JAWS-UG朝会 #38 2022/10/06 久保⽥ 亨 Well-Architectedを再度学習して 内容をまとめてみる

⾃⼰紹介 ⽒名︓久保⽥ 亨 職業︓インフラエンジニア

背景 Well-Architectedを適⽤したい （運⽤・セキュリティ関連を中⼼に）

背景 マルチアカウント環境にAWSベストプラクティスの適⽤ Well-Architectedを理解する Landing Zoneを理解する 検証・設計・導⼊する 本⽇の内容

Well-Architectedの6つの柱 運⽤上の優秀性の柱 ⼀般的な原則 セキュリティの柱 信頼性の柱 パフォーマンス効率の柱 コスト最適化の柱 持続可能性の柱 本⽇の内容

Well-Architectedを勉強し直した理由 AWS資格試験 の中で学習 なんとなく理解 設計・運⽤の 際に参照

Well-Architectedを勉強し直した理由 しっかり全てを読み 返す機会がない

Well-Architectedを勉強し直した理由 運⽤のフレームワークの⼀つとして ITIL SRE ISMS Well- Architected

本⽇の内容 運⽤上の優秀性の柱・セキュリティの柱 でざっくり何を⾔っているかを図解化・噛み砕いて説明

「運⽤上の優秀性」の柱

「運⽤上の優秀性の柱」の概要 運⽤上の優秀性の柱 ⼀般的な原則 設計の原則 定義 組織 進歩する セキュリティの柱 信頼性の柱 パフォーマンス効率の柱 コスト最適化の柱 持続可能性の柱 Ø 運⽤をコードとして実⾏する Ø ⼩規模かつ可逆的な変更を頻繁に⾏う Ø 運⽤⼿順を頻繁に改善する Ø 障害を予想する Ø 運⽤上の障害すべてから学ぶ 準備 運⽤する

組織の優先順位 制約条件の評価 外部顧客 内部顧客 コンプライアンス 要件(外部) ガバナンス要件 (内部) 脅威 トレードオフ評価 メリット・リスク管理 優先順位 優先順位付 顧客ニーズの評価 組織の優先順位 AWS Well-Architected Tool AWS Trusted Advisor 準備 運⽤する 組織 進歩する

運⽤モデル Ø (リソース・パフォーマンス・プロセス・⼿順に) 所有者・責任者が存在する Ø 責任と所有権を特定するためのメカニズムが存在する Ø チームメンバーが⾃らの責任範囲を把握する Ø チーム間の責任は事前定義済みまたは交渉済みである Ø 追加、変更、例外をリクエストするメカニズムが存在する 準備 運⽤する 組織 進歩する 関係性と所有性 運⽤モデル 2×2の表現 縦 軸 Applications アプリケーション Platform インフラストラクチャ 横 軸 Engineering 開発・構築・テスト Operations デプロイ更新・ 継続的サポート

組織カルチャー 推進 権限 エグゼクティブスポンサー スキル チームメンバーにアクションを実⾏する権限が付与されている チームに適正なリソースを提供する エスカレーションが推奨されている コミュニケーションがタイムリーで明確かつ実⽤的なものである チーム内やチーム間でさまざまな意⾒が推奨され求められる 実験が推奨されている スキルセットを維持、強化することが出来推奨されている コミュニケーション 準備 運⽤する 組織 進歩する

準備 AWS Cloud VPC Public subnet Private subnet Amazon EC2 AWSCloudTrail Flow logs Amazon GuardDuty Amazon EventBridge AWS Lambda Amazon CloudWatch AWS Config AWS X-Ray AWS CodeCommit AWS CodeBuild AWS CodeDeploy AWS CodePipeline AWS Code Star AWS CloudFormation AWS Systems Manager テレメトリ設計 CI/CD パッチ管理 構成管理 ⾃動化 ランブック・プレイブック Amazon RDS Logs Amazon ECS Amazon SNS 組織 運⽤する 準備 進歩する トレーニング

運⽤する KPI特定 メトリクス定義 メトリクス収集・分析 定期的評価 イベント対応 KPI達成度検証 Amazon Athena AWS Glue Amazon OpenSearch Service Amazon QuickSight 基準値・警告設定 アラート毎の対応 通知・ダッシュボード エスカレーション 優先度決定 対応⾃動化 AWS Personal Health Dashboard 準備 組織 運⽤する 進歩する

進歩する 学習 共有 インシデント後の分析を実⾏する 運⽤メトリクスのレビューを実⾏する インサイト検証する(分析から明らかになった事象) ナレッジマネジメントを実⾏する 教訓を⽂書化して共有する フィードバックループを実装する(調整・改善の継続的プロセス) 継続的改善のプロセスを持つ 改善の推進要因を定義する 改善 準備 運⽤する 進歩する 組織

「運⽤上の優秀性の柱」の定義 まとめ 組織 準備 運⽤する 進歩する 優先順位の決定 責任・所有者の明確化 組織カルチャー テレメトリ設計 (アプリケーション・ワークロードなど) 運⽤・デプロイ設計 (構成管理・パッチ管理・CI/CDなど) 運⽤準備 (体制・⼿順・プロセス) 指標定義 (KPI・各種メトリクス) 指標収集・分析・評価 (基準値設定・達成度測定) イベント対応 学習 共有 改善 運⽤上の優秀性の柱は継続的かつ反復的な取り組みです!!

「セキュリティ」の柱

「セキュリティの柱」概要 セキュリティの柱 ⼀般的な原則 設計の原則 定義 アイデンティティとアクセスの管理 運⽤上の優秀性の柱 信頼性の柱 パフォーマンス効率の柱 コスト最適化の柱 持続可能性の柱 Ø 強⼒なアイデンティティ基盤を実装する Ø トレーサビリティを実現する Ø すべてのレイヤーでセキュリティを適⽤する Ø セキュリティのベストプラクティスを⾃動化する Ø 伝送中および保管中のデータを保護する Ø データに⼈の⼿を⼊れない Ø セキュリティイベントに備える インシデントへの対応 検出 インフラストラクチャ保護 データ保護

アイデンティティ管理とアクセス AWS Cloud AWS Organizations IAM Access Analyzer AWS Resource Access Manager AWS IAM Identity Center IAM Amazon Cognito AWS Secrets Manager AWS Config ガードレールの定義 ⼀元化されたIDプロバイダ 定期的な認証情報の監査 ⼀時的な認証情報 Role 最⼩権限の付与 シークレットを安全に保存 MFA token アクセス権の分析 ユーザーグループを活⽤ 緊急アクセスプロセス アクセス許可を定期削除 強⼒なサインインメカニズム インフラストラク チャ保護 データ保護 アイデンティティ 管理とアクセス インシデント 対応 検出 IAM リソースを安全に共有 アイデンティティ管理 アクセス権管理

検出 AWS Cloud AWS Security Hub Amazon GuardDuty AWS Config Amazon Inspector Amazon Macie AWS Firewall Manager Amazon RDS Amazon EC2 Amazon CloudWatch Logs Amazon EventBridge Amazon SNS AWS Lambda IAM Access Analyzer Flow logs AWS CloudTrail ログ記録を設定 ⼀元的管理・分析 AWS Step Functions Amazon ECS ログ記録を設定 セキュリティイベントの実装 イベントの応答を⾃動化 インフラストラク チャ保護 データ保護 検出 インシデント 対応 アイデンティティ 管理とアクセス

インフラストラクチャ保護 AWS Cloud On Premise Customer gateway VPN connection AWS Transit Gateway users VPC AWS WAF Amazon CloudFront VPC AWS Shield Advance Public subnet Private subnet Amazon Inspector AWS Systems Manager 脆弱性管理 Security group Network ACL 多層防御 NAT gateway Amazon EC2 リモートアクセス管理 Amazon RDS ソフトウェア 整合性検証 攻撃対象領域 の縮⼩ アイデンティティ 管理とアクセス データ保護 インフラストラク チャ保護 インシデント 対応 検出 ネットワークレイヤーを作成 マネージドサービスを活⽤ ネットワークの保護 コンピューティングの保護

データ保護 データ分類 保管中のデータ保護 伝送中のデータ保護 Ø ワークロード内のデータを特定 Ø データ保護コントロールを定義 Ø データのライフサイクル管理を定義 Ø 識別および分類の⾃動化 Ø 保管中に暗号化を適⽤ Ø 安全な暗号化キー管理、監査 Ø アクセスコントロールを適⽤ Ø ⼈をデータから遠ざけるメカニズム Ø 保管中のデータ保護の⾃動化 Ø 伝送中に暗号化を適⽤ Ø 安全な暗号化キー・証明書管理 Ø ネットワーク通信を認証 Ø 意図しないデータアクセス検出⾃動化 Amazon Macie AWS CloudTrail ACM AWS KMS AWS CloudHSM AWS Config Site-to-Site VPN Amazon GuardDuty Flow logs インフラストラク チャ保護 アイデンティティ 管理とアクセス データ保護 インシデント 対応 検出 IAM IAM Access Analyzer

インシデント対応 準備 シュミレーション 重要な⼈物と外部リソースの特定 （ステークスホルダー・重要な⼈物・関連する担当者） インシデント管理計画の作成 （インシデント対応⼿順・エスカレーションフロー） アクセス権を事前プロビジョニングする ツールを事前デプロイする イテレーション ゲームデーの実施 （インデント対応シュミレーション） 封じ込めと復旧機能を⾃動化 （ツール・⾃動化による検出・調査・復旧のスピード向上） インフラストラク チャ保護 データ保護 インシデント 対応 アイデンティティ 管理とアクセス 検出 フォレンジック機能を備える 継続的な教育

「セキュリティの柱」の定義 まとめ アイデンティティ とアクセスの管理 検出 インフラ ストラクチャ保護 データ保護 ID管理 (IDの⼀元管理・安全なID管理など) アクセス権管理 (最⼩権限の付与・ガードレールの設定など) 定期的な⾒直し (定期的な監査・分析・削除) ログ設定と⼀元管理・分析 セキュリティイベントの実装 イベント応答の⾃動化 ネットワークの保護 コンピューティングの保護 対応の⾃動化 データ分類 保管中のデータ保護 伝送中のデータ保護 インシデント対応 事前準備 (対応計画・事前プロビジョニングなど) シュミレーション 対応の⾃動化

まとめ

まとめ セキュリティの柱 アイデンティティとアクセスの管理 インシデントへの対応 検出 インフラストラクチャ保護 データ保護 運⽤の優秀性の柱 組織 進歩する 準備 運⽤する 運⽤上の障害すべてから学ぶ 障害を予測する 運⽤⼿順を頻繁に改善する ⼩規模かつ可逆的な変更を頻繁に⾏う 運⽤をコードとして実⾏する 伝送中および保管中のデータを保護する セキュリティのベストプラクティスを⾃動化する すべてのレイヤーでセキュリティを適⽤する トレーサビリティを実現する 強⼒なアイデンティティ基盤を実装する データに⼈の⼿を⼊れない セキュリティイベントに備える

まとめ Well-Architected Framework のイメージ理解に繋がれば幸いです

ご清聴いただきありがとうございます