[レポート][SEC337]北米トヨタ自動車:AWS KMSでクラウドを保護する #reinvent

2019.12.03

こんにちは。芳賀です。 AWS re:Invent 2019に参加していますのでレポートします。

このブログは下記セッションについてのレポートです。

SEC337 - Toyota Motor North America: Securing the cloud with AWS KMS Presented by Rajkumar Copparapu(AWS)/Matthew Costello(Booz Allen Hamilton)/Kell Rozman(Toyota)
Imagine being tasked with collecting, analyzing, and securing data from hundreds of sources around the world, in multiple cloud and on-premises environments. Toyota Motor North America, along with Booz Allen Hamilton, has created a secure, cloud-native solution to analyze billions of messages per day using AWS Key Management Service (AWS KMS). We discuss how AWS KMS with AWS native services provides granular access and secures corporate assets with data segregation using AWS KMS encryption. Toyota uses AWS Glue, Amazon Athena, and Amazon SageMaker to generate actionable intelligence in its corporate IT and vehicle telematics environments to solve its business and analytics challenges.

re:Invent Event catalog

レポート

  • 北米トヨタとBooz Allen Hamiltonが1日あたりに数十億メッセージを分析するCloud-nativeなソリューションを作成した
  • 世界に分散した拠点での分析を可能とするマルチプルリージョンでnearリアルタイムストリーム処理
  • Architecture overview
  • Templated orchestration
    • グローバルなリージョンへシンプルで素早くデプロイできる状態
  • 生データの保管、抽出したデータ、変換した後のデータ、そしてGUIで見れる形にする
  • AWSで管理すべきデータを各レイヤーで定めている
    • 暗号化: KMS CMK, KMS Coustom Policy, KMS Use Logged
    • システムセキュリティ: Encrypted AMI, Encrypted Volumes, SSh/SSM Agent, EC2 Role
    • ネットワーク: Security Groups, Network Segregation, Encryption in Transit, SSM Agent, VPC Flow Logs, VPS Endpoints
    • アクセス管理: S3Bucket Policy, Least Privilege Access, IAM Policies, SAML Integraion, AWS KMS key Policy, IAM Deny Policieds
    • モニタリング: CloudTrail, CloudWatch, AWS Config, Inspector, GuardDuty
  • ポリシーとロールの関係性
    • Bucket Policy: 細かなアクセス制御をおこなう
    • KMS policy: アクセスを制限するIAMコントロールは無い
    • IAM policy: 制限されたARNや制限されたアクション
    • IAM role: サービスへの関連付け
  • データの投入
  • データパイプラインの保護
    • データをS3へ格納する際にKMS Keyにより暗号化
  • Amazon Athenaでのデータ保護
    • S3へのAWS KMS Policyによりデータへの制限をかける

感想

解析するデータが大量であってもGlueを多段に構えて収集、抽出を実施して、そのうえで変換し、AthenaとQuickSightでビジュアライズして、人が扱いやすい、監視し易いデータにする知見が得られた。そして、段階的に生成されるデータもKMSで暗号化されており、データの保護についても参考になった。 また、これらの環境がTerraformテンプレートとして管理され、新たに追加された地域での構築や災害発生時にも他のリージョンで素早く管理環境を再展開できるようになっており、とても示唆に溢れるセッションだった。