【レポート】AWSを使いこなすために – セキュリティとベストプラクティスと新しいサービス #AWSSummit

AWS Summit OSAKA 2019 (2019/06/27) のセッション、 「AWSを使いこなすために - セキュリティとベストプラクティスと新しいサービス」をレポートします。

セッション概要

AWS が考えるセキュリティの基本および AWS で用意している各種セキュリティのための 取り組みについてご紹介します。 また AWS の様々なリソースを、いかに効率よく構成するかが 実装の観点では重要となりますが、AWS では、 これまでの実践を通してベストプラクティスや設計の原則を 『Well-Architected Framework』として提供しています。

その考え方の基本をご紹介します。 さらにAI/MLやDataLakeといった最新のサービスやアーキテクチャについてもご紹介します。

スピーカー

アマゾン ウェブ サービス ジャパン株式会社、 技術統括本部、 ソリューションアーキテクト

桶谷 拓也さま

セッションレポート

はじめに (対象者と目的)

• 対象者
  • これから AWSを本格的に使う方
  • 最近 AWSを使い始めた方
• 目的
  • セキュリティやベストプラクティスを理解し、AWSを正しく活用する方法を知る
  • AWSならではの考え方を知る
  • 新しい AWSサービスを知る

AWS を使い始めて最初に作る内容

• マネジメントコンソールを使って
  • VPC、サブネット、EC2インスタンスを作成
  • インターネット ゲートウェイを作成
  • Private/Public サブネットを作成
  • データベースをRDSに変更
  • など…

上記内容は一人でもできるが、複数人が利用し始めると …

複数人が AWSを使い始めると出てくる課題

• セキュリティの担保
• 運用設計
• システムの信頼性や可用性
• など・・・

セキュリティ

• AWSのセキュリティ方針
  • セキュリティはAWSにおける最優先
  • セキュリティに対する 継続的な投資
  • セキュリティ関連のホワイトペーパーも更新
  • 複数の第三者認証を取得
• データセンターセキュリティ
  • AWSは数年間に渡り、大規模なデータセンターを構築
• データセキュリティ
  • データの所有権は お客様側にある
  • データ、サーバを配置するリージョンは お客様が指定
  • お客様側で独自の暗号化メカニズムを構築可能
• セキュリティはお客様との責任共有モデル
  • https://aws.amazon.com/jp/compliance/shared-responsibility-model/
• 幅広いセキュリティ関連のサービス → うまく活用してお客様の責任範囲を扱う
  • アイデンティティ ( IAM )
  • 発見的コントロール
  • 基盤セキュリティ
  • データ保護
  • インシデントレスポンス

セキュリティ > Identity and Access Management (IAM)

• AWSサービスおよびリソースへのアクセスを安全に管理
• IAM の要素
  • Identities: 誰が
  • API Actions: 何を行う
  • Resources: 何に対して
  • Conditions: (更に細かい制御)
• セキュリティベストプラクティス
  • データへの最小のアクセス権限

Well-Architected (W-A) フレームワーク

• システム設計・運用の "大局的な" 考え方とベストプラクティス集
  • AWSのSAとお客様が長年に渡り　数多くの経験から作り上げたもの
  • AWSとお客様とともに、W-Aも常に進化し続ける
• 構成要素
  • W-A ホワイトペーパー
  • SAもしくは W-A パートナー
  • AWS W-A Tool

W-A フレームワーク > ホワイトペーパー

• 設計原則と(質問と回答形式)のベストプラクティス集
• 5つの柱
  • 運用の優秀性
  • セキュリティ
  • 信頼性
  • パフォーマンス効率
  • コストの最適化
• 設計原則のピックアップ
  • 必要なキャパシティを感に頼らない
  • 本番規模でのシステムテストを行う
  • アーキテクチャ試行回数を増やすために自動化を取り入れる
  • など…
• ベストプラクティスの質問を活用しましょう
  • Q. 全項目ベストプラクティスを守らないと駄目なのか？
  • A. ベストプラクティスを知った上で皆様が「判断をする」

マネージドサービス

AWSのマネージドサービスは160種類以上。いくつか抜粋。

マネージドサービス > 機械学習

• 機械学習は デジタルトランスフォーメーションの中心 となっている。
• 機械学習サービススタック
  • AIサービス: Rekognition など。事前に学習済みのモデルが提供される
  • MLサービス: SageMaker
  • MLフレームワーク & インフラストラクチャ: EC2など

マネージドサービス > 分析

• S3
  • 99.999999999 % の耐久性
  • 堅牢な Data Lake インフラストラクチャとして利用
• AWS Lake Formation
  • 安全な Data Lake を数日で構築

まとめ

• 責任共有モデルを理解し、セキュリティ関連のサービスを活用する。
• W-A フレームワーク を活用し、ベストプラクティスを取り入れて効率に安全なシステムを構築する。
• マネージドサービスの活用を積極的に検討する。

感想

個人で使っていると AWS を使い始めて最初に作る内容 で話されていたように、 あまりセキュリティやベストプラクティスには目がいきません (実体験)。

AWSの徹底したセキュリティ対策、Well-Architected フレームワークについて学ぶことができました。