Amazon Web Services ブログ

Category: Expert (400)

AWS Cloud Development Kit と cdk-nag でアプリケーションのセキュリティとコンプライアンスを管理する

この記事は Arun Donti によって寄稿された Manage application security and compliance with the AWS Cloud Development Kit and cdk-nag (記事公開日: 2022 年 5 月 25 日) を翻訳したものです。 Infrastructure as Code (IaC) は、クラウド・アプリケーションの重要な要素です。開発者は、様々な静的解析 (SAST) ツールを利用して、セキュリティやコンプライアンスの問題を特定し、アプリケーションを本番環境にリリースする前に、これらの問題を早期に軽減することができます。さらに、静的解析ツールは、開発者がセキュリティレビュー中にコンプライアンスを検証するために役立つレポートメカニズムを提供してくれます。 cdk-nag は、AWS Cloud Development Kit (AWS CDK) アプリケーションに直接統合し、静的解析ツールと同様の検出およびレポートメカニズムを提供します。

Read More

Amazon FSx for NetApp ONTAP および Amazon EKS を使用してコンテナ化されたアプリケーションを効率的に実行する

このブログは 2022 年 5 月 9 日に Tsahi Duek (Senior Container Specialist Solutions Architect) と Michael Shaul (NetApp’s Principal Technologist) によって執筆された内容を日本語化した物です。原文はこちらを参照して下さい。 Kubernetes は、ステートレスおよび長時間稼働するステートフルなアプリケーションの両方に対して、迅速かつ容易なコンテナ化アプリケーションのデプロイメントを提供するスケーラブルなシステムです。多くの Kubernetes アプリケーションは、ファイルおよびブロックボリュームの作成、ストレージの拡張、スナップショットの取得、クローンの作成を行うために、Kubernetes Container Storage Interface(CSI)と統合するストレージシステムを必要とします。 Amazon FSx for NetApp ONTAP は、NetApp の FlexClone テクノロジーをサポートしており、Kubernetes のステートフルアプリケーションデータを新しいボリュームにクローンして、ファイルシステムのストレージ効率を最大化することができます。クローン化されたデータはソースボリュームのデータを再利用しており、データの書き込み時または変更時にのみ追加のストレージを必要とします。データのコピーが不要なため、FlexClone の作成はほぼ瞬時に行われ、ファイルシステムの性能にほとんど影響を与えません。これは、アプリケーションのアップグレード、Kubernetes クラスターのアップグレード、テスト目的でのクローン環境の作成などのユースケースで重要となります。 このブログでは、Amazon Elastic Kubernetes Service (Amazon EKS) と Amazon FSx for NetApp ONTAP を、NetApp Trident CSI […]

Read More
自社製品/ソリューションのサービス化 ~SaaSビジネスおよびSaaS plus a Boxビジネスの促進セミナー~

AWS IoT Device Defender ML 検出を発表

このブログは、AWS IoT Device Defender Announces ML Detect GA を翻訳したものです。 2021 年 3 月 24日(米国時間)、AWS は AWS IoT Device Defender Machine Learning Detect and Mitigation(ML 検出)の一般提供を発表しました。これは、過去のデバイスデータからの学習に基づいて、IoT デバイスレベルの運用およびセキュリティの異常を自動的に検出する新機能です。お客様は、AWS IoT Device Defender の ルール検出機能を使用して、静的アラームを手動で設定できます。ML 検出は、フリートの予想される動作を自動的に設定することでこれを容易にします。これにより、メッセージの送信、切断頻度、byte in/out など、さまざまなメトリクスでデバイスがどのように動作するかを深く理解する必要がなくなります。また、ML 検出は、季節性やその他の変化する要因によって引き起こされる新しいデータトレンドに基づいて、予想される動作を自動的に更新します。 このブログ投稿では、機能概要を示し、いくつかのお客様が機能によって提供されるデバイスレベルの監視と運用の信頼性からどのように恩恵を受けているかを紹介し、開始するための手順を説明します。 AWS IoT Device Defender ML 検出の概要 ML 検出は、機械学習を使用して、IoT デバイスの予想される動作のしきい値を設定します。この機能を設定する前に、デバイスの動作(切断頻度、送信されたメッセージの数など)を包括的に理解する必要がなくなるため、AWS IoT Device Defender の検出機能を簡単に使用できます。異常が特定されたら、デバイスの隔離などの組み込みの緩和アクションを選択することで対応できます。

Read More
レガシーアプリケーション認証の例

AWS 上のマルチテナント SaaS 環境におけるセキュリティプラクティス

この記事は Security practices in AWS multi-tenant SaaS environments を訳したものです。 SaaS (Software-as-a-service) アプリケーションのセキュリティ保護は、すべてのアプリケーションアーキテクトと開発者にとって最優先事項です。複数のテナントによって共有される環境のセキュリティ保護は、特に困難な場合があります。アイデンティティフレームワークとその概念を理解するには時間がかかることがあり、これらの環境でテナント分離を形成するには、さまざまなツールやサービスを深く理解する必要があります。

Read More

AWS Backup と AWS Security Hub を使用してバックアップ結果の可視化を自動化

このブログは2022年1月28日に Kanishk Mahajan (ISV Solutions Architect Lead) によって執筆された内容を日本語化した物です。原文はこちらを参照して下さい。 データ保護を一元化および自動化することで、ビジネスの継続性と規制コンプライアンスの目標をサポートできます。バックアップコンプライアンスには、バックアップポリシーを定義および適用して、バックアップを暗号化し、手動削除から保護し、バックアップライフサイクル設定の変更を防ぎ、一元化されたコンソールからバックアップアクティビティを監査およびレポートする機能が含まれます。

Read More

動的に生成された IAM ポリシーで SaaS テナントを分離する

この記事は、AWS SaaS Factoryのシニアパートナーソリューションアーキテクトである Bill Tarrによって書かれました。 多くの Software-as-a-Service (SaaS) プロバイダーは、テナント分離戦略の根幹として AWS Identity and Access Management (IAM) を活用しています。 IAM により、組織は一連のポリシーとロールを定義することができ、リソースへのアクセス時にテナントの境界を越えないようにすることが可能です。 ここでの課題は、多くの組織がテナントごとに個別のポリシーを作成しなければならないことです。これにより、テナントポリシーの数が爆発的に増加し、その結果 IAM のアカウント制限に達してしまうことがあります。 さらに重要なのは、このポリシーの数が急増すると、管理と更新が手に負えなくなる可能性があることです。ポリシーの一部を変更し、その変更をシステム内のすべてのテナントに展開することを想像してみてください。すぐに環境の管理性と俊敏性が損なわれます。 AWS SaaS Factory によるこの記事では、動的なポリシー生成によって、よりスケーラブルで管理しやすいテナント分離エクスペリエンスがどのように生み出されるかを見ています。この投稿は、このエクスペリエンスの土台となる部分に焦点を当て、動的なポリシー生成を支えるのに必要なメカニズムを導入するための手法を説明します。

Read More

AWS Systems Manager Distributor による AWS Organizations 管理下のアカウントへのソフトウェアパッケージ配布

ほとんどの組織ではセキュリティが最優先事項であり、セキュリティとコンプライアンスを維持するために、CrowdStrike、TrendMicro、Tennable などのエージェントベースの脆弱性管理ツールを活用しています。AWS Systems Manager Distributor は、単一のシンプルなインターフェイスを介して、ソフトウェアのパッケージ化とクラウド環境の Windows および Linux インスタンス、オンプレミスサーバーへの配信プロセスを自動化します。お客様は、AWS Systems Manager Distributor を利用して、セキュリティエージェントやその他のモニタリングエージェントなどをパッケージ化して管理し、クラウドおよびオンプレミスのインスタンスにも配布できます。

Read More

AWS CDK Pipelines を利用した SaaS の並列かつ動的なデプロイ

こちらの記事は「Parallel and dynamic SaaS deployments with AWS CDK Pipelines」を翻訳したものです。 Software as a Service(SaaS)は、従量課金制の価格モデル、スケーラビリティ、可用性などのメリットをもたらすビジネスモデルで、独立系ソフトウェアベンダー(ISV)の間でますます人気を集めています。 SaaS サービスは、多数のアーキテクチャモデルを使用して構築できます。アーキテクチャを共有しないサイロモデルでは、各テナントごとに専用のリソースを提供します。サイロモデルでの展開は、テナント間のコンピューティングリソースとデータを分離し、ノイジーネイバー問題を排除するのにも役立ちます。一方、プールモデルには、コンピューティングリソースとキャパシティをより効率的に利用できるため、メンテナンスのオーバーヘッドの削減、管理と運用の簡素化、コスト削減の機会など、いくつかのメリットがあります。ブリッジモデルは、サイロモデルとプールモデルの両方が共存して使用されるハイブリッドなモデルです。システムの一部はサイロモデルとして、別の一部はプールモデルとして構築することができます。

Read More

SaaSテナント分離をAWS IAMとABACで実装する方法

この記事は、How to implement SaaS tenant isolation with ABAC and AWS IAMを訳したものです。 マルチテナントアプリケーションにおいては各テナントのリソースが他のテナントからアクセスできないように設計を行う必要があります。AWS Identity and Access Management (IAM) は多くの場合、この目的を達成するための重要な要素となりえます。一方で、IAMを用いることによる課題の一つとして、テナント分離を実現するのに必要な IAM ポリシーの数と複雑さが急速に拡大することにより分離モデルの規模と管理性に影響を与えることが挙げられます。IAM の 属性ベースのアクセスコントロール (ABAC) の仕組みはこの課題を解決するための方法を開発者に提供しています。 このブログ記事では、IAM の ABAC を用いてマルチテナント環境のテナント分離を実装する方法について解説します。

Read More

Systems Manager Automation Runbook でスクリプトを活用する

お客様は今まで、 AWS Systems Manager Automationドキュメントを使用して、AWS Lambda 関数の呼び出しや Amazon Machine Image (AMI) のコピーなど、AWS インフラストラクチャで実行する一連のアクションを定義してきました。これらのドキュメントは現在 Runbook と呼ばれており、簡単に使用でき、かつ強力です。 aws:executeScript アクションを使用すると、Python と PowerShell を Runbook に直接埋め込むことができます。

Read More