「セキュリティ系まとめと地味だけど今すぐ設定すべきモニタリングアップデート」というタイトルでre:Growth 2022に登壇しました #reInvent #cmregrowth

「セキュリティ系まとめと地味だけど今すぐ設定すべきモニタリングアップデート」というタイトルでre:Growth 2022に登壇しました #reInvent #cmregrowth

re:Invent 2022のキャッチアップを行うre:Growth 2022で、私が注目しているすぐ使うべき2つのモニタリングサービスを紹介した資料の解説です。
AWS re:Invent 2022

AWS re:Invent 2022

#Amazon CloudWatch
#セキュリティ
#AWS
臼田佳祐

臼田佳祐

facebook logohatena logotwitter logo
Clock Icon2022.12.06

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

みなさん、AWSのセキュリティ対策してますか?(挨拶

今回はre:Invent 2022をキャッチアップする弊社イベントre:Growth 2022で登壇した内容の解説です。

動画

スライド

解説

re:Invent 2022の感想

今回のre:Inventは開幕直後からセキュリティ系のアップデートが多く、すぐにお腹いっぱいになりましたw

Control Tower周りも色々強化されましたし、GuardDutyはRDS対応とコンテナランタイムが来ました。他にもCloudWatchをはじめいくつかのサービスで機密情報保護機能も実装されました。

山ほど語りたいことがありますが、今回は10分の登壇時間しかありませんでしたので、セキュリティ系のまとめをさらっと行い、2つのモニタリング機能にフォーカスしました。

まとめはこちらをご確認ください。

AWS Network Managerのインフラストラクチャパフォーマンスモニタリング

AWS Network Managerはネットワーク管理周りの様々な機能群です。Transit GatewayネットワークマネージャーやReachability Analyzer、Network Access Analyzerなどが含まれています。

インフラストラクチャパフォーマンスモニタリングは下記3点のパフォーマンスモニタリングを提供します。

  • リージョン間
  • AZ間
  • AZ内

下記のようになります。矢印の名称はリアルタイムパフォーマンスモニタリングでのものです。

パフォーマンスは5分間隔でAWSが取得しているレイテンシー測定値のp50で計算されています。詳細はユーザーガイドにいろいろ乗っています。

What is Infrastructure Performance? - Amazon Virtual Private Cloud

マネジメントコンソールからインフラストラクチャパフォーマンスを確認すると、下記のように指定期間のヘルスやレイテンシーが確認できます。

これは例えば運用しているシステムで通信に問題があった際に、AWSネットワークに問題があったかをここで確認することができます。

従来は障害があった際にはヘルスイベントなどで確認するのみで、実際にどのようなパフォーマンス・レイテンシーになっているかを確認するすべがありませんでした。これからは問題があった際に切り分けのためにAWSのパフォーマンスに問題がないか確認できます。

また、インフラストラクチャパフォーマンスはサブスクライブすることで自身のCloudWatchメトリクスとして受信できます。

これにより、例えば下記のようにCloudWatchダッシュボードを作成できます。

利用しているリージョンのメトリクスを収集してダッシュボードに加えたり、アラームを設定して障害をすぐ検知するということにも使えます。

マネジメントコンソールから確認する分には(たぶん)無料です。サブスクライブしている場合には(たぶん)CloudWatchのカスタムメトリクスの料金がかかりますが、5分おきであることと、双方向に取らなくても(たぶん)片方向だけで十分だと私は感じたので(どちらの方向も同じ値が取れるため)そんなに費用はかからないので、とりあえず使ってみるといいと思います。

詳細は下記ブログもご確認ください。

Amazon CloudWatch Internet Monitor

Amazon CloudWatch Internet MonitorはAWSの外側、インターネットをモニタリングするサービスです。

AWS上でサービスを提供していても、エンドユーザーがそのサービスを利用するためにはインターネットの状態も影響を受けます。自分たちのシステムのモニタリングと同じように、ある程度はインターネット側、エンドユーザーに影響が及んでいるかは確認したいものです。

Amazon CloudWatch Internet Monitorを利用すればこれを確認できます。

また、この機能が紹介されたリーダーシップセッションの事例として、ゲーム系の顧客がこの機能でクライアント寄りの障害を検知し、別サーバーへ誘導するという利用方法を紹介していました。

実際に使っている画面はこちらです。(AWSブログより引用)

インターネットに問題がある場合に、その場所にポイントされパフォーマンスの問題を教えてくれます。

この原理ですが、AWS各リージョンやエッジ側などを利用して、各ネットワークプロバイダーやISPを介したパフォーマンス測定を日々行っています。通常AWSのオペレーターが利用しているものをサービスとしても提供している形です。詳細はユーザーガイドに色々書いてありますのでご確認ください。

ユーザー側で設定する場合には下記3つのリソースを対象に有効化できます。

  • CloudFront
  • VPC
  • WorkSpaces

設定を行うだけで、追加のログ収集などを行わなくても機能を利用できます。

ヘルス状態は時系列で表示でき、パフォーマンスが95%以下の場合色がつくようになっています。(AWSブログより引用)

こちらはプレビューの機能で直接的には無料です。ただメトリクスとログは収集され、その費用はかかりますが、私がVPC1つをモニタリングした際にはログ4種類が1日100KBずつ取得されていた程度なので、こちらもそこまで気にしなくてもいいかも知れません。(トラフィック量で変わるかもですが)

プレビューの間にとりあえず使ってみましょう。

下記ブログもあわせてどうぞ。

まとめ

今回はとくにすぐに使えそうなモニタリングサービス2つにフォーカスをあてました。

いろんなサービスが出てきて他のものもぜひ触ってほしいですが、まずこの2つを是非お試しあれ!

Share this article

facebook logohatena logotwitter logo

関連記事

Amazon Connectを使ったCloudWatchアラームの電話通知で次の担当者への通知を番号入力で判定してみた

Amazon Connectを使ったCloudWatchアラームの電話通知で次の担当者への通知を番号入力で判定してみた

User avatar
繁松昂大
2024.10.31
AWSでLambda、EventBridge、CloudWatchを活用したスケジュールタスク

AWSでLambda、EventBridge、CloudWatchを活用したスケジュールタスク

User avatar
HemanthKumar R
2024.10.29
AWS CLI を用いて Amazon CloudWatch Logs ロググループのタグ値を一括変更してみた

AWS CLI を用いて Amazon CloudWatch Logs ロググループのタグ値を一括変更してみた

User avatar
yhana
2024.10.25
CloudWatch アラームがアラーム状態になった際 EventBridge の入力トランスフォーマーを使わず Step Functions でメール件名と本文をカスタマイズし SNS からメール通知する

CloudWatch アラームがアラーム状態になった際 EventBridge の入力トランスフォーマーを使わず Step Functions でメール件名と本文をカスタマイズし SNS からメール通知する

User avatar
emi
2024.10.21
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.