Slide 1

Slide 1 text

Copyright © IDS Corporation. All rights reserved. 1
 1

Slide 2

Slide 2 text

Copyright © IDS Corporation. All rights reserved. 2
 2
 自己紹介
 株式会社アイディーエス 小寺 加奈子(こでら かなこ) 【仕事】 AWSアライアンスリード 【好きなAWSサービス】 Cost Exploler 【その他】 AWS Top Engineers 2023(services) AWS Community Builder 2024 (Cloud Operation)

Slide 3

Slide 3 text

Copyright © IDS Corporation. All rights reserved. 3
 3
 アジェンダ
 
 
 
 ● Well-Architected フレームワークとは?
 ● どうやってベストプラクティスに近づける?
 
 


Slide 4

Slide 4 text

Copyright © IDS Corporation. All rights reserved. 4
 4
 今日のゴール
 
 
 
 ● Well-Architected フレームワークの概要を理解する (5つの柱を対象)
 ● ベストプラクティスを理解したうえで、自社で対応すべ き内容について理解する
 
 


Slide 5

Slide 5 text

Copyright © IDS Corporation. All rights reserved. 5
 5
 本日のテーマ


Slide 6

Slide 6 text

Copyright © IDS Corporation. All rights reserved. 6
 6
 みなさん、改めてWell-Architected フレームワークってな んでしょうか?
 What is Well-Architected ?
 AWSの10年以上の経験からまとめられたベストプラク ティクス集です。
 
 6つの柱から構成されており、
 従うべき「設定原則」が定義されています。


Slide 7

Slide 7 text

Copyright © IDS Corporation. All rights reserved. 7
 7
 6つの柱とは


Slide 8

Slide 8 text

Copyright © IDS Corporation. All rights reserved. 8
 8
 運用の優秀性
 
 ● 運用をコードとして実行する
 ● 小規模かつ可逆的な変更を頻繁に行う
 ● 運用手順を定期的に改善する ● 障害を予想する ● 運用上のあらゆる障害から学ぶ ● マネージドサービスを使用する ● オブザーバビリティを実装して実用的なインサイトを得る

Slide 9

Slide 9 text

Copyright © IDS Corporation. All rights reserved. 9
 9
 ● 人為的なミスをなくす仕組みづくり
 
 ● 誰がジョインしても大丈夫な
 運用手順のアップデート
 
 ● 定期的に、年に1度は障害を予測した訓練 を行う
 
 ● 障害から学ぶのは「ナレッジベース」に情 報を残す。後学のためにも。
 ● ビジネス上のKPIを定める!
 
 
 運用の優秀性は何を考慮すべき?
 


Slide 10

Slide 10 text

Copyright © IDS Corporation. All rights reserved. 10
 10
 セキュリティ 
 ● 強力なアイデンティティ基盤を実装する
 ● トレーサビリティの実現
 ● 全レイヤーでセキュリティを適用する
 ● セキュリティのベストプラクティスを自動化する
 ● 伝送中および保管中のデータを保護する
 ● データに人の手を入れない
 ● セキュリティイベントに備える


Slide 11

Slide 11 text

Copyright © IDS Corporation. All rights reserved. 11
 11
 ● 最小特権の原則に基づく。
 すべてAdministratorAccessではない?
 
 ● IDは一元管理して、ログで追跡可能に
 
 ● すべてのレイヤーがセキュリティ管理の対象
 
 ● 暗号化などは徹底して実施(SSLのみが対 象ではない)
 ● インシデントの予測=リスク管理
 
 
 セキュリティは何を考慮すべき?
 


Slide 12

Slide 12 text

Copyright © IDS Corporation. All rights reserved. 12
 12
 信頼性 
 ● 障害から自動的に復旧する
 ● 復旧手順をテストする
 ● 水平方向にスケールしてワークロード全体の可用性を高 める
 ● キャパシティーを推測することをやめる
 ● オートメーションで変更を管理する


Slide 13

Slide 13 text

Copyright © IDS Corporation. All rights reserved. 13
 13
 ● 障害がおこったときの自動通知と自動復旧 (止まったままにならないよう)
 
 ● 作った手順で復旧できるか?
 
 ● 障害点を特定しておく
 
 ● 自動的にキャパシティが拡張できるように! (停止しないように事前に備える)
 
 ● 変更管理も自動化を
 信頼性は何を考慮すべき?


Slide 14

Slide 14 text

Copyright © IDS Corporation. All rights reserved. 14
 14
 パフォーマンス効率 
 ● 高度なテクノロジーを誰でも使えるようにする
 ● 数分でグローバルに展開する
 ● サーバーレスアーキテクチャを使用する
 ● 実験の頻度を高める
 ● メカニカルシンパシーを検討する


Slide 15

Slide 15 text

Copyright © IDS Corporation. All rights reserved. 15
 15
 ● 製品の開発=本業へ集中できるようアップデー トを取り入れる。(ベンダー任せではなく)
 
 ● サーバーレスアーキテクチャを取り入れ よう
 
 ● リソースを自動的に起動できる仕組みづ くりで、いろいろなタイプで開発の検証を
 ● データの効率性を考える
 パフォーマンス効率は何を考慮すべき?


Slide 16

Slide 16 text

Copyright © IDS Corporation. All rights reserved. 16
 16
 コスト最適化 
 ● クラウド財務管理を実装する
 ● 消費モデルを導入する
 ● 全体的な効率を測定する
 ● 差別化につながらない高負荷の作業に費用をかけるのを やめる
 ● 費用を分析し帰属関係を明らかにする


Slide 17

Slide 17 text

Copyright © IDS Corporation. All rights reserved. 17
 17
 ● 「コスト効率」を達成できる組織作り
 
 ● 必要な使用分のみを支払うように
 開発環境もずっと起動していない?
 
 ● コストのモニタリングを行う
 なんとなくクラウドだから利用が増えても仕方ないと 思っていないか?
 
 ● 費用の分析=ビジネス指標をもつ
 常にROIを意識する
 
 コスト最適化は何を考慮すべき?


Slide 18

Slide 18 text

Copyright © IDS Corporation. All rights reserved. 18
 18
 本日のテーマ
 ● どのように自社に適用するのか?


Slide 19

Slide 19 text

Copyright © IDS Corporation. All rights reserved. 19
 19
 診断をして自社に適用する部分を理解する
 AWS Well-Architected Framework診断でできること

Slide 20

Slide 20 text

Copyright © IDS Corporation. All rights reserved. 20
 20
 まずは診断を行ってみる
 スコアで今の現状を知ることができる! リスクは「High Risk」とそうではないものに分類 すべて診断するのが難しい場合は、1つの柱だけでも 対応を⾏うことに意味がある

Slide 21

Slide 21 text

Copyright © IDS Corporation. All rights reserved. 21
 21
 診断レポート例


Slide 22

Slide 22 text

Copyright © IDS Corporation. All rights reserved. 22
 22
 続いて
 第2部ではセキュリティの柱の中から 重要項⽬について、「ログ管理」として お伝えいたします!

Slide 23

Slide 23 text

Copyright © IDS Corporation. All rights reserved. 23
 第2部
 ログ記録


Slide 24

Slide 24 text

Copyright © IDS Corporation. All rights reserved. 24
 24
 自己紹介
 ログ記録
 名前:
 大島雪乃
 
 経歴:
 株式会社アイディーエス 
 サニークラウド事業部
   
 好きなもの:
 猫とビール
 
 好きなAWSサービス:
 AWS Organizations


Slide 25

Slide 25 text

Copyright © IDS Corporation. All rights reserved. 25
 25
 Agenda
 • 01. アンチパターン
 • 02. アンチパターンに対しての解決策
 • 03. 具体的な設定例のご紹介
 
 ログ記録


Slide 26

Slide 26 text

Copyright © IDS Corporation. All rights reserved. 26
 ログ記録
 アンチパターン
 • 必要な場合に備えて、あらゆるタイプのログを保存する。 • ログが永久に保存される、またはすぐに削除される。
 • 誰でもログにアクセスできる。
 • 必要な場合にのみログ整合性をチェックする。 • ログガバナンスと使用について、手動プロセスのみに依存する。


Slide 27

Slide 27 text

Copyright © IDS Corporation. All rights reserved. 27
 ログ記録
 アンチパターンに対しての解決策
 • 必要な場合に備えて、あらゆるタイプのログを保存する。 →セキュリティ要件に合わせたログを取得する • ログが永久に保存される、またはすぐに削除される。 • 誰でもログにアクセスできる。 • 必要な場合にのみログ整合性をチェックする。 →適切なログ保持期間・アクセス権限を識別する • ログガバナンスと使用について、手動プロセスのみに依存する。 →適切な保持とライフサイクルポリシーを使う

Slide 28

Slide 28 text

Copyright © IDS Corporation. All rights reserved. 28
 ログ記録 –アンチパターンに対しての解決策-
 セキュリティ要件に合わせたログを取得する
 AWSのサービスのログ
 環境に合わせたログ
 • 取得するログの種類
 ログ名 CloudTrailログ(AWS) VPCフローログ(AWS) ALBアクセスログ(AWS) /var/log/message(OS)
 /var/log/secure(OS) 監査ログ(アプリ) アクセスログ(アプリ)

Slide 29

Slide 29 text

Copyright © IDS Corporation. All rights reserved. 29
 適切なログ保持期間・アクセス権限を識別する
 ログ名 保管期間 CloudTrailログ(AWS) 1年 VPCフローログ(AWS) 1か月
 ALBアクセスログ(AWS) 半年 /var/log/message(OS)
 1年 /var/log/secure(OS) 1年 監査ログ(アプリ) 1年 アクセスログ(アプリ) 1年 AWS Cloud S3 S3 Backet Backet Policy ログ記録 –アンチパターンに対しての解決策-


Slide 30

Slide 30 text

Copyright © IDS Corporation. All rights reserved. 30
 適切な保持とライフサイクルポリシーを使う
 S3 Standard S3 標準-IA ログファイルA
 アップロード
 0日
 90日
 180日
 365日
 ログファイルA の削除
 アクセス頻度の高い ファイル向け
 アクセス頻度が低いが すぐに取り出す必要 があるファイル向け
 アクセスがほぼなく、
 即時取り出しを必要 
 としないファイル向け 
 S3 Glacier Flexible Retrieval ログ記録 –アンチパターンに対しての解決策-


Slide 31

Slide 31 text

Copyright © IDS Corporation. All rights reserved. 31
 ログ記録
 アンチパターンに対しての解決策
 • 必要な場合に備えて、あらゆるタイプのログを保存する。 →セキュリティ要件に合わせたログを取得する • ログが永久に保存される、またはすぐに削除される。 • 誰でもログにアクセスできる。 • 必要な場合にのみログ整合性をチェックする。 →適切なログ保持期間・アクセス権限を識別する • ログガバナンスと使用について、手動プロセスのみに依存する。 →適切な保持とライフサイクルポリシーを使う

Slide 32

Slide 32 text

Copyright © IDS Corporation. All rights reserved. 32
 ログ記録
 設定例のご紹介


Slide 33

Slide 33 text

Copyright © IDS Corporation. All rights reserved. 33
 ログ記録
 設定例のご紹介
 • CloudTrailの監査証跡をS3に保存
 AWS Cloud AWS CloudTrail S3 Cloud Trailのログの
 最大保管期間は90日
 ・最大保存期間を1年にする
 ・ライフサイクルポリシーの 
  設定
 ・編集の禁止権限
 ・全員からの削除不可権限
 ログ格納


Slide 34

Slide 34 text

Copyright © IDS Corporation. All rights reserved. 34
 ログ記録 –設定例のご紹介-
 CloudTrailの監査証跡をS3に保存
 • CloudTrailの証跡とS3バケットの作成
 S3のデータイベント(変更/ 削除/追加)を記録するログ


Slide 35

Slide 35 text

Copyright © IDS Corporation. All rights reserved. 35
 CloudTrailの監査証跡をS3に保存
 • S3バケットにログが格納されていることを確認
 ログ記録 –設定例のご紹介-


Slide 36

Slide 36 text

Copyright © IDS Corporation. All rights reserved. 36
 ログ記録 –設定例のご紹介-
 CloudTrailの監査証跡をS3に保存
 • S3のライフサイクルの設定


Slide 37

Slide 37 text

Copyright © IDS Corporation. All rights reserved. 37
 ログ記録 –設定例のご紹介-
 CloudTrailの監査証跡をS3に保存
 • S3のライフサイクルの設定
 S3 Standard 0日
 90日
 S3 Glacier Flexible Retrieval 365日
 削除


Slide 38

Slide 38 text

Copyright © IDS Corporation. All rights reserved. 38
 ログ記録 –設定例のご紹介-
 CloudTrailの監査証跡をS3に保存
 • S3のライフサイクルの設定


Slide 39

Slide 39 text

Copyright © IDS Corporation. All rights reserved. 39
 ログ記録 –設定例のご紹介-
 CloudTrailの監査証跡をS3に保存
 • S3バケットポリシーの設定
 { "Sid": "ReadOnly", "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": "s3:DeleteObject", "Resource": "arn:aws:s3:::aws-cloudtrail-logs-123456789012 -6cbd7c96/*" }, { "Sid": "ReadOnly2", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::123456789012:user/test" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::aws-cloudtrail-logs-123456789012-6cbd7c96/*“ }
 全てのアカウントで
 オブジェクト削除禁止
 Testユーザーは
 オブジェクトへの
 書き込み禁止


Slide 40

Slide 40 text

Copyright © IDS Corporation. All rights reserved. 40
 ログ記録 –設定例のご紹介-
 CloudTrailの監査証跡をS3に保存
 • S3バケットポリシーの設定確認


Slide 41

Slide 41 text

Copyright © IDS Corporation. All rights reserved. 41
 ログ記録 –設定例のご紹介-
 CloudTrailの監査証跡をS3に保存
 • S3バケットポリシーの設定確認


Slide 42

Slide 42 text

Copyright © IDS Corporation. All rights reserved. 42
 ログ記録
 アンチパターンに対しての解決策
 • 必要な場合に備えて、あらゆるタイプのログを保存する。 →セキュリティ要件に合わせたログを取得する • ログが永久に保存される、またはすぐに削除される。 • 誰でもログにアクセスできる。 • 必要な場合にのみログ整合性をチェックする。 →適切なログ保持期間・アクセス権限を識別する • ログガバナンスと使用について、手動プロセスのみに依存する。 →適切な保持とライフサイクルポリシーを使う

Slide 43

Slide 43 text

Copyright © IDS Corporation. All rights reserved. 43
 AWS構築‧導⼊⽀援〜運⽤保守を トータルサポート「SunnyCloud」 https://www.sunnycloud.jp/