Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

いまさら聞けないAWSの基本

1,882 views

Published on

2017年7月13日グローバルナレッジネットワークセミナー<いまさら聞けないAWSの基本>

Published in: Software
  • Download or read that Ebooks here ... ......................................................................................................................... DOWNLOAD FULL PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download Doc Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Download or read that Ebooks here ... ......................................................................................................................... DOWNLOAD FULL PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download Doc Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

いまさら聞けないAWSの基本

  1. 1. いまさら聞けない AWSの基本 ~AWSを企業で使うための5か条~ 2017.7.13 グローバルナレッジネットワーク株式会社 三浦 美緒
  2. 2. 自己紹介  三浦 美緒 (みうら みお)  グローバルナレッジネットワーク株式会社 技術教育エンジニア  LinuxほかOSS各種、AWS認定トレーニングを担当  AWS Authorized Instructor  好きなAWSの機能:Amazon EC  前職:外資系UNIXベンダーSE  金融系顧客のデータセンターに常駐し、UNIX/Linux、 Windowsベースのオープン系システムの環境で 運用管理システムの提案・設計・導入・保守を担当 2© 2017 Trainocate Japan, Ltd. All rights reserved.
  3. 3. おことわり  本セミナーで取り扱う主なAWSのサービスは以下の通りです  インフラ/基盤サービス - コンピューティング Amazon EC2 - ストレージ Amazon S3、Amazon EBS - データベース Amazon RDS - ネットワーキング Amazon VPC  管理サービス - 認証 IAM  各種記載事項はセミナー実施日の情報に基づきます 3© 2017 Trainocate Japan, Ltd. All rights reserved. Amazon EC2 コンピューティング Amazon EBS Amazon S3 Amazon RDS Amazon VPC ブロックストレージ オブジェクトストレージ データベース ネットワーキング
  4. 4. AWSはよさそうだけど、企業で利用するには……  AWS導入の合理性を上司や経営層に説明できますか?  設計以前の話(IT戦略に関わる)  突っ込まれポイントを押さえておきましょう 4© 2017 Trainocate Japan, Ltd. All rights reserved.
  5. 5. AWSを企業で使うために押さえておきたいポイント  責任共有モデル  SLA  データ保護  ログ  認証 5© 2017 Trainocate Japan, Ltd. All rights reserved.
  6. 6. 其の一 責任共有モデル セキュリティ上の問題が発生したら AWSが責任を持ってくれるんだな? 6© 2017 Trainocate Japan, Ltd. All rights reserved.
  7. 7. 一、責任共有モデルの考え方を理解すること 7© 2017 Trainocate Japan, Ltd. All rights reserved.
  8. 8. 責任共有モデル 責任は誰に? 8 © 2017 Trainocate Japan, Ltd. All rights reserved. 出典:「責任共有モデル」(Amazon Web Services) https://aws.amazon.com/jp/compliance/shared-responsibility-model/
  9. 9. 其の二 SLA システムがダウンするようなことは ないんだな? 9© 2017 Trainocate Japan, Ltd. All rights reserved.
  10. 10. 一、SLAの考え方を理解すること 10© 2017 Trainocate Japan, Ltd. All rights reserved.
  11. 11. SLA (Service Level Agreement)  各サービスの可用性はSLAをチェックする  SLAは「月間使用可能時間の割合」等で示されている  SLAを明示しているサービスとしていないサービスがある  SLAを下回った場合、「クレジット」で返金  申請が必要(勝手に戻らない)  申請時に障害の状態を証明できることが必要 ※1か月を30日で試算すると… 月に約22分(0.05%)使用不能で10%返金 ※率で算出するので、使用料が大きいほど返金額も当然大きい EC2/EBS S3 RDS VPC (99.0~99.95%) 10% (99.0~99.99%) 10% (99.0~99.95%) 10% 規定なし (99.0%未満) 20% (99.0%未満) 25% (99.0%未満) 25% 【SLAにおける月間使用可能時間割合とサービスクレジット率の規定例】
  12. 12. 其の三 データ保護 クラウド上に置かれた我々のデータが なくなるようなことはないんだな? 12© 2017 Trainocate Japan, Ltd. All rights reserved.
  13. 13. 一、データは自分で守ること 13© 2017 Trainocate Japan, Ltd. All rights reserved.
  14. 14. データを何から守るのか?どうやって備えるのか? 14© 2017 Trainocate Japan, Ltd. All rights reserved. 障害、データ逸失 データ漏洩・流出 法令違反 設計(冗長化) 暗号化 監視 体制 地域ごとの法規 保証プログラム -認証/証明 -法律/規制/プライバシー -準拠/フレームワーク バックアップ/リカバリ バックアップデータの 保管場所
  15. 15. 障害/データ逸失からのデータ保護  設計で備える “Design for Failure” SPOFをなくす マルチテナント、マルチデータセンター、マルチリージョン  運用で備える “MTBFよりMTTR” 各サービスのバックアップ/リカバリ機能と手順を確認 考慮事項 - 復旧にかかる時間 - コスト(データ保護にどこまで投資するか?) • データ容量 • データ転送量 - データの保管場所 • 耐障害性に優れたS3に保管 • 別リージョンへの保管の要不要 15© 2017 Trainocate Japan, Ltd. All rights reserved.
  16. 16. 代表的なインフラストラクチャーサービスの【冗長化】【バックアップ】例 16© 2017 Trainocate Japan, Ltd. All rights reserved. EC2 EBS S3 RDS 標準の 冗長構成 なし 同一AZ内で 複製 リージョン内で 3か所に保存 同一AZ内で 複製 利用可能な 冗長構成 ELBと併用で マルチDC スナップショットの リージョン間コピー クロスリージョン レプリケーション マルチAZ バックアップ 方法 AMI (EBSスナップショット +設定) スナップショット なし スナップショット +トランザクション ログ 保管場所 S3 S3 ー S3 自動 バックアップ なし なし なし 標準 (1日1回7世代) 備考 99.999999999 %(イレブンナイン) の耐久性設計
  17. 17. 代表的なインフラストラクチャーサービスの【暗号化】対応例 17© 2017 Trainocate Japan, Ltd. All rights reserved. EC2 EBS S3 RDS 暗号化機能 キーペア (公開鍵/秘密鍵) EBS Encryption SSE-S3 インスタンスの 暗号化オプション 暗号化対象 • ログイン情報 • クライアントと EC2間のセッ ションデータ • 保存データ • EC2とEBS間 の転送データ • スナップショット • 保存データ ※S3とクライアント間の 転送データはSSL/TLS • インスタンス • バックアップ • スナップショット • ログ • レプリカ デフォルト 有効 無効 無効 無効 備考 インスタンスタイプ やリージョンに 制限あり
  18. 18. 法令と準拠法  データを配置するリージョンの法令や契約を確認する  各国や各地域のデータ保護関連法規 - 例) EU一般データ保護規則(GDPR)が2018年5月よりスタート - 2016 年、欧州委員会は新しい一般データ保護規制 (GDPR) は、EU 内の個人データのセキュリティと保護を強化し、EU のデータ保護法の調和を 目的としています。GDPR は、EU データ保護指令およびそれに関連するすべての現地の法律に置き換わるものです。  顧客のデータを国外に配置できる契約か  AWSが保証するプログラムを確認する  認証/証明 ISO9001、ISO27001やPCI DSSなど  法律 マイナンバー法やEUデータ保護指令など  準拠法と管轄裁判所を確認する  AWSでは基本は米国法/米国州裁判所または連邦裁判所  申請により日本法/東京地方裁判所に変更できる  リセラー経由で日本法/東京地方裁判所とする契約が可能に 18© 2017 Trainocate Japan, Ltd. All rights reserved.
  19. 19. 其の四 ログ 監査のためのログは 保管、閲覧できるんだな? 19© 2017 Trainocate Japan, Ltd. All rights reserved.
  20. 20. 一、ログの種類とライフサイクルを知ること 20© 2017 Trainocate Japan, Ltd. All rights reserved.
  21. 21. どのログがいつまで必要ですか?  監査要件  各種のイベントを記録する仕組みやサービスと標準保存期間を知る  ログの記録内容が必要な要件を満たすか確認  主なログの種類  AWSアカウントごとの管理イベントとデータイベント - AWS CloudTrail APIレベルのイベントをトラッキングしS3へ保存 - AWS Config AWSリソースの設定変更をトラッキングしS3へ保存  アプリケーションレベルのイベント - サービスごとにログ記録の設定が必要 - (サービス例:EC2)OSやアプリケーションのイベント • シスログやアプリケーションログをCloudWatch Logsで集約 - (サービス例:RDS)DBエンジンのイベント • RDSの一部のDBエンジンでは監査ログ機能を使用可能 • 監査ログを有効にするとパフォーマンス(スループット)は低下 21© 2017 Trainocate Japan, Ltd. All rights reserved.
  22. 22. 其の五 認証 不正アクセスの対策は どうなってる? 22© 2017 Trainocate Japan, Ltd. All rights reserved.
  23. 23. 一、ルートアカウントを保護すること 23© 2017 Trainocate Japan, Ltd. All rights reserved.
  24. 24. 認証はIAM (Identity and Access Management)  IAMの5つのセキュリティステータスチェックは必ずクリアしましょう  ルートアカウントの運用は安全第一  個々のユーザーには必要な最小限の権限を付与しましょう  各サービスに設定できるきめ細かなポリシー(権限)をユーザーやロール(役割)に 設定できます 24© 2017 Trainocate Japan, Ltd. All rights reserved.
  25. 25. Trusted Advisorを活用 25© 2017 Trainocate Japan, Ltd. All rights reserved.  アカウントの設定、運用はTrusted Advisorがチェックしてくれます  サポート契約の内容により、チェック項目を増やすことも可能  コスト、パフォーマンス、セキュリティ、フォールトトレランスの 4項目の設定が適切かどうかをダッシュボードで一覧
  26. 26. AWSを企業で使うための5か条 一、責任共有モデルの考え方を理解すること 一、SLAの考え方を理解すること 一、データは自分で守ること 一、ログの種類とライフサイクルを知ること 一、ルートアカウントを保護すること 26© 2017 Trainocate Japan, Ltd. All rights reserved.
  27. 27. 結、トレーニングのご紹介 27© 2017 Trainocate Japan, Ltd. All rights reserved.
  28. 28. 28© 2017 Trainocate Japan, Ltd. All rights reserved.
  29. 29. 29© 2017 Trainocate Japan, Ltd. All rights reserved.
  30. 30. 30© 2017 Trainocate Japan, Ltd. All rights reserved.
  31. 31. グローバルナレッジオリジナルコース 31© 2017 Trainocate Japan, Ltd. All rights reserved.  1日  講義+デモ  クラウド活用の現実的障害である「セキュリティ」を具体的かつ 実践的に扱い、地に足の着いたクラウド活用を紹介  学習目標 - クラウドコンピューティングにおけるセキュリティの位置づけを説明できる - クラウドシステムに対する代表的リスクとその対処法を3つ以上挙げることができる - クラウドの非システム的リスクとその対処法を2つ以上あげることができる - リスクのほか経営戦略・IT環境・法令遵守等の各側面を考慮しながら、クラウドサービス導入・ 運用を行うアプローチを説明できる クラウド導入のためのセキュリティ概要
  32. 32. グローバルナレッジオリジナルコース 32© 2017 Trainocate Japan, Ltd. All rights reserved.  2日  講義+演習  クラウドデザインパターンを例に、クラウドの利点を活かしたクラウド ファースト/クラウドネイティブなシステム構築の一般的なポイント (アーキテクチャ、開発手法など)を概説  演習内容 - Lab 1. サーバ仮想化の体験 - Lab 2. Dockerの体験 - Lab 3. OpenFlowの体験 - Lab 4. OpenStackでの仮想ネットワーク作成 - Lab 5. Key-Value Store(KVS)の利用 - Lab 6. クラウドデザインパターンの適用 クラウドアーキテクト・ファーストステップ ~体系的に学ぶクラウド活用の全体像~

×