More Related Content
Similar to re:Port 2017 #2 「AWS re:Invent 2017 参加レポート」 (20)
More from Mamoru Ohashi (20)
re:Port 2017 #2 「AWS re:Invent 2017 参加レポート」
- 1. Copyright © 2017 KDDI Corporation. All Rights Rese
参加レポート
re:Port 2017
2017.12.05
#2 15:00〜15:20
- 2. 1自己紹介
大橋 衛(オオハシ マモル)
KDDI株式会社 プラットフォーム開発本部
社内API基盤戦略策定
AWS社内エヴァ/クラウドコンサル
アプリエンジニア12年
インフラエンジニア4年
クラウドエンジニア5年目(=AWS歴)
好きなAWSサービス:IAM/SNS/Lambda
- 3. アジェンダ
2
Copyright © 2017 KDDI Corporation. All Rights Reserved
弊社のreInvent参加テーマ
マルチアカウント戦略/ガバナンス戦略
大橋的「トリハダ」サービス3つ
おまけコーナー
- 4. AWS re:Invent 2017 参加テーマ
3
Copyright © 2017 KDDI Corporation. All Rights Reserved
Container / Serverless
Security / Compliance
+
- 5. AWS re:Invent 2017 参加テーマ
4
Copyright © 2017 KDDI Corporation. All Rights Reserved
Container / Serverless
Security / Compliance
+
- 6. 参加セッション一覧 5
Copyright © 2017 KDDI Corporation. All Rights Reserved
EBC (個別セッション)
AWS Cloud Adoption Framework Security Perspective(*postponded)
Container Services (ECS, ECR and other container orchestration services on EC2)
Break out sessions
ARC406 - Amazon.com - Replacing 100s of Oracle DBs with Just One:
DynamoDB
ARC316 - Getting from Here to There: A Journey from On-premises to
Serverless Architecture
CON214 - NEW LAUNCH! Introducing AWS Fargate
CON215 - NEW LAUNCH! Introducing Amazon EKS
CON307 - Building Effective Container Images (Overflow)
CON320 - Monitoring, Logging, and Debugging for Containerized Services
CON402 - Advanced Patterns in Microservices Implementation with Amazon
ECS
CMP330 - NEW LAUNCH! Amazon EC2 Bare Metal Instances
CTD310 - Living on the Edge, It’s Safer Than You Think! Building Strong
with Amazon CloudFront, AWS Shield and AWS WAF.
DAT308 - A story of Netflix and AB Testing in the User Interface using
DynamoDB
DAT318 - NEW LAUNCH! Deep dive on Amazon Neptune
DEV339 Using AWS Management Tools to Enable Governance, Compliance,
Operational, and Risk Auditing
DEV314 - Monitoring as Code: Getting to Monitoring-Driven Development
GPSTEC314 From Monolithic to Serverless
GPSTEC321 VMWare Cloud on AWS Technical deep dive and native AWS
Services Integration
GPSTEC325 Enterprise Storage
IOT207 - Panasonic - Building the Road of the Future on AWS
IOT324-R - [REPEAT] Best Practices for Connected Home Automation
Platforms on AWS
SID301 - Using AWS Lambda as a Security Team
SID305 HOW CROWDSTRIKE Built a Realtime Securty monitoring service
on AWS
SID308-R - [REPEAT] Multi-Account Strategies
SID322 - The AWS Philosophy of Security
SRV335-OFM [OVERFLOW]Best Practice for Orchestrating AWS Lambda
Workloads
アーキテクチャ:3 コンテナ:5 コンピュート:2 CDN:1 データストア:3
DevOps:2 IoT:2 セキュリティ&アイデンティティ:4 サーバレス:1
- 7. 6
Copyright © 2017 KDDI Corporation. All Rights Reserved
❏ マルチアカウント戦略
❏ ガバナンス戦略
マルチアカウント戦略
ガバナンス戦略
- 8. 7
Copyright © 2017 KDDI Corporation. All Rights Reserved
❏ マルチアカウント戦略
❏ ガバナンス戦略
マルチアカウント戦略
ガバナンス戦略
- 9. マルチアカウント戦略のグローバルベストプラクティス
8
Copyright © 2017 KDDI Corporation. All Rights Reserved
❏ Organizations利用はデフォ
❏ 管理用グループを作り、
機能別にアカウントを作成
❏ ユーザー用グループを作り、
環境別にアカウントを配布
❏ 共有サービスもありオンプレ
とも連携
❏ 単純なお試しアカウントも
存在
❏ 全てのログは管理用グループ
に集約
SID308 - Multi-Account Strategies
- 10. KDDIにおけるマルチアカウント戦略 9
Copyright © 2017 KDDI Corporation. All Rights Reserved
❏ Organizationは
諸事情により未使用
❏ 管理者アカウントx2、
1システム×環境別
アカウント
❏ 踏み台&運用サーバは
分離して環境毎に存在
❏ ミニマムガバナンス以
外はすべてフリーの検
証用アカウントも用意
❏ 全ユーザアカウントの
上位にPayerが存在
管理者アカウント群 ユーザアカウント群
バーチャルセキュリティルーム(Stg)
バーチャルセキュリティルーム(Prd)
ユーザアカウント(Stg)
ユーザアカウント(Prd)
運用者
- 11. グローバルとのギャップ
10
Copyright © 2017 KDDI Corporation. All Rights Reserved
❏グローバルのデファクトから比較しても大筋間
違ってはいない模様
❏共有機能アカウントをユーザー側に作るのは
迷っていたがグローバルデファクトなら
ぜひ適用したい(オンプレとの接続含む)
❏Organizationsの利用は再考が必要
- 12. 11
Copyright © 2017 KDDI Corporation. All Rights Reserved
❏ マルチアカウント戦略
❏ ガバナンス戦略
マルチアカウント戦略
ガバナンス戦略
- 13. ガバナンス戦略のグローバルベストプラクティス
12
Copyright © 2017 KDDI Corporation. All Rights Reserved
❏ CloudTrailはもちろん
デフォルトでON
❏ 回復/強制機能はサーバレス
で組むのがトレンド
❏ CludWatchLogs/CloudTra
ilをフィルタしLambda起動
❏ 各種リソースイベントから
Lambda invokeさせて流す
タイプもある
❏ Lambdaに行ければどんな
制御も可能に!
SID301- Using AWS Lambda as a Security Team
- 14. KDDIにおけるガバナンス戦略 13
Copyright © 2017 KDDI Corporation. All Rights Reserved
❏ CloudWatch Events
とCloudWatch Logs
のメトリックフィルタ
を使用
❏ SNS経由でLambdaを
トリガ・定期実行も
CloudWatch Events
でLambda実行
❏ 実行情報をSlackや
メールで運用者並びに
関係者に通知
- 15. グローバルとのギャップ
14
Copyright © 2017 KDDI Corporation. All Rights Reserved
❏CloudWatch EventsやCloudWatch Logsドリブンの
方式はグローバルとほぼ変わらない
❏S3 Pushイベントなどに代表されるリソース変更契機の
チェックはぜひ実装したい
❏アプリのログをKinesisに流してストリーミングで
リアルタイム検知するなど AWSリソースレイヤ以外の
高度なガバナンスにも挑戦していきたい
❏Amazon GuardDuty/AWS Systems Managerとの
連携も考慮
- 17. まとめ
16
Copyright © 2017 KDDI Corporation. All Rights Reserved
❏弊社のマルチアカウント戦略・ガバナンス戦略の
アプローチは間違ってなさそう
❏ネットワークセキュリティを含め、このレイヤは
AWSの進化の注目点になってるぽい
❏現行の統制機能はよりマネージド/サーバレスへ
移行させていく予定
- 21. No.1 『AWS Cloud9』
❏ 絶対に出る!と出国前から予言してた(本人驚愕)
❏ AWSインフラプログラマ待望のIDE
❏ Lambdaデバッグが超カンタンに!
❏ コードフォーマッタ・補完機能も充実
❏ ローカルテスト/商用デプロイも一発
❏ EC2へのターミナルアクセスもIDEからOK!
❏ AWSリソース制御がどこまで連携可能か調査した
い Copyright © 2017 KDDI Corporation. All Rights Reserved
20
- 24. 23
Copyright © 2017 KDDI Corporation. All Rights Reserved
No.2 『Amazon GuardDuty』
❏ ざっくり言うとクラウドネイティブIDS/IPS
❏ シグネチャ検知のみならずアノマリ検知にも対応
❏ シグネチャはインポートもできる(他社/自作)
❏ Lambda等へのインテグレーションがアツい
❏ 対応ソースが拡張されて、 アプリログを取り込んで
アノマリ検知できるようになったら超面白い!
- 27. 26
Copyright © 2017 KDDI Corporation. All Rights Reserved
No.3 『Amazon EC2 BareMatal』
❏ C5インスタンスのNitro Hypervisorをも取っ払い、
OSから直接EC2のハードを触れるようになった感じ
❏ 当然ハードウェア専有インスタンスになる
❏ 他のAWSリソースとの親和性が高いはずなので、
EC2と同レベルでのLift&Shiftが期待出来る
❏ 弊社のPrivateクラウドとの使い分け、棲み分けの
検討を迫られることになった
- 29. ①NW-JAWS in LasVegas やりました!
28
Copyright © 2017 KDDI Corporation. All Rights Reserved
聴講者+スタッフあわせてなんと70名超の参加!
意識高い人が多いから実はこっちのが集まりやすいのかも!?
- 32. Copyright © 2017 KDDI Corporation. All Rights Reserved
Thank you
for
Listening!
Editor's Notes
- みなさん、こんにちは。KDDI株式会社の大橋と申します。
本日はお忙しい中こんなにたくさんの人にお集まりいただきありがとうございます。
さきほど弊社藤井からも・・・とありましたが、
私のほうは主にPublicクラウド、それもAWS(Amazon Web Services)を弊社でどのように使っているのかという
部分を、主にセキュリティの観点からお話したいと思います。
お時間30分ほどとなりますがどうぞ宜しくお願い致します。
- 自己紹介が遅れました。
カタログではアジャイル開発センター所属となっておりますが、今年の10月に異動になりまして、
現在は同じ本部内ですがプラットフォーム技術部フレームワークGの所属となっております。
アジャイル開発センター所属時のロールとしましては、主に弊社の社内のAWSアカウント管理統制と
クラウドネイティブなアーキテクチャのコンサルテーションを行うチームの取り纏めをやっておりました。
- 本日はですね、前半でエンタープライズにおけるクラウドセキュリティの考え方について
弊社なりのアプローチと考え方をお話させていただきまして、後半では弊社のAWS利用状況と
採用事例をAWSアーキテクチャ図とともにご紹介したいと思います。
あと1点、本資料は登壇後すぐにSlideShareにて公開させていただきますので、撮影して持ち帰る必要はアリません。
どうしても撮影したい人は問題ありませんが、周りの方のご迷惑になりますんで、無音カメラとかのシャッター音が
消えるアプリを入れて下さい。あと、撮影したらSNSでシェアをお願いしますね!
- セキュリティといってもいろんな分野があります、ネットワークセキュリティ、情報セキュリティがあり、いずれも
これらの失策により起こるのはいわゆる「セキュリティインシデント」つまりセキュリティ事故です。
- セキュリティといってもいろんな分野があります、ネットワークセキュリティ、情報セキュリティがあり、いずれも
これらの失策により起こるのはいわゆる「セキュリティインシデント」つまりセキュリティ事故です。
- ・Organizationを使ってアカウントを管理
・管理用グループを作り、そこに機能ごとに分けてアカウント作成
1つのアカウントに機能を詰め込まないところがポイント
・ユーザーアカウントではユーザー毎やサービスごとにグループを作り、
そこに開発・ステージング・商用・サンドボックス・共通機能を配布
・オンプレミスとのサービス連携もあり、それは共通機能として両方のグループに
ある共通機能アカウントに連携
・単純な調査・Poc用の単独アカウントも存在
- 昨今、情報漏洩の事故というのはとにかく多発しているのが伺えます。
オンプレミスやクラウドによらず、情報を電子化してしまったがためにポータビリティがあがり
あらゆる方法でそれらにアクセスが可能になったからといえます。利便性と安全性は表裏一体とはこのことですが
。
では、これら情報漏洩の主たる原因は何だと思われますか?
- ・Organizationを使ってアカウントを管理
・管理用グループを作り、そこに機能ごとに分けてアカウント作成
1つのアカウントに機能を詰め込まないところがポイント
・ユーザーアカウントではユーザー毎やサービスごとにグループを作り、
そこに開発・ステージング・商用・サンドボックス・共通機能を配布
・オンプレミスとのサービス連携もあり、それは共通機能として両方のグループに
ある共通機能アカウントに連携
・単純な調査・Poc用の単独アカウントも存在
- 昨今、情報漏洩の事故というのはとにかく多発しているのが伺えます。
オンプレミスやクラウドによらず、情報を電子化してしまったがためにポータビリティがあがり
あらゆる方法でそれらにアクセスが可能になったからといえます。利便性と安全性は表裏一体とはこのことですが
。
では、これら情報漏洩の主たる原因は何だと思われますか?
- ・Organizationを使ってアカウントを管理
・管理用グループを作り、そこに機能ごとに分けてアカウント作成
1つのアカウントに機能を詰め込まないところがポイント
・ユーザーアカウントではユーザー毎やサービスごとにグループを作り、
そこに開発・ステージング・商用・サンドボックス・共通機能を配布
・オンプレミスとのサービス連携もあり、それは共通機能として両方のグループに
ある共通機能アカウントに連携
・単純な調査・Poc用の単独アカウントも存在
- ・Organizationを使ってアカウントを管理
・管理用グループを作り、そこに機能ごとに分けてアカウント作成
1つのアカウントに機能を詰め込まないところがポイント
・ユーザーアカウントではユーザー毎やサービスごとにグループを作り、
そこに開発・ステージング・商用・サンドボックス・共通機能を配布
・オンプレミスとのサービス連携もあり、それは共通機能として両方のグループに
ある共通機能アカウントに連携
・単純な調査・Poc用の単独アカウントも存在
- ・Organizationを使ってアカウントを管理
・管理用グループを作り、そこに機能ごとに分けてアカウント作成
1つのアカウントに機能を詰め込まないところがポイント
・ユーザーアカウントではユーザー毎やサービスごとにグループを作り、
そこに開発・ステージング・商用・サンドボックス・共通機能を配布
・オンプレミスとのサービス連携もあり、それは共通機能として両方のグループに
ある共通機能アカウントに連携
・単純な調査・Poc用の単独アカウントも存在
- ・Organizationを使ってアカウントを管理
・管理用グループを作り、そこに機能ごとに分けてアカウント作成
1つのアカウントに機能を詰め込まないところがポイント
・ユーザーアカウントではユーザー毎やサービスごとにグループを作り、
そこに開発・ステージング・商用・サンドボックス・共通機能を配布
・オンプレミスとのサービス連携もあり、それは共通機能として両方のグループに
ある共通機能アカウントに連携
・単純な調査・Poc用の単独アカウントも存在
- ・Organizationを使ってアカウントを管理
・管理用グループを作り、そこに機能ごとに分けてアカウント作成
1つのアカウントに機能を詰め込まないところがポイント
・ユーザーアカウントではユーザー毎やサービスごとにグループを作り、
そこに開発・ステージング・商用・サンドボックス・共通機能を配布
・オンプレミスとのサービス連携もあり、それは共通機能として両方のグループに
ある共通機能アカウントに連携
・単純な調査・Poc用の単独アカウントも存在
- ・Organizationを使ってアカウントを管理
・管理用グループを作り、そこに機能ごとに分けてアカウント作成
1つのアカウントに機能を詰め込まないところがポイント
・ユーザーアカウントではユーザー毎やサービスごとにグループを作り、
そこに開発・ステージング・商用・サンドボックス・共通機能を配布
・オンプレミスとのサービス連携もあり、それは共通機能として両方のグループに
ある共通機能アカウントに連携
・単純な調査・Poc用の単独アカウントも存在
- ・Organizationを使ってアカウントを管理
・管理用グループを作り、そこに機能ごとに分けてアカウント作成
1つのアカウントに機能を詰め込まないところがポイント
・ユーザーアカウントではユーザー毎やサービスごとにグループを作り、
そこに開発・ステージング・商用・サンドボックス・共通機能を配布
・オンプレミスとのサービス連携もあり、それは共通機能として両方のグループに
ある共通機能アカウントに連携
・単純な調査・Poc用の単独アカウントも存在
- ・Organizationを使ってアカウントを管理
・管理用グループを作り、そこに機能ごとに分けてアカウント作成
1つのアカウントに機能を詰め込まないところがポイント
・ユーザーアカウントではユーザー毎やサービスごとにグループを作り、
そこに開発・ステージング・商用・サンドボックス・共通機能を配布
・オンプレミスとのサービス連携もあり、それは共通機能として両方のグループに
ある共通機能アカウントに連携
・単純な調査・Poc用の単独アカウントも存在
- 聴講者+スタッフあわせてなんと70名超の参加!
会場提供いただいたF-Secure河野さん、会場設営と運営に対応いただいたスカイアーチさん、ご登壇いただいた皆様本当ありがとうございます。
1000人以上も日本人がいるとこの規模で開催できるという良いベンチマークが取れました。
- 聴講者+スタッフあわせてなんと70名超の参加!
会場提供いただいたF-Secure河野さん、会場設営と運営に対応いただいたスカイアーチさん、ご登壇いただいた皆様本当ありがとうございます。
1000人以上も日本人がいるとこの規模で開催できるという良いベンチマークが取れました。
- 聴講者+スタッフあわせてなんと70名超の参加!
会場提供いただいたF-Secure河野さん、会場設営と運営に対応いただいたスカイアーチさん、ご登壇いただいた皆様本当ありがとうございます。
1000人以上も日本人がいるとこの規模で開催できるという良いベンチマークが取れました。
- ご静聴ありがとうございました!