[レポート]第三の選択肢、AWS PrivateLink ～ビジネスのアジリティとセキュリティを両立させる接続の実現～ – AWS Security Roadshow Japan 2020 #awscloud #AWSSecurityRoadshow

こんにちは、臼田です。

本日はAWS Security Roadshow Japan 2020で行われた以下の講演のレポートです。

お客様事例 1

「第三の選択肢、AWS PrivateLink ～ビジネスのアジリティとセキュリティを両立させる接続の実現～」

渡邊 弘 氏

(住信 SBI ネット銀行株式会社 システム運営部 副部長)

レポート

• アジェンダ
  • AWS PrivateLinkって？？
  • AWS PrivateLink導入までの道のり
  • ゼロトラストにもAWS PrivateLink
• 住信SBIネット銀行
  • 住宅ローンで高い評価を得ているネット銀行
  • NEOBANK戦略に注力している
    • Bank as a Serviceとして融資・預金などをパートナーが自社のサービスとして提供できる
  • この事業の要諦は外部パートナー企業との連携で、ここにPrivateLinkが使われている
• どういったクラウド推進活動をしているか
  • AWS利用ガイドの拡充
  • インフラ提供
    • 今回はPartnerAccess基盤でPrivateLinkを採用しているでのここのお話

AWS PrivateLinkって？？

• AWSのネットワークって？？
  • EC2やRDSなどのVPCサービスはDirect Connectなどで通信できる
  • 一方で魅力的なマネージドサービスがいっぱいある
  • これらと通信するにはインターネット通信が必要になる
  • うまく通信できるのがPrivateLink
• PrivateLinkの使い方其の一
  • AWSマネージドサービスを自社のVPCの中で利用する
  • VPCの中に、擬似的にマネージドサービスのエンドポイントを持つことができる
  • インターネットに通信しなくてもよくなる
  • 利点
    • インターネットへの出口が不要になる
      • セキュリティ対策の範囲が限定的
      • 社内への説明も用意になるのでは
    • モニタリングもAWSのサービスを利用できる
      • FlowLogs
      • CloudWatch
      • CloudTrailなど
    • 可用性はAWSが保証(SLA99.9%)
      • アプリ側である程度コントロールできるのでは
    • コストが安価
      • (通信量による従量課金: 1GB/月で20ドル程度)
    • 簡単に作れる
  • 注意事項
    • 一部のAWSサービスは制約・制限がある
      • API Gatewayの場合は独自ドメインが使えないなど
    • PrivateLink単体では認証認可がない
      • Security GroupによるIP/ポート制御のみ
    • 帯域は保証されていない
• PrivateLinkの使い方其の二
  • 他社のサービスを自社のVPCの中で利用する
  • 専用線がなくてもすぐに調達できる
  • 自社のCIDRレンジの中でインターフェイスを作成してアクセスできる
  • メリット
    • ネットワークの開通まで数分程度(専用線は数ヶ月)
    • モニタリングもAWSのサービス
    • 可用性はAWSが保証(SLA99.9%)
    • コストが安価
    • 簡単に作れる
    • IPアドレスの重複考慮が不要
      • NATなどしなくてもいい！
  • 注意事項
    • AZ配置に注意が必要(サービス提供側は3AZが望ましい)
    • DNSの設計が必要
    • 障害発生時の通信影響時間が約1分間(TTLベース、アプリで救済が可能)
    • 認証認可がない
    • 帯域保証がない
• PrivateLinkのセキュリティ
  • 相手がAWSを利用しているところで一定の信頼がある
  • クラウドだからこそできるセキュリティ対策

AWS PrivateLink導入までの道のり

• どのように採用して実装したか
  • 開発担当者からAI-OCRを検討したいと相談がきた
  • 先方がAWSだったのでPrivateLinkを検討
  • 承認後、翌日から検討を始めた
• 社内決議でのポイント
  • 専用線と同水準のセキュリティかどうか
    • VPC内の閉域通信である、アクセスコントロールできる
    • さらにモニタリング、発見的統制でより向上できる
  • コストメリット
    • 最大90%以上の費用を削減
  • アジリティ
    • 開通まで一日未満
    • やってみてダメだったらやめるという進め方に最適
  • AWSで用いられている高い信頼性とスケーラブルなテクノロジー
  • サービスを利用する場合、パードナー企業からの不正アクセスは絶対に不可
  • 今後もこの手のサービスは増えますよ！とアピール
    • スタートアップ企業はAWSが多い。金曜業界AWSユーザー急増中
    • 今後もPrivateLinkで繋がれる可能性を説明
• リリースしたサービス
• 3ヶ月でリリースできた

• 標準化して他のサービスに展開していった
  • より詳細なログを取るためにロードバランサーの後ろにインスタンスを配置して詳細なログ取得
  • アプリの宛先制御で障害制御

• 導入効果
  • 専用線と比べて圧倒的なコストとアジリティ
  • 一貫したログ保管とモニタリング
  • セキュリティレベルは専用線と同等水準
  • Multi-AZと利用したシンプルアーキテクチャー
  • 標準化により追加作業は社員が実施(初期費ゼロなので利用が促進された)
  • PrivateLinkという言葉が認知された(キャッチーな名前がありがたい)
  • 2年間稼働して1度もサービスは止まっていない
• 日本初のクラウドAI審査サービス
  • 2019年5月に日立製作所と一緒に実現
  • 合弁会社を通じて4行程度のサービス利用開始見込み
  • オフィス環境から業務システムまですべてAWS環境で運用している
  • 元々AWS環境を利用していなかった地銀さんでもAWSを契約してサービスを利用したほど高評価だった

ゼロトラストにもAWS PrivateLink

• アプリ間の通信もPrivateLink
• インターネットへのアクセスもPrivateLink
• インターネットからのアクセスもPrivateLink
• マイクロセグメンテーションが実現できるのでは
• 他社のサービス利用や他社へのサービス提供にもPrivateLink
• 細かく分けていくことで脅威の拡散を防止できる

まとめ

• PrivateLinkに可能性は感じられたでしょうか？
  • これの利用だけのためにAWSを利用してもいいかもしれない
• 受け身体質を変えましょう
• 新たな価値を想像するために何ができるかを常に模索
• 最適化されたインフラデザインを十分検証して提供する

感想

PrivateLinkが解決する様々な課題について事例とともに説明されていて、とてもわかりやすかったですね。

専用線と比べてしまうと非常にメリットがありますね。

これを利用したサービス提供は非常に面白い取り組みだと思うのでぜひ実践してみましょう！