AWS Innovate 2018 Beginner
01 Jan 2018 -
AWS Innovate ビギナーズトラック
失敗から積み上げた功績をInnovate
機能改善、イノベーションのスピード
18のリージョン 55のAZ, 100以上のエッジロケーション 100を越えるサービス
クラウドネイティブなアプリケーション開発
仮説立案、開発、実行&検証
新しいエンジニアスタイル
検証、構築、学習 高速に回す、学ぶべき範囲は広くなる
DevOps、Cloud Native
アイディアと実行力が重要
オンプレミスとクラウドシステム全体像
必要な時に必要なだけ低価格で
マネージドサービス
電源、ネットワーク、ラック導入管理、サーバメンテナンス、OSの導入、OSのパッチ、ミドルウェアの導入、ミドルウェアのパッチ、バックアップ、可用性、スケーラビリティ、アプリ
ハイブリッド接続
BGP、InternetVPN
## DCインフラの選択 ネットワークの設定 仮装サーバーの作成 セキュリティの設定 アプリの設定
VPC=Virtual Private Cloud
コンプライアンス
包括的なセキュリティとコンプライアンス統制の継承
クラウドの導入の説明
運用保守のメリット
ネットワークセッション
インフラストラクチャーの構築不要 ネットワークの設計、構築不要
VPC
隔離されたプライベート仮装ネットワーク
IPアドレス空間の設計
大きさは/28から/16 オンプレミス環境との接続も考慮し被らないようにする。
コンポーネントの配置
IGW
VPCにアタッチして利用 自動スケーリング 帯域幅の制約無し 単一障害点無し
ELB
自動スケーリング 単一障害点無し パブリックIPを付与
サブネット設計
VPC内のサブネット間はデフォルトで互いにルーティング可能
セキュリティー設計
セキュリティグループ
- ステートフルファイアウォール
- OSではなくインフラのレイアで確実に通信を制御
オンプレミス
オンプレミス
- 設計 キャパシティ プランニングが難しい キャパシティプランニング自体が不要
- 構築 サーバーの調達に時間がかかる 数分で必要なサーバーを調達可能
- 運用 機器の故障の対応 利用者側による物理機器への障害対応は不要
スケールアップ、ダウン(スペック上げ) スケールアウト、スケールイン(台数増やす)
セキュリティー
盗聴に対してTLS,VPNによる暗号化SSL DDos 大量トラフィックを送信し、リソース枯渇を招きサービスダウンを狙う攻撃
IoT DDoSが増加、脆弱なWEBカメラなどにウイルスを感染
AWS Shild L4レイアーでの防衛
ゼロデイ
サーバー、OS,ミドル、アプリの脆弱性に対してパッチを含めた解消手段がない場合 WAF(WebApplication Firewall)
GirdDuty
アカウント乗っ取り
XSSによるセッションハイジャック アカウントリスト攻撃などでアカウントを乗っ取り悪用する
インジェクション
緩和策としてWAF
XSS 攻撃
対策としてWAF
WAFとは
カスタムルールによるアクセス制御 動的なルール変更が可能
データ漏洩
暗号化 ファイル単位の暗号化、DB単位の暗号化で対応
マルウェア
最新のパッチ適用、出口対策の実施
内部犯行
組織内部からの情報漏洩
認証認可をしっかりする IAMによりセキュリティーポリシーを作成して厳格に管理する
### Monitoring Logging 遮断 SOC 物理対策