JAWS-UG初心者支部 第7回勉強会 クラスメソッド株式会社 AWSコンサルティング部

ソリューションアーキテクト　大栗 宗

お前誰よ？• 大栗 宗（@maroon1st） • 仕事はAWSのブログ書き。導入コンサル/構築/CFn職人 • I ♥ ウィスキー、シガー、ビール 最近ビールやシードルへ浮気中 • 好きなAWSサービス・RDS　・SSM　・CloudFormation • シガー検定(はじめての葉巻検定)AWSエキスパート養成読本

お仕事 Developers.IO

目次

• AWS入門前

• AWSの第一歩

• AWSの二歩目以降を進むために

• まとめ

AWS入門以前

最初にすべきこと アカウント開設

、、、の前に

セルフペースラボ https://qwiklabs.com/

• 練習用の実働環境で演習を行うことができます。 • 自分のペースで実践的なAWSスキルを獲得できます。

セルフペースラボ https://qwiklabs.com/

一部のトレーニングは無料で実施できます。

アカウント開設https://aws.amazon.com/jp/register-flow/ • 必要なもの • メールアドレス • 連絡作情報 • クレジットカード • 受信ができる電話

アカウント開設• 会社でクレジットカードの用意が難しい → 請求代行を行っている企業もあります。

• APNに参加している企業 • コンサルティングパートナー • プレミア • アドバンスド • スタンダート

https://aws.amazon.com/jp/solutions/solution-providers-japan/

AWS入門

アカウント作成にすぐやる (1)• ルートアカウントの保護（MFAを導入）→ 通常ルートアカウントは使用してはいけません。

• IAM（Identity and Access Management）の設定→ 通常アクセス用のIAMユーザを作成します。

• 請求関連設定→ コストエクスプローラなどを有効化しましょう。

• CloudTrailの有効化→ AWSのログや変更情報が出力されます。 「ルートアカウント」と「請求関連」は請求代行の場合は設定不能かもしれません。

http://dev.classmethod.jp/cloud/aws/after_get_aws_account/Developers.IO『AWSのアカウント開設後にすべき事をまとめてみた』

アカウント作成にすぐやる (2)• コマンドラインツールの導入 • AWS CLI→ Linux / OSX / Windows

• AWS Tools for Windows PowerShell→ Linux (Core Edition) / OSX (Core Edition) / Windows

• KeyPair→ EC2にログインするため必要です。事前に作成しましょう。

AWSの第一歩

現在55サービス (コンソールのみ)

AWSはビルディングブロック サービスを組合せて活用する

組み合わせた構成

組み合わせた構成

複雑な構成でなくても AWSは活用できる

閑話休題

最近のITに関する話題

• DDoS攻撃の多発しています2016年8月下旬から国内の多数のサイトを対象に被害史上最大規模のDDoS攻撃が発生

• BINDで深刻度が「高」の脆弱性昨日CVE-2016-2776が発表されています。

AWS活用の例

• DDoS対策→ CloudFront（CDN）の導入

• BINDのパッチ適用から逃れたい→ Route 53（DNSコンテンツサーバ）への切り替え

DDoS対策• CloudFrontはいわゆるCDNのサービスですが、静的コンテンツ（キャッシュをする）だけでなく動的コンテンツ（キャッシュをしない）も配信可能です。

• 重要なこととして、CloudFrontには『AWS独自のDDoS緩和システム』が導入されています。

DDoS対策• Distribution Signatures

• CloudFrontで特定のIPスペースが攻撃された場合にどのディストリビューションか特定します

• DDoSのトラフィックを他の正常のトラフィックから切り離して配信基盤と顧客を保護します

DDoS対策• DDoSへの対処

• 独自のDDoS緩和システムでサービスベースの防御

• 全てのパケットは検査されて、学習アルゴリズムでスコアリングされる

• 他ユーザトラフィックは、インラインシステムが可用性、スループット、レイテンシに影響を与えずに迅速に対応

DDoS対策• GEOリストリクションを使って配信する国や地域を制限することができます。

• AWS WAFと連携してSQLiやXSSを防御したり、特定のIPアドレスからリクエストを許可/拒否することが可能です。

• CloudFrontはDDoS攻撃を緩和しますが、必ずしも攻撃を防ぎきれるものではありません。実際に被害にあったときにはDDoSやセキュリティの専門家へご相談ください。

BINDのパッチ適用から逃れたい• 過去10年間でCVSS v2の評価でMEDIUM以上は毎年発生しており、HIGHは2009年以外で発生しています。

• パッチ適用やアップデートの実施計画の策定、夜間メンテナンスの実施、実施後の稼働確認、etc、、、

BINDの脆弱性報告数の遷移CVSS v2 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016HIGH (7.0～10.0) 1 2 2 0 1 1 5 4 1 5 1MEDIUM (4.0～6.9) 4 4 1 3 7 4 2 1 3 2 7総計 5 6 3 3 8 5 7 5 4 7 8

BINDのパッチ適用から逃れたい• DNSコンテンツサーバにRoute 53を利用しましょう。

• Route 53は高い可用性 (SLA 100%) と柔軟なルーティングポリシー (Simple, Weighted, Latency, Failover, Geolocation) を提供しています。

• AWS内かパブリック向けでオンプレミスでは利用できません。

• 一部の特殊なDNSレコードはサポートしていません。

サービス単体で導入しやすいもの• Amazon Simple Storage Service (S3)バックアップやStatic Website Hostingなど

• AWS CodeDeployオンプレミスのサーバへもアプリのデプロイが可能

• AWS Certificate ManagerCloudFrontなどのSSL証明書

• Amazon WorkSpaces多様なデバイスからVDI環境へアクセス

• Amazon WorkDocsエンタープライズ向けファイル共有サービス

AWSで二歩目以降を歩むために

AWSの二歩目• AWS Black Belt Online Seminar https://aws.amazon.com/jp/about-aws/events/webinars/基本は水曜日18:00-19:00

• AWSクラウドデザインパターン (CDP)http://aws.clouddesignpattern.org/index.php/AWS設計で発生する典型的な問題の解決策/ 設計方法を分類/整理したものです。

AWSの三歩目• お勧めの書籍 • Amazon Web Services パターン別構築・運用ガイドhttps://www.amazon.co.jp/dp/4797382570

• Amazon Web Services実践入門 https://www.amazon.co.jp/dp/4774176737

• Amazon Web Services企業導入ガイドブック https://www.amazon.co.jp/dp/4839952337

• 効果的な導入・運用のための Amazon Web Services活用入門https://www.amazon.co.jp/dp/4839959595

AWSの三歩目• もっともお勧めしたい書籍AWSエキスパート養成読本 • 第1章エンジニアの［新］常識 Amazon Web Servicesアーキテクチャ入門

• 第2章［実践！］「ニューノーマル」なアーキテクチャ

• 第3章「ニューレガシー」なAWS アーキテクチャ

このページはただの宣伝です

AWSを極めたいなら

AWSを専門にしている会社へ 転職している人もいますね

(自分を含め)

まとめ• AWS入門以前：AWSアカウントを解説する前に、セルフペースラボで試すのも良いと思います。

• AWS入門：アカウントを作成したら、すぐに初期設定を！

• AWSの第一歩：複雑な構成でなく、CloudFrontやRoute 53のようなサービス単体で導入できるものからはじめてみましょう。

• AWSで二歩目以降を歩むために：Black BeltやCDPを勉強しましょう。参考になる書籍も多数出版されています。