Fundsのアーキテクチャについて

Transcript

1. S U M M I T © 2019, Amazon Web

   Services, Inc. or its affiliates. All rights reserved. 若松 慶信 IT・業務管理部⻑/エンジニア 株式会社クラウドポート

2. 1. 会社及びサービスについて

3. 1. 会社及びサービスについて 資産形成をしたい個⼈とお⾦を借りたい企業を結ぶ、 「貸付ファンド」のオンラインマーケット 第⼆種⾦融商品取引業者である株式会社クラウドポートが運営しています

4. 2. システムアーキテクチャ

5. Public subnet Private subnet Private subnet VPC VPC VPC VPC

   VPC VPC Peering gateway QA stage production NAT gateway Flow logs Amazon Aurora ElastiCache (Redis) GuardDuty Amazon Route 53 Auto Scaling Group Load Balancer Internal Load Balancer AWS WAF AWS Cloud gateway VPN server

6. AWS Cloud KMS Aurora Admin app API app SQS Worker

   app ElastiCache (Redis) internal endpoint IAM Role IAM Role Service app IAM Role ElastiCache (Redis) IAM Role admin website (funds.jp) S3 static resources Amazon CloudFront static resources

7. AWS Cloud VPC CodePipeline CodeDeploy ECR Provisioned AMI VPC artifacts

   on S3 Spot instance Client ECS Auto Scaling Group Deployment Pipeline Build AMI Provisioning Monitoring S3 Bucket CloudWatch Athena CodeBuild

8. 3. このアーキテクチャを採⽤している理由

9. 3. このアーキテクチャを採⽤している理由 1. ⾦融サービスとして必要なセキュリティを実現するため • ⾦融庁も「⾦融分野におけるサイバーセキュリティ強化に向けた取組⽅針」を 掲げており、セキュリティは重要視されている 2. 少⼈数のチームでも安全に運⽤できるようにするため •

   エンジニア社員は3名 & 専任のSRE・インフラエンジニアは不在 • 既知の技術、トラブルを予想できる技術を採⽤

10. 4. Well Architected な 7 つのポイント

11. 4. Well Architected な 7 つのポイント Public subnet Private subnet

    Private subnet VPC VPC VPC VPC VPC VPC Peering gateway QA stage production NAT gateway Flow logs Amazon Aurora ElastiCache (Redis) GuardDuty Amazon Route 53 Auto Scaling Group Load Balancer Internal Load Balancer AWS WAF AWS Cloud gateway VPN server 1. 3層サブネットにNACLを適⽤ + ワークロードにSecurity Groupで細かなルールを設定 トラフィックを必要⼗分に制限

12. 4. Well Architected な 7 つのポイント 2. 本番/ステージング/QAをVPCレベルで分離 共通のGateway VPCとPeeringで接続

    Public subnet Private subnet Private subnet VPC VPC VPC VPC VPC VPC Peering gateway QA stage production NAT gateway Flow logs Amazon Aurora ElastiCache (Redis) GuardDuty Amazon Route 53 Auto Scaling Group Load Balancer Internal Load Balancer AWS WAF AWS Cloud gateway VPN server 本番環境とその他環境の間の接続を防⽌し 接続可能なルートを最⼩限に限定

13. 4. Well Architected な 7 つのポイント Public subnet Private subnet

    Private subnet VPC VPC VPC VPC VPC VPC Peering gateway QA stage production NAT gateway Flow logs Amazon Aurora ElastiCache (Redis) GuardDuty Amazon Route 53 Auto Scaling Group Load Balancer Internal Load Balancer AWS WAF AWS Cloud gateway VPN server 3. AWS WAFとGuardDutyの利⽤ C2通信など不正なトラフィックを検出・分析

14. 4. Well Architected な 7 つのポイント AWS Cloud KMS Aurora

    Admin app API app SQS Worker app ElastiCache (Redis) internal endpoint IAM Role IAM Role Service app IAM Role ElastiCache (Redis) IAM Role admin website (funds.jp) S3 static resources Amazon CloudFront static resources 4. IAM Roleのみで認可管理 サービスごとに必要⼗分な認可付与 &Credential管理を不要にして漏洩も防⽌

15. 4. Well Architected な 7 つのポイント AWS Cloud KMS Aurora

    Admin app API app SQS Worker app ElastiCache (Redis) internal endpoint IAM Role IAM Role Service app IAM Role ElastiCache (Redis) IAM Role admin website (funds.jp) S3 static resources Amazon CloudFront static resources 5. ストレージレベルの暗号化と KMSによるアプリケーションレベルの暗号化を使⽤ データの保護レベルに応じた複数のデータ保護⼿段を適⽤

16. 4. Well Architected な 7 つのポイント AWS Cloud VPC CodePipeline

    CodeDeploy ECR Provisioned AMI VPC artifacts on S3 Spot instance Client ECS Auto Scaling Group Deployment Pipeline Build AMI Provisioning Monitoring S3 Bucket CloudWatch Athena CodeBuild 6. Auto Scaling の Scheduled Action を利⽤して 定期的にインスタンス数を増減させ、古いインスタンスをdrain アドホックな設定やエクスプロイトの定着防⽌

17. 4. Well Architected な 7 つのポイント AWS Cloud VPC CodePipeline

    CodeDeploy ECR Provisioned AMI VPC artifacts on S3 Spot instance Client ECS Auto Scaling Group Deployment Pipeline Build AMI Provisioning Monitoring S3 Bucket CloudWatch Athena CodeBuild 7. ログ・メトリクスの記録 運⽤時のデータを後から分析可能

18. 5. アーキテクチャによるビジネスへの貢献

19. 5. アーキテクチャによるビジネスへの貢献 • インシデント発⽣リスクの低減 • 万が⼀インシデントが発⽣した場合の調査・分析が可能 • 顧客からのサービスに対する信頼獲得 ⾦融サービスのため、インシデント発⽣時のビジネスにおける影響度は⼤きい 今回のアーキテクチャが貢献していること

20. ご静聴ありがとうございました