Amazon Web Services ブログ

Category: Management Tools

大手金融機関におけるセキュリティ・コンプライアンスのためのイベント管理

本投稿では、商業銀行として米国で Top 25 内にランクインしている金融機関であるBBVA USAが、AWS サービスを使用して大規模なイベント管理の仕組みを実装し、クラウド環境に関連する変更イベントを一元管理し、アクションを自動化した方法について紹介しています。一般的に、モノリシック環境でのセキュリティ・コンプライアンスは、管理・監視対象となるインフラストラクチャが少ないため、監視と実施が比較的容易です。それが多くなったとしても、インフラストラクチャをコード化すれば、民主化され分散化されたアプローチによって、コンプライアンスの見落としなく構成の差分管理(ドリフト)と追跡処理を環境に取り入れることができます。 インフラストラクチャの正常な状態を識別し、そこから外れた違反状態を把握することにより、インフラの状態の可視性が確保され、必要に応じて自動修復によって遵守を強制させることが可能になります。このために、セキュリティイベントの通知やベースラインとなる構成定義といった機能を使うことができます。

Read More

AmazonがAmazon AppStream 2.0を用いてデータサイエンティストとアナリストに分析環境を提供した方法

私たちの挑戦 2020年2月28日、COVID-19の影響を受けて、Amazonは従業員とコミュニティの健康を守るための措置をとったことを発表しました。これには、大規模なイベントの中止、ステークホルダーとのミーティングのオンライン化、フルフィルメントセンターの見学の一時停止などが含まれます。この記事を投稿した時点で、AmazonはCOVID-19に対する安全対策に80億ドル以上の投資を行なっています。 こうした安全対策の取り組みを補完するために、Amazonはそれぞれの拠点におけるCOVID-19の広がりとリスクを予測する必要性に迫られました。この予測には、インタラクティブなレポートと機械学習モデルの構築が必要でした。そこでAmazonは、機密性の高いデータを保存するためのセキュアなデータレイクと、グローバル規模で耐障害性のある分析環境を構築することになりました。このようなデータレイクを構築する際の課題は、その相反する要件です。一方ではデータを安全に、匿名化して隔離しなければならず、他方ではデータを意図した消費者に公開しなければならないのです。 このソリューションのアーキテクチャは、以下のセキュリティ要件を満たす必要がありました。 すべてのデータは、インターネットにアクセスできない隔離された環境に保存されていること 環境の管理者を含め、生データに直接アクセスできないこと IAMロールを用いて、分析インターフェースへのアクセスのみに制限すること 社用デバイスから接続し、社内ネットワーク上にある場合にのみアクセスが可能であること コピー&ペーストや印刷など、隔離された環境からデータの持ち出しを禁止すること ユーザーの利用に対して包括的な監査を行えること このような環境へのアクセスを提供するために、AmazonはソリューションとしてVDI(Virtual Desktop Infrastructure)を採用しました。VDIでは、画面描写のみがユーザーにストリーミングされ、データ自体がユーザーのデバイスに保存されることはありません。Amazonのデータサイエンティストやデータアナリストの作業環境を分離することで、セキュリティを高めることができます。さらに、ツールをデータの近くに配置することで、パフォーマンスを向上させることもできます。 Amazonは、Amazon Elastic Compute Cloud (Amazon EC2) 上でソリューションを構築するか、Amazon AppStream 2.0やAmazon WorkSpacesなどのAWSのマネージド型サービスを利用するかを検討し、最終的にAppStream 2.0を採用しました。

Read More

CloudKnox と AWS Control Tower を使用して AWS でのマルチアカウントのアクセス許可管理を自動化

この記事は、AWS の ISV ソリューションアーキテクチャリーダーであるKanishk Mahajan、CloudKnox の カスタマーサクセス責任者であるゲスト寄稿者 Maya Neelakandhan 氏によるAutomate multi account permissions management in AWS using CloudKnox and AWS Control Towerを翻訳したものです。 はじめに AWS のアクセス許可管理により、セキュリティチームとクラウドインフラストラクチャチームは、ID アクセス許可の誤用からクラウドリソースを保護できます。クラウドセキュリティでは、AWS 組織内のすべての AWS アカウントで、最小権限ポリシーを継続的に適用する必要があります。 マルチアカウント戦略を持つことは、リソースの分離を強化するためのベストプラクティスです。また、規制やコンプライアンスのニーズを満たし、オペレーションコストを追跡し、セキュリティをさらに強化するのにも役立ちます。AWS Control Tower は、AWS のベストプラクティスを使用して、Well-Architected マルチアカウントのベースラインを確立します。また、AWS アカウント全体でのガバナンスも有効にします。多くのお客様は、AWS Control Tower を使用してマルチアカウントの AWS 環境を管理および統制しています。AWS Control Tower を使用したマルチアカウント AWS 環境の管理の詳細については、「AWS Control Tower の使用開始」を参照してください。 CloudKnox は APN アドバンストパートナーです。<a

Read More

[AWS Black Belt Online Seminar] AWS CloudTrail 資料及び QA 公開

先日 (2021/01/19) 開催しました AWS Black Belt Online Seminar「AWS CloudTrail」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 20210119 AWS Black Belt Online Seminar AWS CloudTrail AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. ログファイル整合性検証を有効化した場合にログの見え方が変わることはありますか?たとえば Amazon Athena でクエリ用意をしてありますが、それを変更する必要があるかなどを気にしています。 A. ログファイルの中身や見え方に変化はありません。Amazon Athena のクエリはそのままご利用頂けます。 Q. AWS CloudTrail イベント履歴は、AWS Cloud Trail の証跡を作成していない場合にも利用可能ですか? A. イベント履歴は、お客様のログ記録の設定である証跡の作成にかかわらず、90日分の AWS アカウントのアクティビティを参照することが可能です。イベント履歴から参照可能なアクティビティは管理イベントのみである点にご注意ください。 Q. SIEM on Amazon ES について、良いものとは感じますが、Amazon Elasticsearch Service を使用する際の金額感がわからず検討が進んでいません。金額の想定ができるような考え方などないでしょうか。 A. AWS 料金計算ツールをご利用ください。ご利用のリージョンや、インスタンスサイズ、ログ容量などを入力すると、一ヶ月あたりのお見積もり金額が表示されます。 Q. CloudWatch […]

Read More

【SAP監視もAmazon CloudWatchでOK】SAPアプリケーション&SAP HANAクラスタ

背景 AWS上でSAPを実行している5000以上のアクティブなお客様がおり、ワークロードは多様なSAPのリリースやバージョンで実行されています。ほとんどのお客様は、1台以上のアプリケーションサーバとデータベースで構成されたSAP NetWeaverベースの環境で作業を行っています。アプリケーションとデータベースの高可用性を実現するためのベストプラクティスは、オペレーティングシステムのクラスタリングを活用することです。クラスタリソースの可用性は、アプリケーションとデータベースの復元性を保証します。

Read More

AWS Compute Optimizer を使用した AWS Lambda のコストとパフォーマンスの最適化

本投稿は AWS Compute Optimizer のシニアプロダクトマネージャーである Brooke Chen、AWS Compute Optimizer のプリンシパルプロダクトマネージャーである Letian Feng、Amazon EC2 のプリンシパルデベロッパーアドボケイトである Chad Schmutzer による寄稿です。 コンピューティングリソースの最適化は、あらゆるアプリケーションアーキテクチャにとって重要な作業です。計算処理リソースの過剰なプロビジョニングは不要なインフラストラクチャコストにつながる一方で、不足すると、アプリケーションのパフォーマンスの低下につながります。 2019年12月に開始された AWS Compute Optimizer は、AW​​Sコンピューティングリソースのコストとパフォーマンスの最適化のための推奨情報(リコメンデーション)を提示するサービスです。特定のワークロードに合わせた実用的な最適化の推奨事項を生成します。昨年、数千の AWS のお客様が、Compute Optimizer を使用してワークロードに最適な Amazon EC2 インスタンスタイプを選択することで、コンピューティングコストを最大25%削減しました。 お客様から最も頻繁にいただくリクエストの 1 つに、Compute Optimizer で AWS Lambda の推奨事項を提示してほしいというものがありました。これを受けて、2020年12月23日、Compute Optimizer が Lambda 関数の推奨メモリサイズをサポートすることを発表しました。これにより、Lambda ベースのサーバーレスワークロードのコストを最適化し、パフォーマンスを向上させることができます。開始するには、Compute Optimizer をオプトインして、推奨事項の検出に進みましょう。 概要 Lambda を使用すると、管理するサーバーがなく、自動的にスケーリングされ、使用した分だけの料金となるなどの、サーバーレスとしてのメリットが多くあります。ただし、Lambda 関数に適切なメモリサイズ設定を選択することは依然として重要なタスクです。Computer Optimizer は、機械学習ベースでメモリの推奨を行うことで、このタスクを支援します。 この推奨事項の提供機能は、Compute Optimizer コンソール、AWS CLI、AWS […]

Read More

AWS ConfigでSAPシステムを評価する – パート2

はじめに パート1では、AWS Configマネージドルールを使用してSAPランドスケープのを自動的に監査および評価する方法をお伝えしました。また、お客様のEC2インスタンスがSAPのベストプラクティスに従って設定されていることを確認するソリューションをお伝えしました。現在、AWSはバージニア北部リージョンでは160を超えるマネージドルールを提供しています。 インフラストラクチャに加えて、お客様はアプリケーションのコンプライアンスを維持する必要もあります。ここでは、AWS Configカスタムルールについてご説明します。AWS Configカスタムルールを使用すると、マネージドルールでカバーされているものに加えて、独自の構成チェックを定義できます。基本的にAWS Configカスタムルールは、AWSリソースのリストに対してAWS Lambda関数を実行します。

Read More

AWS ConfigでSAPシステムを評価する – パート1

はじめに SAP on AWSをご利用のお客様は、SAPシステムの日常運用を強化し単純化できる幅広い追加サービスを利用可能です。よく見かける面倒なタスクの1つとして、SAPシステムがベストプラクティスに従って構成されているかどうかということや、ベンダーサポートの要件を満たしているか、内部監査要件を満たしているかどうか、という点があります。 このブログシリーズでは、AWS Configがお客様のランドスケープ内の全てのSAPシステムのコンプライアンスを継続的に監査および評価するプロセスを簡素化する方法についてご説明します。また、Amazon Event BridgeおよびAmazon Simple Notification Serviceを使用して、リソースが非準拠として識別された場合にEメール通知を有効にする追加手順をお届けします。

Read More

新機能 – AWS Systems Manager Fleet Manager

クラウド環境とオンプレミス環境全体で、ますます多様化する IT インフラストラクチャのポートフォリオ管理に関する課題に、組織とそのシステム管理者は日常的に直面しています。さまざまなツール、コンソール、サービス、オペレーティングシステム、手順、ベンダーはどれも、比較的よく見られまた関連性のある管理タスクを複雑にしています。ワークロードが最新化して Linux やオープンソースのソフトウェアが採用されるようになると、上記のシステム管理者は、Windows バックグラウンドからの GUI ベースの管理ツールに精通していても、新しいツール、アプローチ、スキルセットに継続的に適応し、迅速に学習する必要があります。 AWS Systems Manager は、AWS およびオンプレミスのリソースを管理できるオペレーションハブです。本日よりご利用いただけるようになった Fleet Manager は、Systems Manager の新しいコンソールベースの機能です。これにより、システム管理者は、SSH または RDP を使用したリモート接続に頼ることなく、オペレーティングシステムに依存しない方法で、マネージドインスタンスのフリートを単一の場所から表示および管理できるようになります。ドキュメントで説明されているように、マネージドインスタンスには、AWS クラウドとオンプレミスの両方で Windows、Linux、macOS オペレーティングシステムを実行しているインスタンスが含まれます。Fleet Manager では、コンピューティングインスタンスが存在している場所に関係なく、それらを集約して表示します。 クラウドサーバーかオンプレミスサーバーかに関わらず、必要なものは、各マネージドサーバーに Systems Manager エージェントがインストールされており、AWS Identity and Access Management (IAM) のアクセス許可および、Systems Manager の Session Manager で有効になっている AWS Key Management Service (KMS) だけです。これにより、現在使用している高価な管理ツールのライセンス料金を支払う必要がなくなり、複数の環境で実行しているサーバーのリモート管理を、容易かつコスト効率に優れたアプローチで実現できます。先に述べたように、macOS 上で実行中のインスタンスでも動作します。エージェントソフトウェアとアクセス許可を設定すれば、Fleet Manager を使って単一のコンソール環境からサーバーを検索および管理できます。例えば、Amazon CloudWatch エージェントをインストールすることなく、ファイルシステムの移動、Windows サーバー上のレジストリの操作、ユーザーの管理、ログのトラブルシューティング (Windows イベントログの表示を含む)、一般的なパフォーマンスカウンターのモニタリングを行うことができます。 […]

Read More

新機能 – AWS Systems Manager がアプリケーション管理を統合

統合された、シンプルな運用管理を求めるのは、クラウドインフラストラクチャだけに限られるものではありません。当社のお客様では、アプリケーションのポートフォリオを監視および管理するための、“1 つの枠組みによる” アプローチを、お求めになることが増えています。 これらのお客様がおっしゃるのは、アプリケーションの検出と調査に、余分な時間と労力がかかっているということです。DevOps エンジニア達は、調査対象であるアプリケーションの問題に関するコンテキストを取得するために、一般的に複数のコンソールやツールを使用しているというのがその理由です。さらに、リソースの使用量に関するメトリクスや、ログなどの情報ソースを参照することも必要になります。ここで言う “アプリケーション” とは、アプリケーションコードのみを指すのではありません。アプリケーションをホストするためのユニットとして機能するリソースの論理グループや、オペレータのための所有権の境界、さらに開発、ステージング、および実稼働などの各環境なども含まれています。 今回、AWS Systems Manager の新機能として、この Application Manager をご紹介できる運びとなりました。Application Manager を使用すると、複数の AWS のサービスや、Systems Manager の機能に関する運用情報を1 つのコンソールに集約することで、アプリケーションの運用データを簡単に表示できるようになります。 さらに便利な機能として、このサービスでは、アプリケーションの自動検出も行えます。現在、この自動検出機能は、AWS CloudFormation スタックおよび Amazon Elastic Kubernetes Service (EKS) クラスターで実行されているアプリケーション、または AWS Launch Wizard から起動されたアプリケーションに対しご利用いただけます。また、アプリケーションは、リソースグループからも検出できます。 自動検出機能の大きなメリットは、アプリケーションのコンポーネントやリソースが、継続的かつ自動的に最新の状態に維持されることです。加えて、必要に応じてコンポーネントを手動で追加または削除すれば、アプリケーションをいつでも改訂することも可能です。 検出されたアプリケーションを単一のコンソールに統合することで、運用上の問題をより簡単に診断し、最小限の時間と労力で解決できるようになります。アプリケーションのコンポーネントまたはリソースをターゲットとする自動 Runbook を実行することで、運用上の問題の修復に役立てることができます。1 つのコンソールを離れることなく、任意のアプリケーションについてリソースを選択し、関連する詳細内容を調べられます。 たとえば、アプリケーションにより Amazon CloudWatch ログ、運用メトリックス、AWS CloudTrail ログ、および設定変更を表示できるので、複数のツールやコンソールを使用する必要がなくなります。担当のエンジニアは、問題をより迅速に把握できるので、その解決にかかる時間を短縮できます。 Application Manager を使用したアプリケーションの調査 Application Manager には、Systems Manager のホームページからアクセスできます。ページが開いたら、検出されたアプリケーションの概要が表示され、アラームが存在するかをすぐに確認できます。コンテキストを Amazon CloudWatch […]

Read More