クラウドとAWSの説明

2,168 views

Published on

Published in: Technology
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,168
On SlideShare
0
From Embeds
0
Number of Embeds
76
Actions
Shares
0
Downloads
0
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

クラウドとAWSの説明

  1. 1. 今からおさえるクラウドと AWS活用のこれから 2014.3.17 吉田真吾
  2. 2. 自己紹介 吉田 真吾(よしだ しんご) エバンジェリスト、ソリューションアーキテクト AWSサムライ2014(Japan AWS UserGroup) AWS Certified Solutions Architect ‒ Associate Level 好きなAWSサービス Amazon S3、CloudTrail バックグラウンド 通信キャリア:基地局制御、GISサービス 開発 SIer:証券システム基盤 開発
  3. 3. 2013年4月∼
  4. 4. 2003年創業
  5. 5. 2003年創業 Intel Inside
  6. 6. 2010年4月 cloudpack事業
  7. 7. Our Customers
  8. 8. 0 to 350<
  9. 9. !   •        2013年6月
  10. 10. 50>
  11. 11. cloudpack の価値 AWS専門部隊 コンサルティング、アセスメント、導入設計 ホスピタリティ 24時間365日有人監視、保守対応 実績 350社を超えるアカウントを運用する運用品質 セキュリティ PCI DSS Level 1 Service Provider 認定 スピード 最短30分でのデリバリー実績 Virtual Private Cloud(10.0.0.0/20) Availability Zone A IGW Availability Zone B VPC Subnet NATELBELBELB VPC Subnet EC2 EC2 EC2 EC2 EC2 VPC Subnet VPC Subnet NAT DB VPC Subnet EC2 EC2 EC2 EC2 EC2 VPC Subnet VPC Subnet NAT VPC Subnet ELBELBELBNAT
  12. 12. National Institute of Standards and Technology クラウドとそのメリットについて ↑NISTによるクラウドコンピューティングの定義に 従って説明を進めます
  13. 13. http://www.ipa.go.jp/files/000025366.pdf http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf
  14. 14. 基本的な特徴 オンデマンド・ セルフサービス 幅広いネットワークアクセス リソースの共用 スピーディな拡張性 サービスが 計測可能であること http://www.ipa.go.jp/files/000025366.pdf
  15. 15. http://www.slideshare.net/AmazonWebServicesJapan/on-aws-20130927 AWSの説明もだいたい同じ
  16. 16. サービスモデル Software as a Service サービスの形で提供されるソフトウェア Salesforce, Google Apps, Office 365 Platform as a Service サービスの形で提供されるプラットフォーム Engine Yard, Heroku, AWS Elastic Beanstalk Infrastructure as a Service サービスの形で提供されるインフラストラクチャ Amazon Web Services, Windows Azure, Google Compute Engine
  17. 17. サービスモデル IaaS PaaS SaaS 構成 管理 ソフトウェ ア管理 H/W OS ミドル ウェア H/W OS 構成 管理 ミドル ウェア H/W OS
  18. 18. 実装モデル プライベートクラウド コミュニティクラウド パブリッククラウド ハイブリッドクラウド http://www.ipa.go.jp/files/000025366.pdf
  19. 19. 実装モデル - プライベートクラウド クラウドのインフラストラクチャは 複数の利用者(例:事業組織)から 成る単一の組織の専用使用のために 提供される。その所有、管理、およ び運用は、その組織、第三者、もし くはそれらの組み合わせにより行わ れ、存在場所としてはその組織の施 設内または外部となる。 http://www.ipa.go.jp/files/000025366.pdf
  20. 20. 実装モデル - プライベートクラウド http://www.slideshare.net/AmazonWebServicesJapan/on-aws-20130927 AWSでできる
  21. 21. これもプライベート? オフバランス目的がメイン データセンターでのホスティング+資産的にはベンダー のもの(運用費で回収)もプライベートクラウドと呼ば れてます 他の選択肢では解決できない課題 ストレージの管理機能や帯域とか リソース占有型も多い
  22. 22. 実装モデル - コミュニティクラウド クラウドのインフラストラクチャは共 通の関心事(例えば任務、セキュリティ の必要、ポリシー、法令順守に関わる考 慮事項)を持つ、複数の組織からなる成 る特定の利用者の共同体の専用使用のた めに提供される。その所有、管理、およ び運用は、共同体内の1つまたは複数の 組織、第三者、もしくはそれらの組み合 わせにより行われ、存在場所としてはそ の組織の施設内または外部となる。 http://www.ipa.go.jp/files/000025366.pdf
  23. 23. http://www.nasdaqomx.com/newsroom/pressreleases/pressrelease/? messageId=1127643&displayLanguage=en AWSで作った
  24. 24. 実装モデル - コミュニティクラウド - 例)FinQloud Regulatory Records Retention (R3) ブローカー・ディーラー向けストレージサービス U.S. Securities and Exchange Commission (SEC) Rule 17A-4 の要件に準拠 蓄積するファイル・データは全て暗号化 インデックスや監査情報の閲覧、ファイルの閲覧、検索、 ダウンロードを行うツールを提供 利用するユーザごとに物理的に独立したストレージコンテ ナで管理 http://www.nasdaqomx.com/newsroom/pressreleases/pressrelease/? messageId=1127643&displayLanguage=en
  25. 25. 実装モデル - コミュニティクラウド - 例)FinQloud Self Service Reporting (SSR) ブローカー・デーラー向けの、ユーザが生成したクエリ による大規模取引データのデータマイニングを行ったり、 それをレポーティング出力するサービス ペタバイトオーダーのデータを格納・検索可能なインフ ラである。 http://www.nasdaqomx.com/newsroom/pressreleases/pressrelease/? messageId=1127643&displayLanguage=en
  26. 26. http://aws.amazon.com/jp/solutions/case-studies/nasdaq-finqloud/
  27. 27. 実装モデル - パブリッククラウド クラウドのインフラストラクチャは 広く一般の自由な利用に向けて提供 される。その所有、管理、および運 用は、企業組織、学術機関、または 政府機関、もしくはそれらの組み合 わせ http://www.ipa.go.jp/files/000025366.pdf
  28. 28. パブリックのみ? AWSはプライベートクラウドがデ フォルトで構成できますが、便宜上 AWSなどパブリッククラウド出身の クラウドを指してパブリッククラウ ドと呼ばれることが多い
  29. 29. http://www.slideshare.net/AmazonWebServicesJapan/on-aws-20130927
  30. 30. AWS資料より抜粋 http://s3.amazonaws.com/ppt-download/awsbasic20120629-120726021001-phpapp02.pdf
  31. 31. AWS資料より抜粋 http://s3.amazonaws.com/ppt-download/awsbasic20120629-120726021001-phpapp02.pdf
  32. 32. 実装モデル - ハイブリッドクラウド クラウドのインフラストラクチャは 二つ以上の異なるクラウドインフラス トラクチャ(プライベート、コミュニ ティまたはパブリック)の組み合わせ である。各クラウドは独立の存在であ るが、標準化された、あるいは固有の 技術で結合され、データとアプリケー ションの移動可能性を実現している(例 えばクラウド間のロードバランスのた めのクラウドバースト)。 http://www.ipa.go.jp/files/000025366.pdf
  33. 33. http://www.gartner.com/newsroom/id/2599315#
  34. 34. 2017年末までに大企業の約半数が ハイブリッドクラウドを採用する。 大企業の半数近くが2017年の終わりまでに はハイブリッドクラウドを展開するだろう。 この3年、約半数の大企業にとってプライベー トクラウドは願望から現実へと変化した。ハ イブリッドクラウドは今日、3年前のプライ ベートクラウドと同じ状況にある。現実を見 ればまだ採用数は多くないが、期待は高まっ ている。 プライベートクラウドの前段階であった仮 想化は初期投資の効率化を実現し、標準。さ らにプライベートクラウドの実装はITに対す るアジリティの要求に応えるものだった http://www.publickey1.jp/blog/13/2017.html
  35. 35. http://blog.equinix.com/2014/01/hybrid-cloud-myth-busting/
  36. 36. ハイブリッドクラウドの都市伝説を やっつけろ 1.パブリッククラウドに全て載せられる エンタープライズのアプリケーションやパフォーマンスのSLAがカバーされていないこともある 2.クラウドはセキュアでない プライベートネットワークを使えばセキュアな環境が構築できるので、事実ヘルスケアや金融分 野で利用されている実績がある 3.クラウドは信頼性が低い ピークに合わせて潤沢なリソースから調達でき、信頼性は高い 4.パブリッククラウドを使えばいつでも安い 使い方による 5.クラウドでは十分な帯域が得られない 一般的なクラウド事業者であれば十分な帯域があるし、Equinixは主要なクラウド事業者との直 接接続のオプションを用意している http://blog.equinix.com/2014/01/hybrid-cloud-myth-busting/
  37. 37. http://jp.mellanox.com/ http://www.theregister.co.uk/2013/06/17/fusionio_flash_flying_forwards/
  38. 38. ハイブリッドクラウドの都市伝説を やっつけろ 6.大容量のデータはクラウドに移動できない 正しいアーキテクチャを用いれば十分可能である。AWS Direct Connect と Equinix の光ファイバー通信を用いれば可能である。 7.クラウドを使うとデータのコントロールを失う オンサイト側にデータを保持し、高速通信を用いてクラウドから参照するなど、 様々な方法でクラウドを使いながらデータのコントロールを保持する方法がある。 8.クラウドに移行することでクビになりたくない これはよくないアプローチ。コンピューティングの経済メリットを享受しながら、 サービスを安く提供しましょう。 9.クラウドだとコンプライアンスが維持できない プライベートクラウドを用いれば、会社のポリシーや標準化規格に対応して、コン プライアンス管理やサービスレベルの維持が可能である。 http://blog.equinix.com/2014/01/hybrid-cloud-myth-busting/
  39. 39. http://www.slideshare.net/AmazonWebServicesJapan/on-aws-20130927 AWSでできる
  40. 40. AWSを使うメリット
  41. 41. http://www.slideshare.net/AmazonWebServicesJapan/on-aws-20130927
  42. 42. http://www.slideshare.net/AmazonWebServicesJapan/on-aws-20130927
  43. 43. http://www.slideshare.net/AmazonWebServicesJapan/on-aws-20130927 クラウドネイティブサービス
  44. 44. クラウドネイティブサービス さまざまなマネージドサービス 仮想サーバを使って手組みしなくてよい 運用が【標準化】しやすい・【運用品質】の担保 できる限り使ったほうがよい RDS vs RDBMS on EC2 EMR vs Hadoop on EC2 Redshift vs ParAccel on EC2 Kinesis vs Storm on EC2
  45. 45. AWSの各種サービス
  46. 46. Amazon EC2 仮想サーバー サービスの基底 さまざまなOS(UNIX、Linux、Windows) AMI(マシンイメージ)からインスタンス化 ディスク:Amazon EBS Security Groups Elastic IPs ライセンス
  47. 47. Amazon EBS 仮想ディスク 容量 • 1GB∼1TB EC2 EBS:ネットワーク IOPS • PIOPS:最大4000、設計4KB想定(ex. 32KB*4000 = 128MB/s = 1024Mbps で、下記 EBS-Optimised インスタンスが頭打ち) • 通常:100+バースト 帯域 • 特定のEC2インスタンスで EBS-Optimized:500Mbps or 1000Mbps • 通常:保証なし
  48. 48. Security Groups EC2の接続元を制限するステートフ ルフィルター(インバウンド定義の み) プロトコル 接続元IPアドレス 許可ポート Security Group Security Group
  49. 49. Elastic IPs 固定グローバルIPアドレス(IPv4) EC2に割り付けて使用するが、別イ ンスタンスに移動させることができ る
  50. 50. ライセンス Red Hat Enterprise Linux など商用 のOSの場合、ライセンス形態が2種 類ある ライセンス費用込み型 • 時間あたり単価がBYOLより高い BYOL型
  51. 51. Amazon S3 オブジェクトストレージ 1B∼5TB/オブジェクト 容量は無制限 1GB=約10円/月 パブリックネットワークのみ アクティブでないデータは Glacier へ
  52. 52. AWS が提供するロードバランシングサービス AZをまたいでトラフィックをルートできる • AZ間の振り分けは、負荷は見ずにDNSラウンドロビン • AZ内では、バックエンドのEC2のリクエスト数やコネクション数を元に負 荷分散する バックエンドのEC2をヘルスチェックして切り離すことが できる 負荷に応じて自動的にスケールアウトする • ELBのIPアドレスは変化するのでDNS名を利用する CNAMEで独自ドメインを設定可能 Elastic Load Balancing
  53. 53. 物理サーバーでクラスタリン グしている(HAあるいはN+1) H/Wレベルでの「可用性」向上 フォールトイントレランス→フォール トトレラント(Design for failure) Web/APサーバ→Multi-Serverパター ン、Multi-Datacenterパターン DBサーバ→DB Replicationパターン
  54. 54. DB Replication Multi-Server Multi-Datacenter
  55. 55. 共有ディスク 極力使わない GlusterFS NFSサーバー 参照コンテンツだけなら S3 アプライアンスもある
  56. 56. AWS が提供するリソースモニタリングツール 利用料の監視もできる CloudWatch だけではインフラの監視は不足が多い Zabbix や Nagiosと組み合わせる(ディスク使用量など) カスタムメトリクス 独自のメトリクス(独自アプリケーションで取得する値など) が設定可能 Amazon CloudWatch
  57. 57. CloudWatch でリソースを監視して負荷の状況に応じて EC2 を増減させる機能 Auto Scaling Group で EC2 を管理 ELB からはずされるとターミネートされる 設定要素 Launch Config:対象のEC2の設定 Auto Scaling Group:対象のEC2を管理するグループ Scale Out Policy:スケールアウト(増)の設定 Scale In Policy:スケールイン(減)の設定 Auto Scaling
  58. 58. Amazon RDS フルマネージド(運用不要)なデータベース サービス 種類 MySQL Oracle Database SQL Server PostgreSQL
  59. 59. Amazon RDS バックアップ設定 人為的なオペレーションミスがあっても5分前までは戻せる Multi-AZ ゾーンを跨がったHA構成(アクティブ/スタンバイ) Oracle Database の場合、アクティブ/スタンバイ両方に ライセンスが必要 ブロックイメージの「同期」レプリケーション DB Parameter Groups(各種パラメーターをラップしてい る)をチューニングする
  60. 60. RDS for MySQL エンジン InnoDB バージョン 5.1.50∼5.6.12※アップデート機能あり Provisioned IOPS 1,000∼30,000IOPS 無停止でストレージ容量の増加、PIOPSの増加が可能
  61. 61. RDS for Oracle バージョン 11gR2のみ Provisioned IOPS 1,000∼30,000IOPS 無停止でストレージ容量の増加、PIOPS の増加が可能
  62. 62. RDS for SQL Server バージョン 2008 or 2012※アップデート機能あ り Provisioned IOPS 2,000∼10,000IOPS Multi-AZオプションなし
  63. 63. Amazon DynamoDB フルマネージド(運用不要)なNoSQLデータベースサービス 2007年、Amazonが発表したDynamo論文がベース SSDベース プロビジョンスループット 読込/書込それぞれの性能を「ユニット」という単位で指定 • Read capacity units: 最大4KBのレコードデータ/回/秒 • Write capacity units: 最大1KBのレコードデータ/回/秒 ダウンタイムなしで変更可能 10,000以上指定するときはAWSに要申請
  64. 64. Amazon DynamoDB データは3カ所に分散してレプリケート 数値/文字列/バイナリおよびそれぞれ の配列セットの6種類の型をサポート プライマリーキー ハッシュキー ハッシュキー+レンジキー
  65. 65. Amazon DynamoDB 疑似トランザクションサポート JavaのAPIのみ対応
  66. 66. Amazon Redshift フルマネージド(運用不要)なデータウェ アハウスサービス エンジン PostgreSQLをベースに超並列処理 (MPP)指向なクラスタ構成に対応した ParAccel 社の技術を利用して作られた PostgreSQL v8.0.2 ベース
  67. 67. Amazon Redshift 冗長性 マルチノードの場合、クラスター内で データが冗長化され、透過的にノード 障害時のフェイルオーバーや復旧が行 われる
  68. 68. Amazon Redshift 圧縮アルゴリズム 列ごとに圧縮方法の指定が可能 ANALYZEコマンドで推奨の圧縮アルゴリズムを示し てくれる • RAW: 無圧縮 • Byte Dictionary: 辞書 • Delta: 前のデータとの差分化 • Mostly: 数値の出現頻度に応じて管理 • Run-length: 連長圧縮 • Text: Byte DictionaryのVARCHAR版
  69. 69. Amazon Redshift 接続方法 psql JDBC • SQL WorkBench/J 等 ODBC
  70. 70. Amazon Redshift データのロード方法 COPYコマンド • Amazon S3 上の CSV,TSV • Amazon DynamoDB JDBC,ODBC経由のツール
  71. 71. Amazon Redshift データの解析方法 SQLクエリ BIツール • Tableau 等
  72. 72. Amazon SNS HTTP通知やEメール通知、SMS通知や Amazon SQSへの通知ができるサービス ユースケース CloudWatchからのアラート • これをトリガにAutoScalingなど CloudFormationでスタック構築が完了 した際の通知
  73. 73. Amazon SNS Mobile Push SNSからの通知を「統合的に」モバ イル端末にプッシュ通知(iOS、 android) 1ヶ月100万件無料、以降$1/100万 件
  74. 74. Amazon VPC VPNや専用線接続を用いて完全な閉 域網を構築可能 サブネットの構成によってDMZなど の作成も柔軟に行える
  75. 75. Amazon VPC Security Groups インバウンド/アウトバウンドの指定(ステートフ ルなので注意が必要) 動的な追加/削除が行える ネットワークACL(NACL) ステートレスフィルター ENIの追加が可能 ポートフォワーディングなども可 Security Group
  76. 76. AWS IAM Identity and Access Managemant 自身のAWSリソースにアクセスする ためのグループ/ユーザー/ロール を作成でき、ユーザーごとにクレデ ンシャルを発行し、制限付きのアク セスを実現する
  77. 77. AWS Direct Connect AWS のインフラとオンプレミス環境 を専用線で接続するサービス AWS∼相互接続ポイントまでの専用線 1Gbps/10Gbps オンプレミス∼相互接続ポイントは別 途自社から引く必要あり
  78. 78. アプリケーション管理サービス AWS CloudFormation テンプレートベースで柔軟な設定 AWS Elastic Beanstalk Webアプリケーション向け 障害の起きたEC2を自動復旧 ELBのURLを入替えて環境の切替が瞬時にできる AWS OpsWorks Chefレシピベース → v.11 (New!) カスタムAMI (New!) RDS 未対応 → 使う方法あり
  79. 79. AWS CloudFormation JSON形式で記述したテンプレートを利用する ことで、システムのスタックまるごとデプロイ・ 更新・削除できるサービス テンプレートのパート Resources:作成したいリソースの定義 Parameters:画面から指定する引数 Mappings:条件に応じて入替える引数リスト Outputs:結果の出力
  80. 80. AWS Data Pipeline AWSのサービス間、あるいはオンプレミ スとの間で、定期的/スケジュールに基づ いたデータ処理/移動ができるサービス AWSサービスはEC2、S3、RDS、EMR、 DynamoDBが対応している 2013/8現在、US East リージョンしか 提供されていない
  81. 81. Confidential AWSインフラ のセキュリティ
  82. 82. AWS片山さん資料より抜粋 http://www.slideshare.net/c95029/awsshared-responsibility-model-16612378
  83. 83. 物理セキュリティ 複数レベル、複数要素による制御されているアクセス 環境 管理され必要性に応じたAWS従業員によるアクセス (必要最小限)
  84. 84. 管理者による管理者権限アクセス 管理ホストへの多要素認証で、管理され必要性 に応じたアクセス 全てのアクセスのログ収集、監視、そしてレ ビュー AWS管理者は顧客VMの中、アプリケーション とそのデータなどにはアクセスする権限を持た ない
  85. 85. VMセキュリティ Amazonアカウントへの多要素認証によるアクセス インスタンスの隔離 ハイパーバイザレベルでの顧客によるファイアウォールの制御(顧 客がルート権限でOSを操作) 隣にあるインスタンスへのアクセスは許可されていない 仮想ディスクの管理レイヤがアカウントのオーナーだけがEBSに アクセスすることを保証する APIコールの暗号化のためのエンドポイントのSSLサポー ト(通信の保護)
  86. 86. ネットワークセキュリティ セキュリティグループ設定によるインスタンス毎 のファイアウォール設定が可能 VPC(Virtual Private Cloud)により、既存エン タープライズデータセンターと論理的に隔離され た複数のAWSリソースとの間にIPSec VPNでア クセス可能
  87. 87. Confidential 事業者自身の公開 情報では裏付けが ない→第三者認証
  88. 88. AWS片山さん資料より抜粋 http://www.slideshare.net/c95029/awsshared-responsibility-model-16612378
  89. 89. SOC 報告書 米国公認会計士協会(AICPA)が分類 受託会社の「内部統制」に関する3種類の報告書 SOC 1/SSAE 16(米国)/ISAE 3402(国際) (formerly SAS 70 Type II) ※要NDA • 内部統制に関する取り組み SOC 2 ※要NDA • 情報セキュリティ、可用性、処理の整合性、プライバシーに関わる部分 SOC 3 ※Webで参照可能 • 情報セキュリティ、可用性、処理の整合性、プライバシーに関わる部分
  90. 90. ISO27001 ISMS(情報セキュリティマネジメントシステム)の国 際規格 組織自らのリスクアセスメントを行い、必要なセキュ リティレベルを決め、プランを持ち、資源配分を行い、 システムを運用する、国際的に整合性のとれた情報セ キュリティマネジメントに対する第三者適合性評価制 度 情報セキュリティのPDCAサイクルが適切に確保・維 持されていることの確認
  91. 91. FISMA, DIACAP, and FedRAMP FISMA 連邦政府および外部委託先に米法で義務づけられた情報セキュリティ強化義務 DIACAP 国防総省の情報システムの適用規則、不測事態対応計画の立案&テスト義務 FedRAMP 2012年から米国で運用が開始された、政府のクラウド調達の際に、1つの省 庁で認証を受けた事業者は、別の省庁でも追加仕様部分以外の認証を引き継げ る制度 米国の政府調達基準への準拠
  92. 92. ITAR International Traffic in Arms Regulations = 武 器国際取引に関する規則 武器輸出管理法の実施細目規定 米国の国家安全保障の防衛 防衛・軍事技術に関する情報は、アメリカ市民に よってのみ共用してもよい
  93. 93. Confidential (ITAR) Sunday, March 3, 13 AWSエバンジェリスト堀内さん資料より抜粋 http://www.slideshare.net/horiyasu/ja
  94. 94. PCIDSS Level 1 PCI DSS v2 VISA年間600万件以上(※JCBは100万件以上)の クレジット決済件数を扱ってよい認定 州によっては運営が準拠していたことを証明できる と対象ブランドからの訴訟回避が可能(違約金一 部免除なども)
  95. 95. 各サービスのSLA Amazon S3 通常(3カ所にバックアップ) • 耐障害性:99.999999999% • 可用性:99.99% 低冗長化ストレージ(2カ所) • 耐障害性:99.99% • 可用性:99.99%
  96. 96. 各サービスのSLA Amazon EC2 Multi-AZ配備の場合 99.95% Amazon RDS Multi-AZ配備の場合 99.95% 下回った場合 サービス提供されていなかった時間のサービス チケットで返却(機会損失等は補填されない)
  97. 97. ユーザー側のセキュリティ AWSが提供する機能の適切な1利用 OSより上位のレイヤー全て 事例: NASDAQ OMX FISC対応リファレンス coiney
  98. 98. 弊社事例
  99. 99. http://coiney.com/
  100. 100. PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストール して構成を維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の デフォルト値を使用しない 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、 暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新 する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス を追跡および監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する
  101. 101. FirewallIDS/IPS Firewall アカウント管理 ログ集約管理 脆弱性対策脆弱性対策脆弱性対策
  102. 102. PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストール して構成を維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の デフォルト値を使用しない 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、 暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新 する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス を追跡および監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する 要件1: カード会員データを 保護するために、ファイア ウォールをインストールし て構成を維持する
  103. 103. Firewall サーバー毎の通信許可 必要な箇所を許可 個別のセキュリティグループ
 (サブネットは通信要件毎に分けている)
  104. 104. セキュリティソフトウェア導入 Trend Micro Deep Security IPS/IDS/改ざん検知/Firewall/WAF/ログ監視 ServerProtect ウィルス対策(リアルタイムスキャン)
  105. 105. http://jp.trendmicro.com/jp/products/enterprise/tmds/pcidss/
  106. 106. PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストール して構成を維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の デフォルト値を使用しない 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、 暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新 する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス を追跡および監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する 要件5: アンチウィルスソフト ウェアまたはプログラムを使 用し、定期的に更新する
  107. 107. セキュリティ+ !   •  • 
  108. 108. PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストール して構成を維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の デフォルト値を使用しない 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、 暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新 する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス を追跡および監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する
  109. 109. アカウント管理 サーバー毎ではなく個人毎のアカウント OpenLDAP導入・権限管理 パスワード有効期限 90日 ロックアウト対応 6回以上パスワードトライされたらロック
  110. 110. PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストール して構成を維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の デフォルト値を使用しない 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、 暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新 する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス を追跡および監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する 要件10: ネットワークリソース およびカード会員データへの すべてのアクセスを追跡および 監視する
  111. 111. アクセス記録・ログ集約管理 ログ管理 EC2インスタンス内に1週間分残す fluentd経由でログサーバーへまとめ、S3へアーカイブ [参考] FluentdでWeb Storage Archiveパターン http://blog.cloudpack.jp/2013/01/aws-news-cdp-web- storage-archive-fluentd.html
  112. 112. アクセス記録・ログ集約管理 ログ管理 サーバーだけでなく、ロードバランサやDBのログも取 得する必要がある
  113. 113. アクセス記録・ログ集約管理 Management Consoleアクセス制限とログ記録 多要素認証に加えて誰が何をしたか記録が必須 プロキシ経由のみアクセス可 プロキシサーバー上でアクセスログ記録 [参考] Squid経由でAWSマネジメントコンソールにアクセスしてソースIP制限や認証やログ取得 http://blog.cloudpack.jp/2013/02/aws-news-squid-aws-console-ip-log.html
  114. 114. PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストール して構成を維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の デフォルト値を使用しない 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、 暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新 する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス を追跡および監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する 要件6: 安全性の高いシステム とアプリケーションを開発し、 保守する
  115. 115. 脆弱性対策 ミドルウェア最新化 Apacheはパッケージでは不可だったため、最新版ソースをコ ンパイル • IPA(独立行政法人 情報処理推進機構)の定めるCVSS 4.0以上(レベルIII危険+レベルII警告) はすべて対策必須のため Deep Security仮想パッチ ソフトウェアのセキュリティパッチ提供前に脆弱性を保護 パッチ適用後は自動的に外れる
  116. 116. 日経コンピュータ
  117. 117. ワンストップでサービス提供 PCI DSS準拠支援 QSA インフラ構築 PCI DSS準拠対策 エンドユーザー PCI DSSレベル1
 サービスプロバイダ PCI DSS準拠 インフラ構築サービス
  118. 118. re:Invent update !  CloudTrail API call logging service
  119. 119. → 東日本大震災を機に自社運用からAWSへ ECシステム全体の移行(EC2約50台+ RDS5台) 移行前サーバー構成調査 ミドルウェア構築 関連開発会社への情報共有 AWSシステムの構築・運用・監視
  120. 120. 初   インフラ構築 SAP環境構築 NTTデータグロー バルソリューショ ンズ AWS環境構築 cloudpack 移行時のみインス タンスタイプ変更 AWS導入事例紹介ページより引用
 http://aws.amazon.com/jp/solutions/case-studies/ kenkocom/
  121. 121. 初   インフラ構築 SAP環境構築 NTTデータグロー バルソリューショ ンズ AWS環境構築 cloudpack 移行時のみインス タンスタイプ変更 AWS導入事例紹介ページより引用
 http://aws.amazon.com/jp/solutions/case-studies/ kenkocom/   TCOが65%削減できた
  122. 122. SAP on AWS環境へのデータアップロードに最適 C M 中
  123. 123. ヱヴァンゲリオン新劇場版:Q 公式サイトより引用 http://www.evangelion.co.jp/sp/news_det.php?new
  124. 124. 日テレ Bascule cloudpack フォアキャスト
  125. 125. 日テレ Bascule cloudpack フォアキャスト BePROUD
  126. 126. サーバ構成
  127. 127. ウェブサーバーのスケールアウト リクエスト処理キューイング バッチサーバースケールアウト インメモリDBスケールアウト
  128. 128. 設計・運用のポイント 対APIアクセスバースト対策 事前プロビジョニング(オートスケールじゃ 間に合わない) キューイング・非同期戦略 負荷シミュレーション(負荷テスト) TV視聴→スマホの膨大なアクセス 本番時現場チーム形成 状況に応じたリアルタイム対応
  129. 129. 1. Auto Scaling は使わずプロビジョニング 2. FB,Twttrへの投稿をキューイングして処理を疎結合化 3. キューサイズによってバッチサーバーを Auto Scaling サーバ構成上のポイント 5.コンテンツのキャッシュ 7.DBの耐障害性+可用性 6.Webサーバーの可用性 4.インメモリDBスケールアウト
  130. 130. 2. FB,Twttrへの投稿をキューイングして処理を疎結合化 3. キューサイズによってバッチサーバーを Auto Scaling サーバ構成上のポイント
  131. 131. サーバ構成上のポイント 6.Webサーバーの可用性
  132. 132. サーバ構成上のポイント 5.コンテンツのキャッシュ
  133. 133. サーバ構成上のポイント 7.DBの耐障害性+可用性
  134. 134. インフラ設計・構築 インターネット公式サイト 月間1億PV 45億ヒット、
 新車発表時3倍のアクセス すべて冗長化 オンプレに環境再生可能な
 バックアップ 東京リージョン障害時に
 シンガポールで復旧可能
  135. 135. DR用CloudFormation CloudFormationでシンガポールリージョ ンに環境構築 テンプレートから一発で構築可能 Tokyo Region Singapore Region CloudForma*on, Template, Stack,
  136. 136. CDP CloudFront Clone Server Multi-Datacenter Cache Distribution DB Replication Bootstrap Stack Deployment HA NAT DR
  137. 137. AWS運用監視+保守 cloudpack標準+αの監視システム構築 アプリログ監視 サーバー増減にも対応 運用体制 障害検知 一次障害窓口 アプリ開発会社 AWSサポート アラート集約 切り分け
  138. 138. リリース時のバースト 公開時、想定を超えるアクセスが集中 スケールアウト、そしてスケールアップ を同時に スケールアウト スケールアップ
  139. 139. ポイント 大規模プロジェクトでのスケジュール管 理 インフラ構築フェーズの位置、前後のタスク Bプランをいつも準備されている AWSすら信頼しない前提でのリスク管理 オンプレ環境へのデータバックアップ シンガポールリージョンの準備
  140. 140. http://www.cloudpack.jp/casestudy/056.html
  141. 141. http://www.cloudpack.jp/casestudy/073.html
  142. 142. AWS運用をアウトソースしたい企業向けの
 月額費用固定型フルマネージドホスティング 24時間365日サーバー運用・保守 •電話/メールによるサポート 初期費用なし(基本移行作業含む)
 月額5万円からのスタート 日本円で請求書発行
  143. 143. フルマネージド サービス/リソース監視 ディスク使用量、メモリ使用量、プロセス数、Webサーバー・DB サーバー死活... バックアップ/リストア EBSスナップショットを利用した二世代(過去二日分)バックアッ プ アクセス制御(ファイアーウォール) 適切なセキュリティグループを設定、OS・ミドルウェアレベルで さらに細かな設定も対応可能
  144. 144. 定額課金・請求書払い 従量課金では予算計画が立てられない クレジットカードでUSドル決済では利用料の予測が難しい Amazon Web Servicesでは... 月額固定+日本円請求書発行
  145. 145. バースト保障 キャンペーンなど急激なアクセス増加へ合わせてインフラ準備するのは不可能 いつあるかわからないピークのために予め準備できない 追加料金無しでスケールアウト (7インスタンス日まで)
  146. 146. PCI DSS、ISMS、Pマーク 取得済みの運用体制
  147. 147. http://www.cloudpack.jp/ suuport@cloudpack.jp @cloudpack_jp

×