wordcamp-osaka-2018.pdf

Transcript

1. 2018/06/02 ABEJA, Inc. Shogo Muranushi VPSやレンサバのままでAWSを⽤いて セキュリティやパフォーマンスを強化する

2. 2 略歴トピック • インフラエンジニア • AWSを採⽤しハマる • AWSをバリバリバリバリ使う • 資格を5冠取得

   • AWSでDeepLearningプ ラットフォーム作る • インフラ => SREに進化 • マイクロサービスで遊ぶ • プロダクトオーナーにな る

3. 3 まずは質問 •AWS使ったことある⼈ •AWS知ってるけど使ったことない⼈ •AWS知らない⼈

4. 4 今⽇はレンサバやVPSを使ったままでも AWSを踏み出せる第⼀歩の話をします

5. 5 なぜAWSに第⼀歩踏み出した⽅が良いのか

6. 6 出典: https://itjinzai-lab.jp/article/detail/1006

7. 7 つまり、儲かるから

8. 8 詳しくは今⽇来ているAWSの中の⼈に

9. 9 告知 •AWS認定資格の本書いてます

10. 10 本題

11. 11 AWSってEC2（サーバ）以外に ⾊んなサービスあることはご存知ですか？

12. 12 レンサバやVPSを利⽤している
 WordPressなどのCMSユーザに
 メリットのあるサービスを紹介します WAF CloudFront Route 53 S3

13. 13 セキュリティ編

14. 14 「そういや最近WordPressの脆弱性攻撃が
  流⾏ってるみたいだけど、⼤丈夫？」 「⼤丈夫じゃないっすか？」

15. 15

16. 16 「お客さんから改ざんされてるかもしれないから  調査してくれって！」 「あわわわわわわわ・・・」 「責任者出せって！！」 「あわわわわわわわ・・・」

17. 17 そうならないように こう⾔いましょう

18. 18 「そういや最近WordPressの脆弱性攻撃が
  流⾏ってるみたいだけど、⼤丈夫？」 「そうですね。対策は⾊々してるのですが、 WAFで保険をかけておきましょうか」

19. 19 Webアプリケーションを狙った主な攻撃 • ネットワークレベル • ポートスキャン、ブルートフォース、etc • アプリケーションレベル（WordPressやプラグイン） • SQLインジェクション、クロスサイトスクリプティング、認

    証不備、アクセスコントロール不備、etc

20. 20 WAFとは（Web Application Firewall） • Webアプリケーションの脆弱性を悪⽤した攻撃からWebアプリケーションを保護 するセキュリティ対策の⼀つ • ファイアウォールはネットワークレベルでの防御が可能だが通信の中⾝までは⾒ ない。WAFは通信の中⾝を確認し、攻撃かどうかを検出し攻撃の場合はブロック

    する • 攻撃かどうかを判定させるロジックのチューニングや、⽤途に合わせたチューニ ングが必要で⽐較的運⽤が⼤変 • つまり、お⾼いんでしょ？

21. 21 AWS WAF

22. 22 AWS WAF • AWSが提供するWAF（Web Application Firewall）サービス • アプリケーションへのアクセス前に通信を検査してくれるやつ AWS

    WAF

23. 23 AWS WAF マネージドルール • re:Invent 2017でセキュリティベンダーがチューニングしてくれる マネージドルー ル が提供開始

    • ルールは新しい脅威が出現すると⾃動的に更新され、OWASP Top 10 掲載の脆弱性 の緩和、不正ボットからの防御、最新の CVE に対する仮想パッチなど、広範な保護 が可能 • WordPressに絞ると5社が提供し $5 ~ $30 / month + @ で利⽤可能 • Alert Logic / F5 / Imperva / Trend Micro / Trustwave

24. 24 弊社で使っているマネージドルール Alert Logic Managed Rules for AWS WAF -

    OWASP Top 10 for WordPress • WordPressのOWASP Top 10 Virtual Patchesには、Alert Logicのアプリケーション セキュリティ専⾨家が作成した事前設定されたルールが含まれている • 過去 6 か⽉のセキュリティホールとなる WordPress 攻撃から効率的かつ選択的に保 護 • 攻撃に対する選択的な保護が提供されている間、脆弱性に対処するために計画する 時間を確保できる

25. 25 つまり • AWS WAFを使えば数千円で安⼼を買える • セキュリティで何かあった場合は、誰がどれだけ動きますか？責任者とか動くよ ね・・ • 単純なコスト試算ではなく、何かあった場合に動く⼈や会社の信頼に対するコスト

    も踏まえる

26. 26 デモる デモ内容 1. AWS WAFを作成する（設定2-3分） 1. マネージドルールを購⼊し、WAFに適⽤する 2. CloudFrontを作成する（設定2-3分、反映2-30分）

    1. キャッシュせずにWordPressへ転送させる 2. CloudFrontにWAFを適⽤する 前提 • WordPressサイトがある WAF CloudFront

27. 27 デモのメモ # WAF - Marketplaceで買う - web ACL作る #

    CloudFront - Allowed HTTP Methods - GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE - Cache Based on Selected Request Headers - All # CloudFront (続き) - Forward Cookies - All - Query String Forwarding and Caching - Forward all, cache based on all - WAF - wp

28. 28 注意点 • 全ての脆弱性を防げるわけではない • ネットワーク・OSレベルは、ファイアウォールやIDS/IPSで防 ぐ必要あり • WAFは根本対策ではなく攻撃による影響を低減する対策 •

    根本対策を⾏うまでの期間の保険レベルと認識し、早めに根 本対策を打つべし

29. 29 UX編

30. 30

31. 31 これ、UX良くない

32. 32 ダウンしていることを伝えるか、 最低限のページだけでも表⽰すべき

33. 33 Amazonの場合 • レコメンドシステムが停⽌したら、⼀般的なランキングを表⽰ するページに⾃動的にルーティングする（らしい） Route 53 停⽌ 出典: https://www.amazon.co.jp/

34. 34 似たようなこと、
 AWSなら１００円前後でできます

35. 35 Sorry Page パターン • Amazon S3にセカンダリサイトを作成（$0.3/GB程度） • 本番サイトをRoute53からヘルスチェック（$1-$2程度） •

    障害を検知したら、セカンダリサイト（S3）に⾃動でフェイルオーバー Route 53 停⽌ S3 出典: https://www.amazon.co.jp/

36. 36 無くてもいいけど • 無くてもいいけどクオリティが少し上がります • たかだか１００円前後で • そうやって少しづつ価値を上げていくことが⼤事です

37. 37 デモる 前提 • WordPressサイトがある • DNSをRoute53に移管済み デモ内容 1. S3ホスティング（bucket名=ドメイン名）を作成し、セカンダリサイトを⽤意する（設定2-3分）

    2. Route53でDNSフェイルオーバーの設定をする（設定2-3分） 3. サーバを落として切り替え確認 出典: https://www.amazon.co.jp/

38. 38 パフォーマンス編

39. 39 「お客さん、明⽇⼤規模なキャンペーンやるってよ」 「おおー」

40. 40

41. 41

42. 42 「お客さんがキャンペーンなのに！って激オコ！」 「あ、はい、、」

43. 43 そうならないように こう⾔いましょう

44. 44 「お客さん、明⽇⼤規模なキャンペーンやるってよ」 「マジすか。どこのページが⼀番アクセス増えるんすか？」 「トップページに増えるんじゃないかって」 「んじゃ、トップページをHTML化して CDNに突っ込んどきますね」

45. 45 What is CDN？ • CDNはコンテンツ・デリバリ・ネットワークの略 • 世界中に分散されているサーバにコンテンツを配置（キャッシュ）し て、負荷を分散する技術 •

    クライアントは分散されているサーバの最も近いサーバにアクセスし 低レイテンシー。オリジン（配信元）は負荷がかからなくなる 出典: https://www.slideshare.net/AmazonWebServicesJapan/aws-blackbelt-online-seminar-2017-amazon-cloudfront-aws-lambdaedge#7

46. 46 AWS CloudFront • AWSが提供するCDNサービス • 完全従量課⾦で、だいたい $0.1-$0.2 / GB

47. 47 デモる デモ概要 1. CloudFrontを作成する（設定5分、反映2-30分） 1. 全部キャッシュせずにWordPressへ転送させる 2. 特定のHTMLだけキャッシュするように優先度を変更する 前提

    • WordPressサイトがある 出典: https://www.slideshare.net/AmazonWebServicesJapan/aws-blackbelt-online-seminar-2017-amazon-cloudfront-aws-lambdaedge#7

48. 48 機械学習編 • 13:40 Takuya Oketaniさんの「WordPressにMachine Learningの⼒を」で話された内容を紹介 • https://www.slideshare.net/okeee0315 •

    WordPress Plugin • Amazon Polly for Wordpress • API群 • Amazon Rekognition（画像認識） • Amazon Lex（⾃然⾔語処理） • etc

49. 49 まとめ • EC2以外にも有⽤なサービスは多数ある • レンサバとかのままでも使えるサービスもある • 1歩踏み出すと提供できる価値が増える • AWSに関わると年収増加

50. 50 AWSでわからないことあったら JAWS-UGで聞こう

51. 51 https://jawsugosaka.doorkeeper.jp/events/74341

52. 52 ご静聴ありがとうございました