AWS Innovate 2018 Beginner | bearsworld

bearsworld

for friendbear GitHub Pages.

Follow me on GitHub

AWS Innovate 2018 Beginner

01 Jan 2018 -

AWS Innovate ビギナーズトラック

失敗から積み上げた功績をInnovate

機能改善、イノベーションのスピード

18のリージョン 55のAZ, 100以上のエッジロケーション 100を越えるサービス

クラウドネイティブなアプリケーション開発

仮説立案、開発、実行&検証

新しいエンジニアスタイル

検証、構築、学習 高速に回す、学ぶべき範囲は広くなる

DevOps、Cloud Native

アイディアと実行力が重要

オンプレミスとクラウドシステム全体像

必要な時に必要なだけ低価格で

マネージドサービス

電源、ネットワーク、ラック導入管理、サーバメンテナンス、OSの導入、OSのパッチ、ミドルウェアの導入、ミドルウェアのパッチ、バックアップ、可用性、スケーラビリティ、アプリ

ハイブリッド接続

BGP、InternetVPN

## DCインフラの選択 ネットワークの設定 仮装サーバーの作成 セキュリティの設定 アプリの設定

VPC=Virtual Private Cloud

コンプライアンス

包括的なセキュリティとコンプライアンス統制の継承

クラウドの導入の説明

運用保守のメリット

ネットワークセッション

インフラストラクチャーの構築不要 ネットワークの設計、構築不要

VPC

隔離されたプライベート仮装ネットワーク

IPアドレス空間の設計

大きさは/28から/16 オンプレミス環境との接続も考慮し被らないようにする。

コンポーネントの配置

IGW

VPCにアタッチして利用 自動スケーリング 帯域幅の制約無し 単一障害点無し

ELB

自動スケーリング 単一障害点無し パブリックIPを付与

サブネット設計

VPC内のサブネット間はデフォルトで互いにルーティング可能

セキュリティー設計

セキュリティグループ

  • ステートフルファイアウォール
  • OSではなくインフラのレイアで確実に通信を制御

オンプレミス

オンプレミス

  • 設計 キャパシティ プランニングが難しい キャパシティプランニング自体が不要
  • 構築 サーバーの調達に時間がかかる 数分で必要なサーバーを調達可能
  • 運用 機器の故障の対応 利用者側による物理機器への障害対応は不要

スケールアップ、ダウン(スペック上げ) スケールアウト、スケールイン(台数増やす)

セキュリティー

盗聴に対してTLS,VPNによる暗号化SSL DDos 大量トラフィックを送信し、リソース枯渇を招きサービスダウンを狙う攻撃

IoT DDoSが増加、脆弱なWEBカメラなどにウイルスを感染

AWS Shild L4レイアーでの防衛

ゼロデイ

サーバー、OS,ミドル、アプリの脆弱性に対してパッチを含めた解消手段がない場合 WAF(WebApplication Firewall)

GirdDuty

アカウント乗っ取り

XSSによるセッションハイジャック アカウントリスト攻撃などでアカウントを乗っ取り悪用する

インジェクション

緩和策としてWAF

XSS 攻撃

対策としてWAF

WAFとは

カスタムルールによるアクセス制御 動的なルール変更が可能

データ漏洩

暗号化 ファイル単位の暗号化、DB単位の暗号化で対応

マルウェア

最新のパッチ適用、出口対策の実施

内部犯行

組織内部からの情報漏洩

認証認可をしっかりする IAMによりセキュリティーポリシーを作成して厳格に管理する

### Monitoring Logging 遮断 SOC 物理対策