Web制作/SIerのためのAWS

1,687 views
1,519 views

Published on

2014.2.22 JAWS-UG愛媛松山でのプレゼン資料

Published in: Technology
0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,687
On SlideShare
0
From Embeds
0
Number of Embeds
710
Actions
Shares
0
Downloads
0
Comments
0
Likes
4
Embeds 0
No embeds

No notes for slide

Web制作/SIerのためのAWS

  1. 1. 小さなSIer/Web制作 会社のためのAWS! 2014.2.22 吉田 真吾
  2. 2. 自己紹介 吉田 真吾(よしだ しんご) エバンジェリスト、ソリューションアーキテクト AWSサムライ2014(Japan AWS UserGroup) AWS Certified Solutions Architect ‒ Associate AWS Certified SysOps Administrator - Associate バックグラウンド 通信キャリア:基地局制御、GISサービス 開発 SIer:証券システム基盤 開発 • DBA、スペシャリストとしてDBチューニングや新規システム構築を推進
  3. 3. きっかけ
  4. 4. 2013年4月∼
  5. 5. 好きなサービス
  6. 6. これ 全部 AWS
  7. 7. 小さな SIer/Web制作会社
  8. 8. 2003年創業
  9. 9. 2003年創業 Intel Inside
  10. 10. 2010年4月 cloudpack事業
  11. 11. Our Customers
  12. 12. 0 to 350<
  13. 13. !   •        2013年6月
  14. 14. たった3年で 会社は変わる
  15. 15. 50>
  16. 16. ♥️
  17. 17. 1つめのなぜ? ♥️
  18. 18. http://www.slideshare.net/AmazonWebServicesJapan/on-aws-20130927
  19. 19. スピード勝負! http://it.impressbm.co.jp/e/2014/02/20/5563/page/0/1
  20. 20. cloudpack の価値 AWS専門部隊 コンサルティング、アセスメント、導入設計 ホスピタリティ 24時間365日有人監視、保守対応 実績 350社を超えるアカウントを運用する運用品質 セキュリティ PCI DSS Level 1 Service Provider 認定 スピード IGW ELB ELB ELB NAT NAT VPC Subnet 最短30分でのデリバリー実績 EC2 NAT ELB NAT VPC Subnet DB VPC Subnet VPC Subnet Availability Zone A EC2 EC2 EC2 EC2 EC2 VPC Subnet ELB VPC Subnet VPC Subnet EC2 EC2 ELB EC2 EC2 VPC Subnet Availability Zone B Virtual Private Cloud(10.0.0.0/20)
  21. 21. プッシュ配信すると
  22. 22. 直後に大量流入 30分くらいで元通り 0 5 10 15 20 25 30 35 (分)
  23. 23. 基本構成 Elastic Load Balancing Webサーバー 1 Web,NFS,memcached DB 1 (Multi-AZ)
  24. 24. スケールアウト
  25. 25. やること 事前スケールアウト  - Webサーバー追加、ELB配下に  - NFSマウント、ELBから切離し ELBのPre-Warming申請 ※ビジネスレベル以上のAWSサポー トが必要
  26. 26. 2つめのなぜ? ♥️ セキュリティ
  27. 27. http://www.atmarkit.co.jp/ait/articles/1301/24/news087.html Sunday, March 3, 13
  28. 28. AWSはPCI DSSレベル1準拠 レベル1サービスプロバイダとして認定 EC2/S3/EBS/VPC/RDS/ELB/IAM がPCI検証済み
  29. 29. http://coiney.com/
  30. 30. PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストール して構成を維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の デフォルト値を使用しない 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、 暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新 する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス を追跡および監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する
  31. 31. IDS/IPS アカウント管理 Firewall ログ集約管理 脆弱性対策 脆弱性対策
  32. 32. PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストール して構成を維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の デフォルト値を使用しない 要件1: カード会員データを 保護するために、ファイア ウォールをインストールし て構成を維持する 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、 暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新 する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス を追跡および監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する
  33. 33. Firewall サーバー毎の通信許可 必要な箇所を許可 個別のセキュリティグループ
 (サブネットは通信要件毎に分けている)
  34. 34. セキュリティソフトウェア導入 Trend Micro Deep Security IPS/IDS/改ざん検知/Firewall/WAF/ログ監視 ServerProtect ウィルス対策(リアルタイムスキャン)
  35. 35. http://jp.trendmicro.com/jp/products/enterprise/tmds/pcidss/
  36. 36. PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストール して構成を維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の デフォルト値を使用しない 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、 暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新 する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件5: アンチウィルスソフト ウェアまたはプログラムを使 用し、定期的に更新する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス を追跡および監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する
  37. 37. !   •  •  セキュリティ+
  38. 38. PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストール して構成を維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の デフォルト値を使用しない 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、 暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新 する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス を追跡および監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する
  39. 39. アカウント管理 サーバー毎ではなく個人毎のアカウント OpenLDAP導入・権限管理 パスワード有効期限 90日 ロックアウト対応 6回以上パスワードトライされたらロック
  40. 40. PCI DSS要件 要件1: カード会員データを保護するために、ファイアウォールをインストール して構成を維持する 要件10: ネットワークリソース およびカード会員データへの すべてのアクセスを追跡および 監視する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の デフォルト値を使用しない 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、 暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新 する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス を追跡および監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する
  41. 41. アクセス記録・ログ集約管理 ログ管理 EC2インスタンス内に1週間分残す fluentd経由でログサーバーへまとめ、S3へアーカイブ [参考] FluentdでWeb Storage Archiveパターン http://blog.cloudpack.jp/2013/01/aws-news-cdp-webstorage-archive-fluentd.html
  42. 42. アクセス記録・ログ集約管理 ログ管理 サーバーだけでなく、ロードバランサやDBのログも取 得する必要がある
  43. 43. アクセス記録・ログ集約管理 Management Consoleアクセス制限とログ記録 多要素認証に加えて誰が何をしたか記録が必須 プロキシ経由のみアクセス可 プロキシサーバー上でアクセスログ記録 [参考] Squid経由でAWSマネジメントコンソールにアクセスしてソースIP制限や認証やログ取得 http://blog.cloudpack.jp/2013/02/aws-news-squid-aws-console-ip-log.html
  44. 44. PCI DSS要件 要件6: 安全性の高いシステム とアプリケーションを開発し、 要件1: カード会員データを保護するために、ファイアウォールをインストール して構成を維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の デフォルト値を使用しない 要件3: 保存されるカード会員データを保護する 保守する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、 暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新 する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス を追跡および監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する
  45. 45. 脆弱性対策 ミドルウェア最新化 Apacheはパッケージでは不可だったため、最新版ソースをコ ンパイル • IPA(独立行政法人 情報処理推進機構)の定めるCVSS 4.0以上(レベルIII危険+レベルII警告) はすべて対策必須のため Deep Security仮想パッチ ソフトウェアのセキュリティパッチ提供前に脆弱性を保護 パッチ適用後は自動的に外れる
  46. 46. 日経コンピュータ
  47. 47. ワンストップでサービス提供 エンドユーザー PCI DSS準拠 インフラ構築サービス インフラ構築 PCI DSSレベル1
 PCI DSS準拠対策 サービスプロバイダ PCI DSS準拠支援 QSA
  48. 48. re:Invent update !  CloudTrail API call logging service
  49. 49. AWS運用をアウトソースしたい企業向けの
 月額費用固定型フルマネージドホスティング 24/365監視運用保守 定額課金・請求書払い PCI DSS、ISMS、Pマーク 取得済みの運用体制
  50. 50. SIerは 未来を作る パートナー
  51. 51. クラウドを 手に 一歩前へ!!
  52. 52. 一歩前へ http://www.youtube.com/watch?v=kI964gVNb5Y
  53. 53. E-JAWS エンタープライズユーザー限定のEJAWS支部による、エンタープライズ 分野におけるクラウドの活用方法や クラウド導入に対する障壁を乗り越 えるためのTipsが盛りだくさん
  54. 54. Immutable Infrastructure トラック 今後のインフラ活用の流れをとらえ る「デプロイメントレイヤーの考え 方」 Immutable Infrastructure に一家 言ある人たちによる言いたい放題ト ラック
  55. 55. AWS Technical Deep Dive ADSJのSA陣により丸一日AWS サービスの奥の奥まで語り尽くす豪 華トラック
  56. 56. ACEに聞け! JAWS-UGメンバー各々による AWS の個別サービスの使い方、日々 利用するうえでのTipsなど「現場」 の知恵を知り尽くすトラック 各支部のACEは各地から Road Trip でやってくる!
  57. 57. iJAWS 英語限定!Try to speak English! Language Cloud、MoneyTreeな ど日本でもおなじみのサービスの事 例紹介 http://ijaws.doorkeeper.jp/events/8265
  58. 58. これで最強のAWSに AWSを使って最強のインフラ環境 を作る方法を披露する
  59. 59. AWSサムライハンズオン AWSサムライ2014あるいは元サム ライによるAWSサービスを実際に手 を動かして学ぶハンズオントラック WordPress環境を作ったり、冗長 構成のWebシステムを作ったり、だ るまさんがころんだ(?!)
  60. 60. その他 CDPエンタープライズ スタートアップCTOパネルディス カッション AWSを使ってグロースハック
  61. 61. JAWS DAYS 2014 3/15(土)は 新宿ベルサールへ! http://jawsdays2014.jaws-ug.jp/
  62. 62. 企業サポーター募集 JAWS DAYS 2-14 懇親会を盛り上げてくだ さる企業サポーターを募集します 1口5万円 30口程度募集(30口以上となってもお断りはしません) 1社何口でも応募可能です、複数サービスをご紹介したい場合などにご 活用ください 公式Webに口数ごとに「サポーターロゴ」 「サポーター紹介文」が掲載されます http://jawsdays2014.jaws-ug.jp/
  63. 63. http://www.cloudpack.jp/ suuport@cloudpack.jp @cloudpack_jp

×