Slide 1

Slide 1 text

Copyright © 2017 KDDI Corporation. All Rights Rese 参加レポート re:Port 2017 2017.12.05 #2 15:00〜15:20

Slide 2

Slide 2 text

1 ⾃⼰紹介 ⼤橋 衛(オオハシ マモル) KDDI株式会社 プラットフォーム開発本部 社内API基盤戦略策定 AWS社内エヴァ/クラウドコンサル アプリエンジニア12年 インフラエンジニア4年 クラウドエンジニア5年⽬(=AWS歴) 好きなAWSサービス︓IAM/SNS/Lambda

Slide 3

Slide 3 text

アジェンダ 2 Copyright © 2017 KDDI Corporation. All Rights Reserved n 弊社のreInvent参加テーマ n マルチアカウント戦略/ガバナンス戦略 n ⼤橋的「トリハダ」サービス3つ n おまけコーナー

Slide 4

Slide 4 text

AWS re:Invent 2017 参加テーマ 3 Copyright © 2017 KDDI Corporation. All Rights Reserved CONTAINER / SERVERLESS SECURITY / COMPLIANCE +

Slide 5

Slide 5 text

AWS re:Invent 2017 参加テーマ 4 Copyright © 2017 KDDI Corporation. All Rights Reserved CONTAINER / SERVERLESS SECURITY / COMPLIANCE +

Slide 6

Slide 6 text

参加セッション⼀覧 5 Copyright © 2017 KDDI Corporation. All Rights Reserved EBC (個別セッション) AWS Cloud Adoption Framework Security Perspective(*postponded) Container Services (ECS, ECR and other container orchestration services on EC2) Break out sessions ARC406 - Amazon.com - Replacing 100s of Oracle DBs with Just One: DynamoDB ARC316 - Getting from Here to There: A Journey from On-premises to Serverless Architecture CON214 - NEW LAUNCH! Introducing AWS Fargate CON215 - NEW LAUNCH! Introducing Amazon EKS CON307 - Building Effective Container Images (Overflow) CON320 - Monitoring, Logging, and Debugging for Containerized Services CON402 - Advanced Patterns in Microservices Implementation with Amazon ECS CMP330 - NEW LAUNCH! Amazon EC2 Bare Metal Instances CTD310 - Living on the Edge, It’s Safer Than You Think! Building Strong with Amazon CloudFront, AWS Shield and AWS WAF. DAT308 - A story of Netflix and AB Testing in the User Interface using DynamoDB DAT318 - NEW LAUNCH! Deep dive on Amazon Neptune DEV339 Using AWS Management Tools to Enable Governance, Compliance, Operational, and Risk Auditing DEV314 - Monitoring as Code: Getting to Monitoring-Driven Development GPSTEC314 From Monolithic to Serverless GPSTEC321 VMWare Cloud on AWS Technical deep dive and native AWS Services Integration GPSTEC325 Enterprise Storage IOT207 - Panasonic - Building the Road of the Future on AWS IOT324-R - [REPEAT] Best Practices for Connected Home Automation Platforms on AWS SID301 - Using AWS Lambda as a Security Team SID305 HOW CROWDSTRIKE Built a Realtime Securty monitoring service on AWS SID308-R - [REPEAT] Multi-Account Strategies SID322 - The AWS Philosophy of Security SRV335-OFM [OVERFLOW]Best Practice for Orchestrating AWS Lambda Workloads アーキテクチャ︓3 コンテナ︓5 コンピュート︓2 CDN︓1 データストア︓3 DevOps︓2 IoT︓2 セキュリティ&アイデンティティ︓4 サーバレス︓1

Slide 7

Slide 7 text

6 Copyright © 2017 KDDI Corporation. All Rights Reserved ❏ マルチアカウント戦略 ❏ ガバナンス戦略 マルチアカウント戦略 ガバナンス戦略

Slide 8

Slide 8 text

7 Copyright © 2017 KDDI Corporation. All Rights Reserved ❏ マルチアカウント戦略 ❏ ガバナンス戦略 マルチアカウント戦略 ガバナンス戦略

Slide 9

Slide 9 text

マルチアカウント戦略のグローバルベストプラクティス 8 Copyright © 2017 KDDI Corporation. All Rights Reserved ❏ Organizations利⽤はデフォ ❏ 管理⽤グループを作り、 機能別にアカウントを作成 ❏ ユーザー⽤グループを作り、 環境別にアカウントを配布 ❏ 共有サービスもありオンプレ とも連携 ❏ 単純なお試しアカウントも 存在 ❏ 全てのログは管理⽤グループ に集約 SID308 - Multi-Account Strategies

Slide 10

Slide 10 text

KDDIにおけるマルチアカウント戦略 9 Copyright © 2017 KDDI Corporation. All Rights Reserved ❏ Organizationは 諸事情により未使⽤ ❏ 管理者アカウントx2、 1システム×環境別 アカウント ❏ 踏み台&運⽤サーバは 分離して環境毎に存在 ❏ ミニマムガバナンス以 外はすべてフリーの検 証⽤アカウントも⽤意 ❏ 全ユーザアカウントの 上位にPayerが存在 管理者アカウント群 ユーザアカウント群 バーチャルセキュリティルーム(Stg) バーチャルセキュリティルーム(Prd) ユーザアカウント(Stg) ユーザアカウント(Prd) 運⽤者

Slide 11

Slide 11 text

グローバルとのギャップ 10 Copyright © 2017 KDDI Corporation. All Rights Reserved ❏グローバルのデファクトから⽐較しても⼤筋間 違ってはいない模様 ❏共有機能アカウントをユーザー側に作るのは 迷っていたがグローバルデファクトなら ぜひ適⽤したい(オンプレとの接続含む) ❏Organizationsの利⽤は再考が必要

Slide 12

Slide 12 text

11 Copyright © 2017 KDDI Corporation. All Rights Reserved ❏ マルチアカウント戦略 ❏ ガバナンス戦略 マルチアカウント戦略 ガバナンス戦略

Slide 13

Slide 13 text

ガバナンス戦略のグローバルベストプラクティス 12 Copyright © 2017 KDDI Corporation. All Rights Reserved ❏ CloudTrailはもちろん デフォルトでON ❏ 回復/強制機能はサーバレス で組むのがトレンド ❏ CludWatchLogs/CloudTra ilをフィルタしLambda起動 ❏ 各種リソースイベントから Lambda invokeさせて流す タイプもある ❏ Lambdaに⾏ければどんな 制御も可能に︕ SID301- Using AWS Lambda as a Security Team

Slide 14

Slide 14 text

KDDIにおけるガバナンス戦略 13 Copyright © 2017 KDDI Corporation. All Rights Reserved ❏ CloudWatch Events とCloudWatch Logs のメトリックフィルタ を使⽤ ❏ SNS経由でLambdaを トリガ・定期実⾏も CloudWatch Events でLambda実⾏ ❏ 実⾏情報をSlackや メールで運⽤者並びに 関係者に通知

Slide 15

Slide 15 text

グローバルとのギャップ 14 Copyright © 2017 KDDI Corporation. All Rights Reserved ❏CloudWatch EventsやCloudWatch Logsドリブンの ⽅式はグローバルとほぼ変わらない ❏S3 Pushイベントなどに代表されるリソース変更契機の チェックはぜひ実装したい ❏アプリのログをKinesisに流してストリーミングで リアルタイム検知するなど AWSリソースレイヤ以外の ⾼度なガバナンスにも挑戦していきたい ❏Amazon GuardDuty/AWS Systems Managerとの 連携も考慮

Slide 16

Slide 16 text

まとめ Copyright © 2017 KDDI Corporation. All Rights Reserved 15

Slide 17

Slide 17 text

まとめ 16 Copyright © 2017 KDDI Corporation. All Rights Reserved ❏弊社のマルチアカウント戦略・ガバナンス戦略の アプローチは間違ってなさそう ❏ネットワークセキュリティを含め、このレイヤは AWSの進化の注⽬点になってるぽい ❏現⾏の統制機能はよりマネージド/サーバレスへ 移⾏させていく予定

Slide 18

Slide 18 text

⼤橋的『トリハダ』サービス3つ Copyright © 2017 KDDI Corporation. All Rights Reserved 17

Slide 19

Slide 19 text

NO.1

Slide 20

Slide 20 text

19 Copyright © 2017 KDDI Corporation. All Rights Reserved

Slide 21

Slide 21 text

No.1 『AWS Cloud9』 ❏ 絶対に出る!と出国前から予言してた(本人驚愕) ❏ AWSインフラプログラマ待望のIDE ❏ Lambdaデバッグが超カンタンに! ❏ コードフォーマッタ・補完機能も充実 ❏ ローカルテスト/商用デプロイも一発 ❏ EC2へのターミナルアクセスもIDEからOK! ❏ AWSリソース制御がどこまで連携可能か調査したい Copyright © 2017 KDDI Corporation. All Rights Reserved 20

Slide 22

Slide 22 text

NO.2

Slide 23

Slide 23 text

22 Copyright © 2017 KDDI Corporation. All Rights Reserved

Slide 24

Slide 24 text

23 Copyright © 2017 KDDI Corporation. All Rights Reserved No.2 『Amazon GuardDuty』 ❏ ざっくり言うとクラウドネイティブIDS/IPS ❏ シグネチャ検知のみならずアノマリ検知にも対応 ❏ シグネチャはインポートもできる(他社/自作) ❏ Lambda等へのインテグレーションがアツい ❏ 対応ソースが拡張されて、 アプリログを取り込んでアノマ リ検知できるようになったら超面白い!

Slide 25

Slide 25 text

NO.3

Slide 26

Slide 26 text

25 Copyright © 2017 KDDI Corporation. All Rights Reserved Amazon EC2 BareMatal

Slide 27

Slide 27 text

26 Copyright © 2017 KDDI Corporation. All Rights Reserved No.3 『Amazon EC2 BareMatal』 ❏ C5インスタンスのNitro Hypervisorをも取っ払い、OS から直接EC2のハードを触れるようになった感じ ❏ 当然ハードウェア専有インスタンスになる ❏ 他のAWSリソースとの親和性が高いはずなので、EC2と 同レベルでのLift&Shiftが期待出来る ❏ 弊社のPrivateクラウドとの使い分け、棲み分けの 検討を迫られることになった

Slide 28

Slide 28 text

おまけコーナー︕ Copyright © 2017 KDDI Corporation. All Rights Reserved 27

Slide 29

Slide 29 text

①NW-JAWS in LasVegas やりました︕ 28 Copyright © 2017 KDDI Corporation. All Rights Reserved 聴講者+スタッフあわせてなんと70名超の参加︕ 意識⾼い⼈が多いから実はこっちのが集まりやすいのかも︕︖

Slide 30

Slide 30 text

②グランドキャニオンに⾏ってきました︕ 29 Copyright © 2017 KDDI Corporation. All Rights Reserved AWSと同じくスケールの違いはまさに圧倒的レベル︕ 「⼈⽣観変わる」の意味が⾏ってみると分かる︕

Slide 31

Slide 31 text

③[宣伝]au世界データ定額、いいですよ︕ 30 Copyright © 2017 KDDI Corporation. All Rights Reserved 少しの準備だけで現地についたら1クリックで利⽤可︕ 弊社の⽶国でのモバイルネットワーク、評判いいです︕(個⼈的にも体感済み)

Slide 32

Slide 32 text

Copyright © 2017 KDDI Corporation. All Rights Reserved Thank you for Listening!