Copyright © 2017 KDDI Corporation. All Rights Rese 参加レポート re:Port 2017 2017.12.05 #2 15:00〜15:20

1 ⾃⼰紹介 ⼤橋 衛（オオハシ マモル） KDDI株式会社 プラットフォーム開発本部 社内API基盤戦略策定 AWS社内エヴァ／クラウドコンサル アプリエンジニア12年 インフラエンジニア4年 クラウドエンジニア5年⽬(=AWS歴) 好きなAWSサービス︓IAM/SNS/Lambda

アジェンダ 2 Copyright © 2017 KDDI Corporation. All Rights Reserved n 弊社のreInvent参加テーマ n マルチアカウント戦略／ガバナンス戦略 n ⼤橋的「トリハダ」サービス３つ n おまけコーナー

AWS re:Invent 2017 参加テーマ 3 Copyright © 2017 KDDI Corporation. All Rights Reserved CONTAINER / SERVERLESS SECURITY / COMPLIANCE +

AWS re:Invent 2017 参加テーマ 4 Copyright © 2017 KDDI Corporation. All Rights Reserved CONTAINER / SERVERLESS SECURITY / COMPLIANCE +

参加セッション⼀覧 5 Copyright © 2017 KDDI Corporation. All Rights Reserved EBC (個別セッション) AWS Cloud Adoption Framework Security Perspective(*postponded) Container Services (ECS, ECR and other container orchestration services on EC2) Break out sessions ARC406 - Amazon.com - Replacing 100s of Oracle DBs with Just One: DynamoDB ARC316 - Getting from Here to There: A Journey from On-premises to Serverless Architecture CON214 - NEW LAUNCH! Introducing AWS Fargate CON215 - NEW LAUNCH! Introducing Amazon EKS CON307 - Building Effective Container Images (Overflow) CON320 - Monitoring, Logging, and Debugging for Containerized Services CON402 - Advanced Patterns in Microservices Implementation with Amazon ECS CMP330 - NEW LAUNCH! Amazon EC2 Bare Metal Instances CTD310 - Living on the Edge, It’s Safer Than You Think! Building Strong with Amazon CloudFront, AWS Shield and AWS WAF. DAT308 - A story of Netflix and AB Testing in the User Interface using DynamoDB DAT318 - NEW LAUNCH! Deep dive on Amazon Neptune DEV339 Using AWS Management Tools to Enable Governance, Compliance, Operational, and Risk Auditing DEV314 - Monitoring as Code: Getting to Monitoring-Driven Development GPSTEC314 From Monolithic to Serverless GPSTEC321 VMWare Cloud on AWS Technical deep dive and native AWS Services Integration GPSTEC325 Enterprise Storage IOT207 - Panasonic - Building the Road of the Future on AWS IOT324-R - [REPEAT] Best Practices for Connected Home Automation Platforms on AWS SID301 - Using AWS Lambda as a Security Team SID305 HOW CROWDSTRIKE Built a Realtime Securty monitoring service on AWS SID308-R - [REPEAT] Multi-Account Strategies SID322 - The AWS Philosophy of Security SRV335-OFM [OVERFLOW]Best Practice for Orchestrating AWS Lambda Workloads アーキテクチャ︓3 コンテナ︓5 コンピュート︓2 CDN︓1 データストア︓3 DevOps︓2 IoT︓2 セキュリティ＆アイデンティティ︓4 サーバレス︓1

6 Copyright © 2017 KDDI Corporation. All Rights Reserved ❏ マルチアカウント戦略 ❏ ガバナンス戦略 マルチアカウント戦略 ガバナンス戦略

7 Copyright © 2017 KDDI Corporation. All Rights Reserved ❏ マルチアカウント戦略 ❏ ガバナンス戦略 マルチアカウント戦略 ガバナンス戦略

マルチアカウント戦略のグローバルベストプラクティス 8 Copyright © 2017 KDDI Corporation. All Rights Reserved ❏ Organizations利⽤はデフォ ❏ 管理⽤グループを作り、 機能別にアカウントを作成 ❏ ユーザー⽤グループを作り、 環境別にアカウントを配布 ❏ 共有サービスもありオンプレ とも連携 ❏ 単純なお試しアカウントも 存在 ❏ 全てのログは管理⽤グループ に集約 SID308 - Multi-Account Strategies

KDDIにおけるマルチアカウント戦略 9 Copyright © 2017 KDDI Corporation. All Rights Reserved ❏ Organizationは 諸事情により未使⽤ ❏ 管理者アカウントx2、 １システム×環境別 アカウント ❏ 踏み台＆運⽤サーバは 分離して環境毎に存在 ❏ ミニマムガバナンス以 外はすべてフリーの検 証⽤アカウントも⽤意 ❏ 全ユーザアカウントの 上位にPayerが存在 管理者アカウント群 ユーザアカウント群 バーチャルセキュリティルーム(Stg) バーチャルセキュリティルーム(Prd) ユーザアカウント(Stg) ユーザアカウント(Prd) 運⽤者

グローバルとのギャップ 10 Copyright © 2017 KDDI Corporation. All Rights Reserved ❏グローバルのデファクトから⽐較しても⼤筋間 違ってはいない模様 ❏共有機能アカウントをユーザー側に作るのは 迷っていたがグローバルデファクトなら ぜひ適⽤したい(オンプレとの接続含む) ❏Organizationsの利⽤は再考が必要

11 Copyright © 2017 KDDI Corporation. All Rights Reserved ❏ マルチアカウント戦略 ❏ ガバナンス戦略 マルチアカウント戦略 ガバナンス戦略

ガバナンス戦略のグローバルベストプラクティス 12 Copyright © 2017 KDDI Corporation. All Rights Reserved ❏ CloudTrailはもちろん デフォルトでON ❏ 回復/強制機能はサーバレス で組むのがトレンド ❏ CludWatchLogs/CloudTra ilをフィルタしLambda起動 ❏ 各種リソースイベントから Lambda invokeさせて流す タイプもある ❏ Lambdaに⾏ければどんな 制御も可能に︕ SID301- Using AWS Lambda as a Security Team

KDDIにおけるガバナンス戦略 13 Copyright © 2017 KDDI Corporation. All Rights Reserved ❏ CloudWatch Events とCloudWatch Logs のメトリックフィルタ を使⽤ ❏ SNS経由でLambdaを トリガ・定期実⾏も CloudWatch Events でLambda実⾏ ❏ 実⾏情報をSlackや メールで運⽤者並びに 関係者に通知

グローバルとのギャップ 14 Copyright © 2017 KDDI Corporation. All Rights Reserved ❏CloudWatch EventsやCloudWatch Logsドリブンの ⽅式はグローバルとほぼ変わらない ❏S3 Pushイベントなどに代表されるリソース変更契機の チェックはぜひ実装したい ❏アプリのログをKinesisに流してストリーミングで リアルタイム検知するなど AWSリソースレイヤ以外の ⾼度なガバナンスにも挑戦していきたい ❏Amazon GuardDuty/AWS Systems Managerとの 連携も考慮

まとめ Copyright © 2017 KDDI Corporation. All Rights Reserved 15

まとめ 16 Copyright © 2017 KDDI Corporation. All Rights Reserved ❏弊社のマルチアカウント戦略・ガバナンス戦略の アプローチは間違ってなさそう ❏ネットワークセキュリティを含め、このレイヤは AWSの進化の注⽬点になってるぽい ❏現⾏の統制機能はよりマネージド／サーバレスへ 移⾏させていく予定

⼤橋的『トリハダ』サービス3つ Copyright © 2017 KDDI Corporation. All Rights Reserved 17

NO.1

19 Copyright © 2017 KDDI Corporation. All Rights Reserved

No.1 『AWS Cloud9』 ❏ 絶対に出る！と出国前から予言してた(本人驚愕) ❏ AWSインフラプログラマ待望のIDE ❏ Lambdaデバッグが超カンタンに！ ❏ コードフォーマッタ・補完機能も充実 ❏ ローカルテスト/商用デプロイも一発 ❏ EC2へのターミナルアクセスもIDEからOK! ❏ AWSリソース制御がどこまで連携可能か調査したい Copyright © 2017 KDDI Corporation. All Rights Reserved 20

NO.2

22 Copyright © 2017 KDDI Corporation. All Rights Reserved

23 Copyright © 2017 KDDI Corporation. All Rights Reserved No.2 『Amazon GuardDuty』 ❏ ざっくり言うとクラウドネイティブIDS/IPS ❏ シグネチャ検知のみならずアノマリ検知にも対応 ❏ シグネチャはインポートもできる(他社/自作) ❏ Lambda等へのインテグレーションがアツい ❏ 対応ソースが拡張されて、 アプリログを取り込んでアノマ リ検知できるようになったら超面白い！

NO.3

25 Copyright © 2017 KDDI Corporation. All Rights Reserved Amazon EC2 BareMatal

26 Copyright © 2017 KDDI Corporation. All Rights Reserved No.3 『Amazon EC2 BareMatal』 ❏ C5インスタンスのNitro Hypervisorをも取っ払い、OS から直接EC2のハードを触れるようになった感じ ❏ 当然ハードウェア専有インスタンスになる ❏ 他のAWSリソースとの親和性が高いはずなので、EC2と 同レベルでのLift&Shiftが期待出来る ❏ 弊社のPrivateクラウドとの使い分け、棲み分けの 検討を迫られることになった

おまけコーナー︕ Copyright © 2017 KDDI Corporation. All Rights Reserved 27

①NW-JAWS in LasVegas やりました︕ 28 Copyright © 2017 KDDI Corporation. All Rights Reserved 聴講者＋スタッフあわせてなんと７０名超の参加︕ 意識⾼い⼈が多いから実はこっちのが集まりやすいのかも︕︖

②グランドキャニオンに⾏ってきました︕ 29 Copyright © 2017 KDDI Corporation. All Rights Reserved AWSと同じくスケールの違いはまさに圧倒的レベル︕ 「⼈⽣観変わる」の意味が⾏ってみると分かる︕

③[宣伝]au世界データ定額、いいですよ︕ 30 Copyright © 2017 KDDI Corporation. All Rights Reserved 少しの準備だけで現地についたら1クリックで利⽤可︕ 弊社の⽶国でのモバイルネットワーク、評判いいです︕（個⼈的にも体感済み）

Copyright © 2017 KDDI Corporation. All Rights Reserved Thank you for Listening!