Your SlideShare is downloading. ×
  • Like
  • Save
Web制作/SIerのためのAWS
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Now you can save presentations on your phone or tablet

Available for both IPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Web制作/SIerのためのAWS

  • 1,023 views
Published

2014.2.22 JAWS-UG愛媛松山でのプレゼン資料

2014.2.22 JAWS-UG愛媛松山でのプレゼン資料

Published in Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
1,023
On SlideShare
0
From Embeds
0
Number of Embeds
11

Actions

Shares
Downloads
0
Comments
0
Likes
4

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. 小さなSIer/Web制作 会社のためのAWS! 2014.2.22 吉田 真吾
  • 2. 自己紹介 吉田 真吾(よしだ しんご) エバンジェリスト、ソリューションアーキテクト AWSサムライ2014(Japan AWS UserGroup) AWS Certified Solutions Architect ‒ Associate AWS Certified SysOps Administrator - Associate バックグラウンド 通信キャリア:基地局制御、GISサービス 開発 SIer:証券システム基盤 開発 • DBA、スペシャリストとしてDBチューニングや新規システム構築を推進
  • 3. きっかけ
  • 4. 2013年4月∼
  • 5. 好きなサービス
  • 6. これ 全部 AWS
  • 7. 小さな SIer/Web制作会社
  • 8. 2003年創業
  • 9. 2003年創業 Intel Inside
  • 10. 2010年4月 cloudpack事業
  • 11. Our Customers
  • 12. 0 to 350<
  • 13. !   •        2013年6月
  • 14. たった3年で 会社は変わる
  • 15. 50>
  • 16. ♥️
  • 17. 1つめのなぜ? ♥️
  • 18. http://www.slideshare.net/AmazonWebServicesJapan/on-aws-20130927
  • 19. スピード勝負! http://it.impressbm.co.jp/e/2014/02/20/5563/page/0/1
  • 20. cloudpack の価値 AWS専門部隊 コンサルティング、アセスメント、導入設計 ホスピタリティ 24時間365日有人監視、保守対応 実績 350社を超えるアカウントを運用する運用品質 セキュリティ PCI DSS Level 1 Service Provider 認定 スピード IGW ELB ELB ELB NAT NAT VPC Subnet 最短30分でのデリバリー実績 EC2 NAT ELB NAT VPC Subnet DB VPC Subnet VPC Subnet Availability Zone A EC2 EC2 EC2 EC2 EC2 VPC Subnet ELB VPC Subnet VPC Subnet EC2 EC2 ELB EC2 EC2 VPC Subnet Availability Zone B Virtual Private Cloud(10.0.0.0/20)
  • 21. プッシュ配信すると
  • 22. 直後に大量流入 30分くらいで元通り 0 5 10 15 20 25 30 35 (分)
  • 23. 基本構成 Elastic Load Balancing Webサーバー 1 Web,NFS,memcached DB 1 (Multi-AZ)
  • 24. スケールアウト
  • 25. やること 事前スケールアウト  - Webサーバー追加、ELB配下に  - NFSマウント、ELBから切離し ELBのPre-Warming申請 ※ビジネスレベル以上のAWSサポー トが必要
  • 26. 2つめのなぜ? ♥️ セキュリティ
  • 27. http://www.atmarkit.co.jp/ait/articles/1301/24/news087.html Sunday, March 3, 13
  • 28. AWSはPCI DSSレベル1準拠 レベル1サービスプロバイダとして認定 EC2/S3/EBS/VPC/RDS/ELB/IAM がPCI検証済み
  • 29. http://coiney.com/
  • 30. PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストール して構成を維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の デフォルト値を使用しない 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、 暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新 する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス を追跡および監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する
  • 31. IDS/IPS アカウント管理 Firewall ログ集約管理 脆弱性対策 脆弱性対策
  • 32. PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストール して構成を維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の デフォルト値を使用しない 要件1: カード会員データを 保護するために、ファイア ウォールをインストールし て構成を維持する 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、 暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新 する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス を追跡および監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する
  • 33. Firewall サーバー毎の通信許可 必要な箇所を許可 個別のセキュリティグループ
 (サブネットは通信要件毎に分けている)
  • 34. セキュリティソフトウェア導入 Trend Micro Deep Security IPS/IDS/改ざん検知/Firewall/WAF/ログ監視 ServerProtect ウィルス対策(リアルタイムスキャン)
  • 35. http://jp.trendmicro.com/jp/products/enterprise/tmds/pcidss/
  • 36. PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストール して構成を維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の デフォルト値を使用しない 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、 暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新 する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件5: アンチウィルスソフト ウェアまたはプログラムを使 用し、定期的に更新する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス を追跡および監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する
  • 37. !   •  •  セキュリティ+
  • 38. PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストール して構成を維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の デフォルト値を使用しない 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、 暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新 する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス を追跡および監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する
  • 39. アカウント管理 サーバー毎ではなく個人毎のアカウント OpenLDAP導入・権限管理 パスワード有効期限 90日 ロックアウト対応 6回以上パスワードトライされたらロック
  • 40. PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストール して構成を維持する 要件10: ネットワークリソース およびカード会員データへの すべてのアクセスを追跡および 監視する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の デフォルト値を使用しない 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、 暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新 する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス を追跡および監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する
  • 41. アクセス記録・ログ集約管理 ログ管理 EC2インスタンス内に1週間分残す fluentd経由でログサーバーへまとめ、S3へアーカイブ [参考] FluentdでWeb Storage Archiveパターン http://blog.cloudpack.jp/2013/01/aws-news-cdp-webstorage-archive-fluentd.html
  • 42. アクセス記録・ログ集約管理 ログ管理 サーバーだけでなく、ロードバランサやDBのログも取 得する必要がある
  • 43. アクセス記録・ログ集約管理 Management Consoleアクセス制限とログ記録 多要素認証に加えて誰が何をしたか記録が必須 プロキシ経由のみアクセス可 プロキシサーバー上でアクセスログ記録 [参考] Squid経由でAWSマネジメントコンソールにアクセスしてソースIP制限や認証やログ取得 http://blog.cloudpack.jp/2013/02/aws-news-squid-aws-console-ip-log.html
  • 44. PCI DSS要件 要件6: 安全性の高いシステム とアプリケーションを開発し、 要件1: カード会員データを保護するために、ファイアウォールをインストール して構成を維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の デフォルト値を使用しない 要件3: 保存されるカード会員データを保護する 保守する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、 暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新 する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス を追跡および監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する
  • 45. 脆弱性対策 ミドルウェア最新化 Apacheはパッケージでは不可だったため、最新版ソースをコ ンパイル • IPA(独立行政法人 情報処理推進機構)の定めるCVSS 4.0以上(レベルIII危険+レベルII警告) はすべて対策必須のため Deep Security仮想パッチ ソフトウェアのセキュリティパッチ提供前に脆弱性を保護 パッチ適用後は自動的に外れる
  • 46. 日経コンピュータ
  • 47. ワンストップでサービス提供 エンドユーザー PCI DSS準拠 インフラ構築サービス インフラ構築 PCI DSSレベル1
 PCI DSS準拠対策 サービスプロバイダ PCI DSS準拠支援 QSA
  • 48. re:Invent update !  CloudTrail API call logging service
  • 49. AWS運用をアウトソースしたい企業向けの
 月額費用固定型フルマネージドホスティング 24/365監視運用保守 定額課金・請求書払い PCI DSS、ISMS、Pマーク 取得済みの運用体制
  • 50. SIerは 未来を作る パートナー
  • 51. クラウドを 手に 一歩前へ!!
  • 52. 一歩前へ http://www.youtube.com/watch?v=kI964gVNb5Y
  • 53. E-JAWS エンタープライズユーザー限定のEJAWS支部による、エンタープライズ 分野におけるクラウドの活用方法や クラウド導入に対する障壁を乗り越 えるためのTipsが盛りだくさん
  • 54. Immutable Infrastructure トラック 今後のインフラ活用の流れをとらえ る「デプロイメントレイヤーの考え 方」 Immutable Infrastructure に一家 言ある人たちによる言いたい放題ト ラック
  • 55. AWS Technical Deep Dive ADSJのSA陣により丸一日AWS サービスの奥の奥まで語り尽くす豪 華トラック
  • 56. ACEに聞け! JAWS-UGメンバー各々による AWS の個別サービスの使い方、日々 利用するうえでのTipsなど「現場」 の知恵を知り尽くすトラック 各支部のACEは各地から Road Trip でやってくる!
  • 57. iJAWS 英語限定!Try to speak English! Language Cloud、MoneyTreeな ど日本でもおなじみのサービスの事 例紹介 http://ijaws.doorkeeper.jp/events/8265
  • 58. これで最強のAWSに AWSを使って最強のインフラ環境 を作る方法を披露する
  • 59. AWSサムライハンズオン AWSサムライ2014あるいは元サム ライによるAWSサービスを実際に手 を動かして学ぶハンズオントラック WordPress環境を作ったり、冗長 構成のWebシステムを作ったり、だ るまさんがころんだ(?!)
  • 60. その他 CDPエンタープライズ スタートアップCTOパネルディス カッション AWSを使ってグロースハック
  • 61. JAWS DAYS 2014 3/15(土)は 新宿ベルサールへ! http://jawsdays2014.jaws-ug.jp/
  • 62. 企業サポーター募集 JAWS DAYS 2-14 懇親会を盛り上げてくだ さる企業サポーターを募集します 1口5万円 30口程度募集(30口以上となってもお断りはしません) 1社何口でも応募可能です、複数サービスをご紹介したい場合などにご 活用ください 公式Webに口数ごとに「サポーターロゴ」 「サポーター紹介文」が掲載されます http://jawsdays2014.jaws-ug.jp/
  • 63. http://www.cloudpack.jp/ suuport@cloudpack.jp @cloudpack_jp