Save 37% off PRO during our Black Friday Sale! »

wordcamp-osaka-2018.pdf

F8f7692cb46c0f7feda5210a46b47bcf?s=47 shogomuranushi
June 02, 2018
120

 wordcamp-osaka-2018.pdf

F8f7692cb46c0f7feda5210a46b47bcf?s=128

shogomuranushi

June 02, 2018
Tweet

Transcript

  1. 2018/06/02 ABEJA, Inc. Shogo Muranushi VPSやレンサバのままでAWSを⽤いて セキュリティやパフォーマンスを強化する

  2. 2 略歴トピック • インフラエンジニア • AWSを採⽤しハマる • AWSをバリバリバリバリ使う • 資格を5冠取得

    • AWSでDeepLearningプ ラットフォーム作る • インフラ => SREに進化 • マイクロサービスで遊ぶ • プロダクトオーナーにな る
  3. 3 まずは質問 •AWS使ったことある⼈ •AWS知ってるけど使ったことない⼈ •AWS知らない⼈

  4. 4 今⽇はレンサバやVPSを使ったままでも AWSを踏み出せる第⼀歩の話をします

  5. 5 なぜAWSに第⼀歩踏み出した⽅が良いのか

  6. 6 出典: https://itjinzai-lab.jp/article/detail/1006

  7. 7 つまり、儲かるから

  8. 8 詳しくは今⽇来ているAWSの中の⼈に

  9. 9 告知 •AWS認定資格の本書いてます

  10. 10 本題

  11. 11 AWSってEC2(サーバ)以外に ⾊んなサービスあることはご存知ですか?

  12. 12 レンサバやVPSを利⽤している
 WordPressなどのCMSユーザに
 メリットのあるサービスを紹介します WAF CloudFront Route 53 S3

  13. 13 セキュリティ編

  14. 14 「そういや最近WordPressの脆弱性攻撃が
  流⾏ってるみたいだけど、⼤丈夫?」 「⼤丈夫じゃないっすか?」

  15. 15

  16. 16 「お客さんから改ざんされてるかもしれないから  調査してくれって!」 「あわわわわわわわ・・・」 「責任者出せって!!」 「あわわわわわわわ・・・」

  17. 17 そうならないように こう⾔いましょう

  18. 18 「そういや最近WordPressの脆弱性攻撃が
  流⾏ってるみたいだけど、⼤丈夫?」 「そうですね。対策は⾊々してるのですが、 WAFで保険をかけておきましょうか」

  19. 19 Webアプリケーションを狙った主な攻撃 • ネットワークレベル • ポートスキャン、ブルートフォース、etc • アプリケーションレベル(WordPressやプラグイン) • SQLインジェクション、クロスサイトスクリプティング、認

    証不備、アクセスコントロール不備、etc
  20. 20 WAFとは(Web Application Firewall) • Webアプリケーションの脆弱性を悪⽤した攻撃からWebアプリケーションを保護 するセキュリティ対策の⼀つ • ファイアウォールはネットワークレベルでの防御が可能だが通信の中⾝までは⾒ ない。WAFは通信の中⾝を確認し、攻撃かどうかを検出し攻撃の場合はブロック

    する • 攻撃かどうかを判定させるロジックのチューニングや、⽤途に合わせたチューニ ングが必要で⽐較的運⽤が⼤変 • つまり、お⾼いんでしょ?
  21. 21 AWS WAF

  22. 22 AWS WAF • AWSが提供するWAF(Web Application Firewall)サービス • アプリケーションへのアクセス前に通信を検査してくれるやつ AWS

    WAF
  23. 23 AWS WAF マネージドルール • re:Invent 2017でセキュリティベンダーがチューニングしてくれる マネージドルー ル が提供開始

    • ルールは新しい脅威が出現すると⾃動的に更新され、OWASP Top 10 掲載の脆弱性 の緩和、不正ボットからの防御、最新の CVE に対する仮想パッチなど、広範な保護 が可能 • WordPressに絞ると5社が提供し $5 ~ $30 / month + @ で利⽤可能 • Alert Logic / F5 / Imperva / Trend Micro / Trustwave
  24. 24 弊社で使っているマネージドルール Alert Logic Managed Rules for AWS WAF -

    OWASP Top 10 for WordPress • WordPressのOWASP Top 10 Virtual Patchesには、Alert Logicのアプリケーション セキュリティ専⾨家が作成した事前設定されたルールが含まれている • 過去 6 か⽉のセキュリティホールとなる WordPress 攻撃から効率的かつ選択的に保 護 • 攻撃に対する選択的な保護が提供されている間、脆弱性に対処するために計画する 時間を確保できる
  25. 25 つまり • AWS WAFを使えば数千円で安⼼を買える • セキュリティで何かあった場合は、誰がどれだけ動きますか?責任者とか動くよ ね・・ • 単純なコスト試算ではなく、何かあった場合に動く⼈や会社の信頼に対するコスト

    も踏まえる
  26. 26 デモる デモ内容 1. AWS WAFを作成する(設定2-3分) 1. マネージドルールを購⼊し、WAFに適⽤する 2. CloudFrontを作成する(設定2-3分、反映2-30分)

    1. キャッシュせずにWordPressへ転送させる 2. CloudFrontにWAFを適⽤する 前提 • WordPressサイトがある WAF CloudFront
  27. 27 デモのメモ # WAF - Marketplaceで買う - web ACL作る #

    CloudFront - Allowed HTTP Methods - GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE - Cache Based on Selected Request Headers - All # CloudFront (続き) - Forward Cookies - All - Query String Forwarding and Caching - Forward all, cache based on all - WAF - wp
  28. 28 注意点 • 全ての脆弱性を防げるわけではない • ネットワーク・OSレベルは、ファイアウォールやIDS/IPSで防 ぐ必要あり • WAFは根本対策ではなく攻撃による影響を低減する対策 •

    根本対策を⾏うまでの期間の保険レベルと認識し、早めに根 本対策を打つべし
  29. 29 UX編

  30. 30

  31. 31 これ、UX良くない

  32. 32 ダウンしていることを伝えるか、 最低限のページだけでも表⽰すべき

  33. 33 Amazonの場合 • レコメンドシステムが停⽌したら、⼀般的なランキングを表⽰ するページに⾃動的にルーティングする(らしい) Route 53 停⽌ 出典: https://www.amazon.co.jp/

  34. 34 似たようなこと、
 AWSなら100円前後でできます

  35. 35 Sorry Page パターン • Amazon S3にセカンダリサイトを作成($0.3/GB程度) • 本番サイトをRoute53からヘルスチェック($1-$2程度) •

    障害を検知したら、セカンダリサイト(S3)に⾃動でフェイルオーバー Route 53 停⽌ S3 出典: https://www.amazon.co.jp/
  36. 36 無くてもいいけど • 無くてもいいけどクオリティが少し上がります • たかだか100円前後で • そうやって少しづつ価値を上げていくことが⼤事です

  37. 37 デモる 前提 • WordPressサイトがある • DNSをRoute53に移管済み デモ内容 1. S3ホスティング(bucket名=ドメイン名)を作成し、セカンダリサイトを⽤意する(設定2-3分)

    2. Route53でDNSフェイルオーバーの設定をする(設定2-3分) 3. サーバを落として切り替え確認 出典: https://www.amazon.co.jp/
  38. 38 パフォーマンス編

  39. 39 「お客さん、明⽇⼤規模なキャンペーンやるってよ」 「おおー」

  40. 40

  41. 41

  42. 42 「お客さんがキャンペーンなのに!って激オコ!」 「あ、はい、、」

  43. 43 そうならないように こう⾔いましょう

  44. 44 「お客さん、明⽇⼤規模なキャンペーンやるってよ」 「マジすか。どこのページが⼀番アクセス増えるんすか?」 「トップページに増えるんじゃないかって」 「んじゃ、トップページをHTML化して CDNに突っ込んどきますね」

  45. 45 What is CDN? • CDNはコンテンツ・デリバリ・ネットワークの略 • 世界中に分散されているサーバにコンテンツを配置(キャッシュ)し て、負荷を分散する技術 •

    クライアントは分散されているサーバの最も近いサーバにアクセスし 低レイテンシー。オリジン(配信元)は負荷がかからなくなる 出典: https://www.slideshare.net/AmazonWebServicesJapan/aws-blackbelt-online-seminar-2017-amazon-cloudfront-aws-lambdaedge#7
  46. 46 AWS CloudFront • AWSが提供するCDNサービス • 完全従量課⾦で、だいたい $0.1-$0.2 / GB

  47. 47 デモる デモ概要 1. CloudFrontを作成する(設定5分、反映2-30分) 1. 全部キャッシュせずにWordPressへ転送させる 2. 特定のHTMLだけキャッシュするように優先度を変更する 前提

    • WordPressサイトがある 出典: https://www.slideshare.net/AmazonWebServicesJapan/aws-blackbelt-online-seminar-2017-amazon-cloudfront-aws-lambdaedge#7
  48. 48 機械学習編 • 13:40 Takuya Oketaniさんの「WordPressにMachine Learningの⼒を」で話された内容を紹介 • https://www.slideshare.net/okeee0315 •

    WordPress Plugin • Amazon Polly for Wordpress • API群 • Amazon Rekognition(画像認識) • Amazon Lex(⾃然⾔語処理) • etc
  49. 49 まとめ • EC2以外にも有⽤なサービスは多数ある • レンサバとかのままでも使えるサービスもある • 1歩踏み出すと提供できる価値が増える • AWSに関わると年収増加

  50. 50 AWSでわからないことあったら JAWS-UGで聞こう

  51. 51 https://jawsugosaka.doorkeeper.jp/events/74341

  52. 52 ご静聴ありがとうございました