【レポート】ユーザーエクスペリエンスとセキュリティを最適化する AWS エッジネットワークサービス #AWS-33 #AWSSummit
この記事では、5月11日に行われた AWS Summit Online 2021 のオンラインセッション『ユーザーエクスペリエンスとセキュリティを最適化する AWS エッジネットワークサービス(AWS-33)』の模様をレポートします。
セッション概要
このセッションでは、Amazon CloudFront, AWS Global Accelerator, Amazon Route 53, AWS WAF, AWS Shield による AWS エッジネットワークの基本をご紹介します。参加者は、エッジネットワークサービスが AWS グローバルインフラストラクチャのメリットを拡張し、ユーザーエクスペリエンスとアプリケーションのセキュリティを向上させるためにどのように役立つかを学ぶことができます。スタートアップから大企業まで活用可能なアプリケーションをグローバルにスケーリングするのに役立つ主な機能についても説明します。また、ライブストリーミング, ゲーム, 大容量ファイルのダウンロードからアクセス高速化やセキュリティ確保まで一般的なユースケースを検討します。顧客向けアプリケーションの構築や AWS への移行を検討している IT 部門の意思決定者や開発者の方は、このセッションに参加して機能やメリット, アーキテクチャ上の考慮点などを学んでください。
登壇者
アマゾン ウェブ サービス ジャパン株式会社 技術統括本部 西日本ソリューション部 ソリューションアーキテクト 藤原 吉規
( ゚д゚)大阪の民 「きゃー!!藤原さーん!!」
レポート
本セッションで紹介する AWS エッジネットワークサービスは以下のとおり。
- Amazon CloudFront
- CloudFront Lambda@Edge
- AWS Shield Standard / AWS Shield Advanced
- AWS WAF
- Amazon Route 53
- AWS Global Accelerator
エッジネットワークサービスの特徴
- AWS グローバルネットワークを利用することで、より高速で安定したユーザ体験を提供
- CloudFrontのキャッシュを有効活用し、レスポンスを早く返す
AWS グローバルインフラストラクチャ
- 水色の点は AWS リージョン
- オレンジ色の点がエッジロケーション
- オレンジの線が完全冗長の 100 GbE メトロファイバーネットワーク。エッジロケーション間を結ぶプライベートネットワークで暗号化されたネットワークトラフィックが流れている
CDN+ネットワークの特徴(パフォーマンス)
Amazon Route 53
- ドメインおよびレコードの登録、管理
- DNS クエリ応答
- トラフィックフローによる AWS リソースへの柔軟なルーティング
- DNS フェイルオーバー
- 地理的近接性に基づく(GEO)ルーティング
- レイテンシーに基づくルーティング
- 加重ラウンドロビン
Amazon CloudFront
- ユーザを一番近いエッジロケーションに誘導して配信を高速化
- エッジサーバーでコンテンツのキャッシュを行いオリジンへの負荷をオフロード
- AWS グローバルインフラを利用することで非キャッシュコンテンツの高速化
- 利用者が行う最適化で活用していただきたい 2 つの新機能
- Cache Policy/ Origin Request Policy
- オリジンに転送するリクエストとキャッシュキーを分離可能にすることで、より柔軟なキャッシュ設定が可能になった
- Origin Shield
- CloudFront のリージョナルエッジキャッシュからオリジンへの負荷を最小限に低減する
- Cache Policy/ Origin Request Policy
AWS Global Accelerator
- グローバル分散したユーザが利用するアプリケーションの前段に配置することで可用性、パフォーマンスを改善
- パケットロス、ジッター、レイテンシーを削減するために自動的にルーティング
- エッジでの TCP ターミネーションが可能になり、パブリックインターネットよりも最大 60% 高速なパフォーマンス
CloudFront と比較した Global Accelerator の特徴は以下のとおり
- 静的 IP で利用可能
- TCP/UDP も利用可能
- フェイルオーバー時でもエンドユーザーには同一 IP で応答するため DNS キャッシュなどの影響を受けない
- セットアップが容易
Global Accelerator を利用した際に期待されるパフォーマンス改善を簡単に測定できるので、是非、お試しください。
CDN+ネットワークの特徴(セキュリティ)
CloudFront エッジセキュリティ
- アクセス制御
- カスタムオリジン保護
- コンテンツ保護
- IAM アカウントで署名付き URL / Cookie のキー設定が可能に
- 単一コンテンツでは署名付き URL
- HLS 動画配信など複数コンテンツでは署名付き Cookie が推奨
- IAM アカウントで署名付き URL / Cookie のキー設定が可能に
- コンテンツ制限
- S3 Origin Access Identity(OAI)
- 暗号化接続
- ACM を利用した高度な暗号化
- OCSP ステープリング、セッションチケット、Perfect forward secrecy(PFS)
- プロトコル強制、Half/Full-bridge コネクション
- TLSv1.3、フィールドレベル暗号化
CloudFront TLS1.3 の改善
- TLSv1.2 と比較し最大で 33% の TLS ネゴシエーションタイムが削減
AWS WAF
CDN ソリューションの一部として AWS WAF を利用し、WEB アプリケーションを保護
CDN+ネットワークの特徴(カスタマイズ)
コード実行をエッジに移動、動的コンテンツの作成や修正を行うことが可能
尚、セッション内では紹介されていませんでしたが、直近のアップデートとして CloudFront Functions も抑えておきたいですね。
CDN+ネットワークの特徴(イノベーション)
2020 年の CloudFront 機能強化をズラーッと紹介されています
CDN+ネットワークの特徴(コスト最適化)
CloudFront コスト最適化
- 3つの料金体系
- オンデマンド
- キャパシティ予約
- 月に 10TB 以上の利用を想定されるユーザー向けの割引プラン
- Amazon CloudFront Security Savings Bundle が追加
- 1年間の月額使用料を確約する契約
- Lambda@Edgeを含む、CloudFront 請求額を最大 30%節約
- 確約した月間使用量の最大 10 % まで AWS WAF 使用料も含まれる
- 料金クラス
- エッジロケーションのうち、高コストなものを除外することが可能
聴講した所感
CloudFront を中心に Global Accelerator、Lambda@Edge、AWS WAF といった Web コンテンツ、Web アプリケーションを提供する場合に押さえておきたいポイントがまとまったセッションでした!
![[アップデート] AWS CDK で CloudFront Distribution の作成後に Web ACL をアタッチ可能になりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-f66629e23bafcf47fa6477fd0349a4f7/3e371b05917375d87daf613d54a600d8/amazon-cloudfront)
![[アップデート] Application Load Balancer コンソールから CloudFront + WAF を統合出来るようになりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-f650a3011b384cc3781610c17755bc71/c37c67c9bc40b72e6dce1a49f4153283/elastic-load-balancing)
