[レポート] AWS のEdgeネットワーク入門 #AWSSummit

AWS Summit 2018 Tokyo

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

本日 5/30 から 6/1 まで、東京・品川で開催されています AWS Summit Tokyo 2018。こちらで講演されたセッション「AWS のEdgeネットワーク入門」を聴講しましたのでレポートします。 CLo 今回のAWS Summitでは全セッションで撮影が禁止されているため、文字だけでお届けします。

概要

Web サイトの高速化やセキュリティ対策に関心はありませんか? 本セッションでは、Amazon Route53, Amazon CloudFront, AWS Shield, AWS WAF などのエッジネットワークサービスを使用することで、AWS のグローバルインフラストラクチャを皆様のシステムで活用する方法をご紹介します。

スピーカー

  • アマゾン ウェブ サービス ジャパン株式会社 技術統括本部 ソリューションアーキテクト
    • 藤原 吉規

(※敬称略)

レポート

想定するオーディエンスとセッションの目的

  • 想定するオーディエンス
    • Webサイトの高速化やセキュリティ対策に関心がある
    • 基本的なWeb技術を理解している
      • URL、HTTP/S、リクエスト/レスポンス、DNS、DDoS攻撃など
    • セッションの目的
      • AWSのEdgeサービスとは何か、概要とメリットを理解する
      • Edgeサービスをどのようなシステムに活用できるか理解する

アジェンダ

  • AWSのEdgeサービス
  • Webアクセスの仕組みと課題
  • Amazon CloudFront
  • Lambda@Edge
  • AWS WAF
  • まとめ

AWSのEdgeサービス

  • AWSのエッジロケーションから提供されるサービス群
  • ユーザーが最初にアクセスするサービスをユーザーに近い場所から提供
  • CloudFront Caching Servers
    • データ取り込み、プロキシ
  • Route 53
    • グローバルDNS
  • AWS WAF
    • WAF
  • AWS Shield
    • DDoS対策
  • Lambda@Edge
    • サーバーレスコンピューティング
  • エッジロケーション
    • 24ヵ国、117拠点(106エッジロケーション、11リージョナルエッジキャッシュ)

Webアクセスの仕組みと課題

Webアクセスの仕組み

  1. ブラウザからURLを指定してアクセス要求
  2. ドメイン名を問い合わせてDNS名前解決
  3. IPアドレスを使用してインターネット経由でWebサーバーに接続しコンテンツを取得
  4. ブラウザをレンダリングして表示

インターネットの仕組み

  • インターネットは、個別の組織によって管理されたネットワークを複数相互に接続することで実現されている
    • インターネットの内側はとても複雑
  • 高品質な通信の確保とセキュリティ脅威からの保護が課題
    • ネットワークのネットワーク
      • 宛先までの経路は時々の状況により変化、品質は常に一定ではない
      • 特に、距離の離れた通信は遅延の影響を受けやすい
    • 誰でもアクセスできる
      • 同じプロトコルでアクセスでき、誰でも情報がやりとりできる
        • 逆にいうと、誰からでも攻撃される可能性があるということ
        • 最近はアプリ脆弱性をついた攻撃、DDoS攻撃も多い

大規模なWebサイトでの課題

  • インターネット経由で大規模なWebサイトを利用する場合は、レスポンス、キャパシティ、セキュリティ、DDoS対策が課題
    • レスポンスの遅延、不安定なレスポンス
      • インターネット経由でのアクセスにおけるネットワーク遅延の影響
    • 大量アクセスへの対応
      • 大量のアクセスを捌くためには、不要なトラフィックをオリジンに到達させない効率的な仕組みが必要
    • アプリのセキュリティ対策
      • 社会的信用の失墜、サイト閉鎖による機会損失などを防ぐため、Webアプリケーションへの攻撃に対する対策が必要
    • DDoS攻撃の対策
      • サービスの可用性を確保するためDDoS攻撃に対する対策が必要

AWSのEdgeサービスによる解決

  • 大規模なWebサイトでAWSのEdgeサービスを活用
  • ネットワーク遅延影響の低減
    • ユーザーに近いロケーションからWebコンテンツを返す
    • Amazon CloudFrontを利用
  • オリジンでの無駄なリソース消費を低減
    • 繰り返しアクセスされるデータをキャッシュし、オリジンへのアクセスを低減する
    • Amazon CloudFrontを利用
  • アプリケーションへの攻撃に対する対策
    • パケットをアプリケーションレベルで監視し、不正なアクセスを遮断する
    • AWS WAFを利用
  • DDoS攻撃に対する対策
    • DDoS攻撃に対応できるインフラにより、DDoS攻撃の影響を低減する
    • AWS Shieldを利用

Amazon CloudFrontによるCDN

  • 大容量キャパシティをもつ地理的に分散したサーバー群からコンテンツをキャッシュしたり代理配信をするサービス
  • CDN導入の利点
    • ユーザーを一番近いエッジロケーションに誘導することで配信を高速化
    • エッジサーバーでコンテンツのキャッシングを行いオリジンの負荷をオフロード

AWS WAFによるWebアプリケーションの保護

  • アプリケーションレベルでパケットを解析
  • 不正なアクセスを遮断し、正しいアクセスのみを許可する

AWS ShieldによるDDoS攻撃対策

  • Amazonのノウハウを詰め込んだDDoS攻撃を緩和するサービス
  • デフォルトで有効になっており無料で利用できる

Edgeサービスの効果

  • Edgeサービス導入前
    • 攻撃を含むすべてのトラフィックがオリジンに到達、オリジンが高負荷
    • 長い経路で遅延が大きくレスポンスも悪い
  • Edgeサービス導入後
    • トラフィックはエッジから返され、オリジンへは一部のみ転送される
    • 攻撃者からのアクセスはエッジロケーションで遮断される

導入事例

  • ディライトワークス様
    • 「Fate/Grand Order」の海外展開のため、すべてのリクエストをCloudFront経由に
    • Route 53のAlias機能を使用しDNSクエリ回数を削減
    • 海外からのHTTPS通信のレイテンシが改善され、単一拠点での海外展開が可能に
  • ジュピターショップチャンネル様
    • DCで運用していたECサイトをAWSへ移行
    • サイトの性能限界が上昇し、ピーク時でもインフラの安定稼働が可能に
    • CloudFrontで、急務だったコンテンツ配信の課題を改善
    • AWS WAFを利用して、悪意のあるアクセスのブロックやアプリ脆弱性をついた攻撃をブロック
    • 標準機能でDDoS攻撃からサイトを保護
  • DataDome様
    • Lambda@EdgeとCloudFrontを利用して、Bot対策セキュリティソリューションをワンクリックで利用可能に
    • ユーザーは1回のクリックで2分以内にDataDomeをアクティブにできるように
    • 「エッジ」でウェブサイト、コンテンツ、ユーザー、APIを保護

Amazon CloudFront

  • CloudFrontの特徴
    • 高性能な分散配信
    • 高いパフォーマンス
    • キャパシティアクセスからの解放
    • ビルトインのセキュリティ機能
    • 設定が容易で即時利用可能
    • 充実したレポーティング
    • 完全従量課金
  • 最適なエッジロケーションの割り当て
    • DNSを応用した仕組みで最適なエッジロケーションを割り当て
  • CloudFrontの様々な機能
    • 動的コンテンツの配信
      • フォワードオプション
    • 暗号化通信
      • TLS/SSL、独自SSL証明書
    • プライベートコンテンツ提供
      • 署名付きURL、Cookie
    • フィールドレベル暗号化を使用した機密データの保護
    • GZIP圧縮
    • アクセス元地域の制限
    • カスタムエラーページ
    • IPv6サポート
    • HTTP/2サポート

Lambda@Edge

  • サーバーレスとLambda
    • イベントソース
      • データ更新
      • リクエスト
      • リソース状態の更新
    • Lambda関数
    • あらゆるサービス
  • Lambda関数をグローバルで実行可能
  • CloudFrontトリガー
    • Lambda関数を使用してCloudFrontリクエストとレスポンスを変更
      • ビューワーリクエスト
      • オリジンリクエスト
      • オリジンレスポンス
      • ビューワーレスポンス
  • Lambda@Edgeのユースケース
    • ユーザーエクスペリエンスの向上とサイトアクセス時のパフォーマンスを両立
      • キャッシュヒット率の向上
      • コンテンツ生成
      • セキュリティ
    • コンテンツ生成や処理をエッジで実行

AWS WAF

  • お客様の要望に応じてAWSが実現したマネージドWAFサービス
    • 実践的なセキュリティモデルを簡単に導入
    • ルールをフレキシブルにカスタマイズできる
    • DevOpsとの統合
  • 「使っただけ」の支払い
  • なぜWAFを使うのか
    • ファイアウォールやIPS/IDSで保護できないアプリへの攻撃や難読された攻撃から保護するためにWAFを利用
      • WAFはWebサイトやアプリケーションが、攻撃されてダウンしたりデータが流出したりすることがないように手助けをする
      • SQLインジェクションやXSS、DDoSなどのセキュリティ対策
        • PCI DSS対応
  • CloudFront with AWS WAF
    • 不正なトラフィックはエッジロケーションにあるWAFでブロック
    • サーバー管理やスケール対応は不要でWAF機能のみ利用
  • リクエストの判定条件
    • AWS WAFは複数の条件を組み合わせてリクエストの許可/拒否を判定
      • クロスサイトスクリプティング
      • アクセス元の地域
      • IPアドレス
      • サイズ制限
      • SQLインジェクション
      • 文字列、正規表現マッチング
  • AWS WAFのマネージドルール
    • 事前設定されたルールを利用してウェブアプリケーションを保護
    • パートナーが管理するマネージドルールを利用することで、ウェブアプリやAPIの保護を即座に開始
    • Alert Logic, F5ネットワークス, Fortinet, Imperva, Trend Micro, Trustwavenなどセキュリティのエキスパートがルールを提供
    • AWS Marketplaceを通じて調達でき、従来制の料金で利用可能、長期契約の必要なし

まとめ

  • CloudFrontはユーザーへのレスポンスを改善し、オリジンの負荷を削減
  • CloudFrontはAWS WAFとの組み合わせや、組込みのDDoS対策により、高いセキュリティを実現
  • CloudFrontはLambda@Edgeと組み合わせることによりユーザーエクスペリエンスを向上させることができる
  • 大容量の配信や大量アクセスがあるサイトでの活用が有用
  • 小規模でもWAF/DDoSなどのセキュリティ対策が必要なサイトで有用

最後に

いかがだったでしょうか。AWSではリージョンとは別に、エッジロケーションを世界の各地で管理しています。これによって従来は高価だったCDNを安価に利用できるようになりました。またLambda@EdgeやWAFなど、エッジロケーションを活用した新しいサービスも登場してきました。今回のセッションを聴講することで、それらの具体的なユースケースなどがイメージできるようになると思います。

現場からは以上です。