AWSアンチパターン戦記

Slide 1

Slide 1 text

AWSアンチパターン戦記 2024.7 アマゾンウェブサービスジャパン荒⽊靖宏

Slide 2

Slide 2 text

Xへの投稿の際は、ハッシュタグ #cm_odyssey でお願いいたします。 2 お願い

Slide 3

Slide 3 text

$ whoami 荒⽊はAWSのSAです AWSをつかいはじめて17年ソリューションアーキテクト（SA）13年 AWSアンチパターン研究 12年

Slide 4

Slide 4 text

本題のまえに

Slide 5

Slide 5 text

AWS サポート⽬的を達成するための専⾨的なガイダンスとアシスタンスを⼊⼿

Slide 6

Slide 6 text

https://aws.amazon.com/jp/premiumsupport/tech-support-guidelines/

Slide 7

Slide 7 text

アンチパターンに準備をして挑むべしプラクティスをアウトプットするべし

Slide 8

Slide 8 text

AWSアンチパターン

Slide 9

Slide 9 text

AWSアンチパターンのこれまで発表日タイトル（一部抜粋） 2022年10月 AWSで2022に打破されたアンチパターン(2022.09まで) 2022年1月 JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介 2018年5月失敗例を成功に変えるAWSアンチパターン 2015年6月失敗例を成功に変える AWSアンチパターンのご紹介 2012年10月 [AWS Summit 2012] クラウドデザインパターン#8 CDP アンチパターン編

Slide 10

Slide 10 text

AWSアンチパターンのこれまで 2012年10月 [AWS Summit 2012] クラウドデザインパターン#8 CDP アンチパターン編 AWSクラウドデザインパターンとは... AWSクラウドを使ったシステムアーキテクチャ設計を⾏う際に発⽣する、典型的な問題とそれに対する解決策‧設計⽅法を、分かりやすく分類して、ノウハウとして利⽤できるように整理したもの

Slide 11

Slide 11 text

アンチパターン動作やプロセス、構造について、当初は妥当であったのに、最終的に悪い結果が繰り返されるリファクタリングするための⽅法が存在する

Slide 12

Slide 12 text

システムを取り巻く環境利⽤者とその環境あなたの作ったサービス AWSのサービス群

Slide 13

Slide 13 text

システム構築時利⽤者とその環境あなたの作るサービス AWSのサービス群 XXXみたいなサービス作りたいのでベストプラクティスを教えて！ XXXなら、 1.6TBのHDD がある c1.xlargeで XXXさん、 DynamoDB活⽤されてます XXXさん、 VPNだと帯域たりないので専⽤線つかってますとあるSA

Slide 14

Slide 14 text

動作するシステム妥当なシステムアンチパターン環境の変化リファクタリングシステム構築は「妥当点」でリリースされそれははじまりにすぎない

Slide 15

Slide 15 text

アンチパターンとベストプラクティス合理的なシステムアンチパターン環境の変化リファクタリングベストプラクティス（1社では）尋常ならざる努⼒

Slide 16

Slide 16 text

環境の変化？利⽤者とその環境あなたの作ったサービス AWSのサービス群変動要因 AWS⾃体の更新と拡張使いこなし術の進化ビジネス要件、規制、技術トレンド

Slide 17

Slide 17 text

環境変化には⾃ら対応するべき利⽤者とその環境あなたの作ったサービス AWSのサービス群変動要因 AWS⾃体の更新と拡張使いこなし術の進化ビジネス要件、規制、技術トレンド⾃⼒をつける取り組み

Slide 18

Slide 18 text

⾃信をもったリファクタリングのために

Slide 19

Slide 19 text

外形監視サービスリファクタリング時は外部から⾒た時の挙動は変えない Synthetics RUM Evidently AWS X-Ray アプリケーション動作の監視やカナリアテストの実行にエンドユーザの実際の体験をモニタリング A/Bテストやカナリアデプロイに使用分散システムの問題箇所特定に

Slide 20

Slide 20 text

モニタリングとログ収集システムの可視性を⾼めて健全性を維持インシデントへの迅速な対応を可能に Amazon CloudWatch AWS CloudTrail Amazon EventBridge AWS X-Ray AWS Distro for OpenTelemetry Amazon Managed Service for Prometheus

Slide 21

Slide 21 text

収集したデータの活⽤収集したログデータは、統合→加⼯→分析→可視化して使⽤する Amazon Athena Amazon QuickSight AWS Lambda Amazon Kinesis AWS Glue Amazon SageMaker

Slide 22

Slide 22 text

インフラをコード化して再現性確保変更管理の容易化、変更履歴の追跡が容易 AWS CloudFormation AWS Cloud Development Kit (AWS CDK)

Slide 23

Slide 23 text

リファクタリングのための番外編 AWSに頼らない⾃⾛⼒の確保 OSSやSaaSの利⽤検討社内知識活⽤のための投資

Slide 24

Slide 24 text

DevelopersIOでふりかえる AWSアンチパターンを⽣みそうな発表選 24 多すぎるので新し⽬のセキュリティ関連に絞りました

Slide 25

Slide 25 text

Cloudshell VPC environment ←平⽊佳介さんの今⽉の記事 “今回新規で追加された CloudShell VPC environment によって踏み台サーバの運⽤に⼤きな変化が起きると思います。しかし⼿軽にできるのが逆にネックになってしまったり監査証跡が取れないなど踏み台サーバとして 100% 代替するのは難しそうですが最⾼のアップデートだと思いました。” https://dev.classmethod.jp/articles/jawsmt-2024-cloudshell-vpc/

Slide 26

Slide 26 text

Amazon GuardDutyのEC2ランタイム保護にUbuntuとDebianが追加 ← 臼田佳祐さんの 2024-06-20 の記事 “GuardDutyのEC2 Runtime MonitoringでサポートするOSが増えました。やったね。” “新しくUbuntuとDebianがサポートされたので試してみます。” https://dev.classmethod.jp/articles/guardduty-ec2-runtime-support-ubuntu-and-debian/

Slide 27

Slide 27 text

Amazon GuardDuty Malware Protection for Amazon S3 (2024 re:Inforceで発表) ← 臼田佳祐さんの 2024-06-11 の記事 “ちなみに、従来S3に対するサーバレスなマルウェアスキャンを実行しようとしたら、Trend MicroのCloud One File Strage Security(C1FSS)が代表的な選択肢でした。” https://dev.classmethod.jp/articles/release-guardduty-s3-malware-protection/

Slide 28

Slide 28 text

CloudTrail LakeでCloudTrail Insights のイベントが分析できるように ←芦沢広昭さんの2024.03の記事 “セキュリティガバナンスに関する費⽤にあまりコストをかけたくない、むしろゼロに抑えたいという要望も出てくるはずです。これまでの証跡による Insights運⽤ではこれが実現できませんでした。” https://dev.classmethod.jp/articles/cloudtrail-lake-supported-cloudtrail-insights/

Slide 29

Slide 29 text

Amazon Detectiveの調査機能で、IAMリソースの調査が可能に ←鈴⽊純さんの2023.11の記事 “Detective の調査機能で、IAM リソースについての調査を試してみました。攻撃者が利⽤した IAM リソースを特定できた時の影響範囲の特定などに活⽤できそうです。いざという時のために、この機能が利⽤できることを覚えておきたいですね。” https://dev.classmethod.jp/articles/update-amazon-detective-investigation-feature-iam-resource/

Slide 30

Slide 30 text

Amazon S3の新規バケットのブロックパブリックアクセスが有効化およびACLが無効化 ←みなみさんの2023.04の記事 “今回のアップデートでは、APIでバケット作成する場合に、デフォルトでブロックパブリックアクセスが有効化、ACLが無効化されるというものです。実施に、CloudFormationなどIaCでS3バケットを構築した際に、ブロックパブリックアクセスの有効化、ACLの無効化を忘れた⽅もいるんじゃないでしょうか？それではスクリプトで利⽤可能な全リージョンでS3バケットを作成してみます。” https://dev.classmethod.jp/articles/udpate-default-change-amazon-s3-bpa-acl/

Slide 31

Slide 31 text

AWS IAM Access Analyzer ←千葉幸宏（チバユキ）さんの2022.11の記事 2019.12GAのサービスだが “2022年10⽉には他にも IAM Acceess Analyzer 関連のアップデートがあります。最近頑張ってるなという印象を感じます。” “どんどん強くなっていく IAM Access Analyser を活⽤して環境のセキュリティレベルを上げていきましょい。” https://dev.classmethod.jp/articles/iam-access-analyzer-findings-amazon-sns-topics-5-aws-resource-types-account-access/

Slide 32

Slide 32 text

CloudFrontからS3への新たなアクセス制御⽅法としてOrigin Access Control (OAC)が発表されました！ ←清⽔俊也さんの2022.08の記事 “CloudFrontからS3へのアクセス制限を⾏う場合には必須機能であるOAIですが、S3バケット側でAWS Key Management Service (AWS KMS)を使った暗号化、SSE-KMSを使⽤した場合に使⽤できない（対応していない）という制限がありました。” “セキュリティ⾯の強化もありますので、新たにCloudFrontからS3へのアクセス制限を⾏う場合にはOAC (origin Access Control)を使⽤していきましょう。” https://dev.classmethod.jp/articles/amazon-cloudfront-origin-access-control/

Slide 33

Slide 33 text

まとめ

Slide 34

Slide 34 text