WAF 機能を提供します。 企業の Web サイトの安全性を確⽴するためには、常に WAF 機能を有効化することをおすすめします。 簡単かつ強⼒なセキュリティ • 数分で WAF を適⽤可能です。 • OWASP* を含む、デフォルトの WAF ポリシーが提供され、 既知の脆弱性に対する攻撃を防御できます。 新規の脆弱性には、適時アップデートにより対処できます。 • お客様⾃⾝でカスタムルールを設定することもできます。 ⾼パフォーマンス • 1ms以下のレイテンシ、290万リクエスト／秒に対応します。 詳細なレポートによる透明性 • アクティブな ルールによってトリガされるイベントを閲覧可能です。 ルールID、アクション、要求元IPアドレス、国などを確認できます。 OWASPの脆弱性 オープン プロジェクトで作成 CISルールセット WAFエンジニアが作成し 顧客に影響を及ぼす 特定の脆弱性を緩和 カスタムルール 特定のニーズに合わせて 独⾃のWAFルールを作成

29. CIS とは、コンテンツデリバリーサービスである − コンテンツを物理的に訪問者の近くに移すことは、 パフォーマンスを改善する最も容易な⽅法の1つです。 − CISでは、標準でCDNキャッシュが有効です。 − ページ・ルールで、ページごとの振る舞いを設定できます。 IBM

    Cloud 2019 / © 2019 IBM Corporation

30. 30 デモ IBM Cloud 2019 / © 2019 IBM Corporation

31. IBM Cloud からすぐに始められる IBM Cloud 2019 / © 2019 IBM

    Corporation

32. CALL FOR CODE 2019 https://www.youtube.com/watch?v=20bknRt2jFQ IBMは2018年5⽉、パートナー団体と共に Call for Code という取り組みを発表しました。

    デベロッパーが最新の技術を駆使して、コードで世界にポジティブな変化を与えるための、多年にわたるグロー バル・イニシアチブです。データおよびAI、ブロックチェーン、IoT、クラウドといった技術により、世界中の デベロッパーが社会的な問題を解決することを⽀援します。 2 0 1 9 年 の C a l l f o r C o d e テ ー マ は 「 ⾃ 然 災 害 へ の 対 策 や 回 復 」 ま た は 「 ⼈ の 健 康 」 「 地 域 コ ミ ュ ニ テ ィ が 良 好 な 状 態 に な る ⽀ 援 す る こ と 」 ⾃ 然 災 害 を 打 ち 破 り 、 地 域 社 会 や 世 界 各 地 の 災害対策を強化するソリューションを構築するためのコンペティションです。 【対象】18歳以上の個⼈または最⼤5名までのチーム 【応募作品】IBM Cloud または IBM Systems を活⽤し、動作していること 【賞品】優勝チームには以下のAwardが贈られます。 • USD＄200,000 (2,200万円相当)の賞⾦ • Call for Code Global Prizeイベントへのご招待 • The Linux Foundationからの⻑期的なオープン・ソース・プロジェクトのサポート等 【スケジュール】 3/25(⽉) プロジェクト受付開始 7/29(⽉) 作品提出締切 8⽉~9⽉ 選考 10⽉ 優勝者チーム発表

33. 33 オススメのCIS関連資料 IBM Cloud 2019 / © 2019 IBM Corporation

34. <検索] ３分でわかるIBM Cloud *#.
    $MPVE
    
    $*4
    Documents IBM Code Patterns

35. 35 Appendix IBM Cloud 2019 / © 2019 IBM Corporation

36. Keyword – CISで使う⽤語の確認 DNS (ドメイン・ネーム・システム ) ⼈間が読める Web サイト名をコン ピューターが読める数値の

    IP アドレ スに変換する仕組み ロード・バランシング（負荷分散） 複数のサーバはコンピュータ機器に対 してリクエストや処理などを振り分け ること ヘルスチェック 周期的HTTP/HTTPS 要求により指定 URL のロード・バランシングをチェッ ク、異常時は障害のないサーバーに ルーティングする DDoS攻撃 (分散サービス妨害攻撃) 対象とその周辺に⼤量のトラフィック を送り、負担を掛け悪意を抱いてサー ビスを中断させようとすること WAF (Webアプリケーション・ファイアウォール) ポリシーと呼ぶルールを利⽤してISO レイヤー 7 の攻撃に対する保護を⾏う クロスサイト・フォージェリー、クロスサイト・ スクリプティング 、ファイル・インクルージョン、 SQL インジェクションなど キャッシング サーバー上に静的ファイルを保管する ことにより応答時間を改善、利⽤者に 近い場所から提供することでネット ワーク待ち時間も短縮する仕組み

37. どのような事例がありますか？ IBM Cloud 2019 / © 2019 IBM Corporation Compliance

    Reliability during Events Under Attack Performance Bakeoff • DDoS防御とWAFの対応 が必要だった。 • フルマネージドのDDoS防 御とWAFをご評価いただ いた。 • より⾼コスト・パフォー マンスなCDNを検討 • フルマネージドのDDoS防 御とWAFをご評価いただ いた。 DDoSやその他の 攻撃に備える サイトやアプリの パフォーマンスを向上 ピーク・トラフィック への対応 高可用性（HA)の 実現 ポータルサイト • アクセスが集中するイベ ントサイトで、安定した パフォーマンスを確保 • そのための、CDN、DDoS 防御と、グローバル・ ロード・バランサー機能 が必要だった • 個⼈情報を取り扱うため に、ログインページのIP アドレスを隠し、PCI DSS対応済みである必要 があった。 • グローバル・ロード・バ ランサー機能が必要。 教育機関 イベントサイト 会員向けページ

38. 参考：DDoS攻撃 (26/Mar) http://www.digitalattackmap.com/

39. Watson (AI)もAPIで提供

40. © 2019 International Business Machines Corporation ⼼理系 ⾔語系 IBM Watson

    / Watson API 紹介資料 Watsonの製品・サービス⼀覧 Watsonの製品・サービスは⽇々進化しています。 2019年2⽉12⽇現在のPublic Cloud上のAPI⼀覧は以下の通りとなります。 https://www.ibm.com/watson/developercloud/services-catalog.html Watson Assistant アプリケーションに⾃然⾔語インターフェースを追加してエンド ユーザとのやり取りを⾃動化 照会応答系 Text to Speech テキスト⽂章を⾳声に変換する Speech to Text ⾳声をテキスト⽂章に変換する Visual Recognition 画像コンテンツに含まれる意味を検出する 知識探索系 ⾳声系 Discovery 先進的な洞察エンジンを利⽤して、データの隠れた価値を解明し、 回答やトレンドを発⾒する Discovery News Discovery上に実装され、エンリッチ情報も付加されたニュースに 関する公開データセット Personality Insights テキストから筆者の性格を推定する Language Translator ※2 ⾃然⾔語テキストについて他⾔語へ翻訳を⾏う Natural Language Understanding ※1 ⾃然⾔語処理を通じてキーワード抽出、エンティティー抽出、概念 タグ付け、関係抽出などを⾏う Natural Language Classifier テキスト⽂章の分類を⾏う(質問の意図推定など) Tone Analyzer(⽇本語未対応) ※1 テキストから筆者の感情、社交性、⽂体を解析する Knowledge Studio コーディングなしに、業務知識から⽣成した機械学習モデルで、 ⾮構造テキストデータから洞察を取得 画像系 データ分析系 Watson Studio 機械学習モデル向けの作成と学習、データの準備と分析のための 統合環境 Machine Learning 機械学習モデル・深層学習モデルの作成、学習、実⾏環境 Knowledge Catalog 分析に必要なデータを加⼯・カタログ化できる分析データ準備環境 ※1 感情分析は⽇本語未対応です。 ※2 ⽇本語翻訳は英⽇・⽇英のみ対応しています。 Watson OpenScale AIに信頼性と透明性をもたらし、判定結果を説明し、バイアスを⾃動 的に排除する Compare and Comply(⽇本語未対応) 契約書や調達仕様書を分析し、⽂書間の⽐較や重要要素の抽出を⾏う

41. IBMのAIとは Augmented Intelligence ⼈間の知的活動を拡張するもの

42. Noriko Kato Developer Advocate IBM THANKS! t @noricokt #TryIBMDev ݕࡧ

43. 43 本講義では、IBM Cloudを題材に取り上げ、昨今業務系シス テムなどでも多く使われ始めている「クラウド・プラット フォーム」について学び、理解し、実際に使えるようになる ことを⽬的とします。 講師は、IBMの所属ですが、本講義は会社の営利・宣伝⽬的 ではありません。 また本講義内での発⾔及び資料へ掲載されている内容につい ては講師の個⼈的な⾒解・意⾒であり、IBMとは関係のない

    ものです。

44. 44