Category: Amazon Elastic Block Storage (EBS)

AWS re:Invent 2020 では、Amazon EBS io2 Block Express ボリュームをプレビューしました。これは、クラウド用に構築された最初の SAN を提供する次世代のサーバーストレージアーキテクチャです。Block Express は、AWS での Microsoft SQL Server、Oracle、SAP HANA、および SAS Analytics の I/O 負荷の高い最大規模のミッションクリティカルなデプロイの要件を満たすように設計されています。 本日、EC2 で利用可能な最高のネットワーク接続ストレージパフォーマンスを提供するために AWS Nitro System を利用する Amazon EC2 R5b インスタンスを備えた Amazon EBS io2 Block Express ボリュームが一般的に利用可能になったことを発表します。io2 Block Express ボリュームは、Multi-Attach や Elastic Volumes などの io2 機能もサポートするようになりました。 これまでは、シングルボリュームのパフォーマンスを超えるために、複数のボリュームをまとめてストライプする必要がありました。本日より、io2 ボリュームは、ストライプやそれに伴う管理オーバーヘッドなしで、ミッションクリティカルでパフォーマンスが重要となるアプリケーションのニーズを満たすことができます。io2 Block Express を使用すると、io2 ボリュームの 4 […]

VMware Cloud on AWSはVMwareのSoftware-Defined Data Center (SDDC)技術をAWSのグローバルインフラストラクチャ上で提供するためVMwareとAWSが共同開発したソリューションです。 様々なストレージ要件のワークロードが存在する場合、利用可能なストレージオプションの種類を把握し、異なる条件下でそれらをどう使っていくことが最適であるかを理解することが重要です。 VMware Cloud on AWSは複数のストレージサービスと統合されており、VMware vSphereワークロードに対して選択肢と柔軟性を提供しています。しかしながら各サービスは特定のシナリオに最適化されており、ワークロード全体に対して最適な単一のアプローチというものはありません。正しいサービスを選択するには、まずVMware vSphereワークロードのストレージ要件やパフォーマンスの統計データを理解しなければいけません。それを踏まえた上で、お客様のワークロードに適したコスト、可用性、パフォーマンス要件を満たすストレージを計画、実装することができます。

今後、AWS Outpostsのお客様がAmazon Elastic Block Store (EBS) ボリュームのローカルスナップショットを作成して、データレジデンシー要件とローカルバックアップ要件を簡単に満たせることを、本日お知らせいたします。AWS Outposts は、ほぼすべてのデータセンター、コロケーションスペース、オンプレミス施設に同じ AWS インフラストラクチャ、サービス、API、ツールを提供し、真に一貫性のあるハイブリッドエクスペリエンスを実現するフルマネージドサービスです。これまでは、Outposts の Amazon EBS スナップショットは、AWS リージョンのAmazon Simple Storage Service (S3)にデフォルトで保存されていました。ご利用の Outpost がOutposts 上の Amazon S3でプロビジョニングされている場合、今後は Outpost でスナップショットをローカルに保存できます。 お客様は AWS Outposts を使用して、低レイテンシー、ローカルデータ処理、またはデータの保管に関する要件を満たすためにオンプレミスで実行が必要なアプリケーションをサポートします。現在、AWS リージョンが存在しない国で AWS サービスを利用しようとしているお客様は、Outposts でのアプリケーションの実行を選択できます。規制、契約、または情報セキュリティの理由から、データを特定の国、州、自治体に保持する必要がある場合があります。これらのお客様は、アプリケーションを稼働させるために、スナップショットとAmazon マシンイメージ（AMI）のデータを、Outposts でローカルに保存する必要があります。さらに、一部のお客様は、ローカルバックアップに対して低レイテンシーアクセスを必要とするワークロードを求めることもできます。 Outposts の EBS ローカルスナップショットは、スナップショットと AMI データを Outposts の Amazon S3 でローカルに保存できる新機能です。AWS マネジメントコンソール、AWS コマンドラインインターフェイス (CLI) 、AWS SDK を使用して、Outposts で […]

はじめに 2020年を振り返ると、どれだけ信じがたい出来事が起きたかということを認めなくてはなりません。全世界的にCOVID-19やその他の世界の出来事によって私たちの生活様式が変化し、多くの人々にとって困難なものとなりました。このパンデミックにより、企業は顧客や従業員のニーズを満たすために、ほぼ即座に運用上の変更を余儀なくされました。また、多くの企業がクラウドサービスの利用を始めました。 この数週間にわたり、毎年恒例のre:Inventカンファレンスの一環として、私たちは多くのお客様からの声を聞く機会がありました。その数社はSAPトランスフォーメーションのストーリーを世界へ共有するためのバーチャルステージを行いました。：

Amazon Elastic Block Store (EBS) は、あらゆる規模のスループット集約型のワークロードとトランザクションを集中的に使用するワークロードの両方で Amazon EC2 インスタンスとともに使用するために設計された、使いやすく高性能なブロックストレージサービスです。既存の汎用ソリッドステートドライブ (SSD) gp2 ボリュームを使用すると、ストレージキャパシティーに応じてパフォーマンスをスケールできます。より大きなストレージボリュームのサイズをプロビジョニングすることで、アプリケーションの 1 秒あたりの入力/出力オペレーション (IOPS) とスループットを向上させることができます。 ただし、MySQL、Cassandra、Hadoop クラスターなどの一部のアプリケーションは、高パフォーマンスを必要としますが、高キャパシティーストレージは必要としません。お客様は、必要以上のストレージボリュームに料金を支払うことなく、このようなタイプのアプリケーションのパフォーマンス要件を満たすことを望んでいます。 本日は、ストレージキャパシティーに関係なくパフォーマンスをプロビジョニングでき、既存の gp2 ボリュームタイプよりも 20% 低い価格で提供される、新しいタイプの SSD EBS ボリュームである gp3 について説明したいと思います。 新しい gp3 ボリュームタイプ EBS では、お客様はアプリケーション固有のニーズに基づいて複数のボリュームタイプから選択できます。非常に低価格な SSD パフォーマンスを提供するために、当社は 2014 年に汎用 SSD gp2 ボリュームを導入しました。gp2 は、仮想デスクトップ、SQLServer や OracleDB などの中規模データベース、開発およびテスト環境など、お客様が使用する多くのアプリケーションのパフォーマンスとスループットの要件を満たすための簡単でコスト効率の高い方法を提供します。 とはいえ、一部のお客様はさらに高いパフォーマンスを必要としています。gp2 の背後にある基本的な考え方は、キャパシティーが大きいほど IOPS も高速になるというものです。そのため、お客様は希望以上のストレージキャパシティーをプロビジョニングすることになってしまう可能性があります。gp2 は低価格ですが、お客様は不要なストレージに料金を支払うことになります。 新しい gp3 は、EBS ボリュームタイプの 7 つ目のバリエーションです。これにより、お客様は必要なリソースの分だけを支払い、追加のブロックストレージキャパシティーをプロビジョニングすることなく、IOPS […]

Amazon Elastic Block Store (EBS) ボリュームは、2008 年の発売以来、EC2 の必要不可欠なコンポーネントです。現在、特定のユースケースに対応し、指定されたパフォーマンスが得られるように設計された 6 種類の HDD ボリュームおよび SSD ボリュームから選択できます。 今年初めに、以前の io1 ボリュームよりも 100 倍高い耐久性と 10 倍の IOPS/GiB を備えた io2 ボリュームを発売しました。io2 ボリュームは、ハイパフォーマンスでビジネスクリティカルなワークロードなど、I/O 負荷が高くレイテンシーの影響を受けやすいアプリケーションに最適です。 さらに進化 本日から、さらに優れたパフォーマンスを提供する io2 Block Express ボリュームのプレビューを開始します! このボリュームは、AWS Nitro System の一部として実装された高度な通信プロトコルを活用した新しい EBS Block Express アーキテクチャに基づいて構築され、最大 256 K IOPS と 4000 MBps のスループット、最大 64 TiB のボリュームサイズを実現します。すべてミリ秒未満で、低分散 I/O レイテンシーです。スループットは、プロビジョンド IOPS ごとに […]

2018 年 7 月、Amazon Elastic Compute Cloud (Amazon EC2) 向けにメモリ最適化された R5 インスタンスを発表しました。R5 インスタンスは、高機能データベース、ウェブ規模の分散インメモリキャッシュ、インメモリデータベース、リアルタイムのビッグデータ分析、およびその他のエンタープライズアプリケーションなどのメモリ集約型のアプリケーション向けに設計されています。 R5 インスタンスには、2 つの異なるブロックストレージオプションがあります。R5d インスタンスは、高速、低レイテンシーのローカルストレージにアクセスする必要があるアプリケーション向けに、最大 3.6 TB の NMVe インスタンスストレージを提供します。さらに、すべての R5b インスタンスは Amazon Elastic Block Store で動作します。Amazon EBS は、あらゆる規模のスループット集約型のワークロードとトランザクションを集中的に使用するワークロードの両方で、Amazon EC2 とともに使用できるように設計された、使いやすく、高性能で、可用性の高いブロックストレージサービスです。リレーショナルと非リレーショナル両方のデータベース、エンタープライズアプリケーション、コンテナ化されたアプリケーション、ビッグデータ分析エンジン、ファイルシステム、そしてメディアワークフローといった幅広いワークロードが、Amazon EBS では広範にデプロイされています。 本日、R5 インスタンスファミリーに新たに追加された R5b をご利用いただけるようになったことを発表します。新しい R5b インスタンスは AWS Nitro System によって起動され、EC2 で利用できる最高のネットワーク接続ストレージパフォーマンスを実現します。この新しいインスタンスは、最大 60 Gbps の EBS 帯域幅と 260,000 個/秒 (IOPS) の […]

スナップショットは Amazon Elastic Block Store (EBS) で必要不可欠なものです。スナップショットでは、バックアップまたは災害対策用に、ボリュームのブロックレベルのポイントインタイムコピーを作成できます。スナップショットは、最後のスナップショットが再度コピーされてから変更された増分のデータのみが含まれます。AWS リージョンまたは AWS アカウント間で、スナップショットを共有できます。スナップショットを取得したら、スナップショットに基づいて新しい Amazon Elastic Block Store (EBS) ボリュームを作成できます。スナップショットの作成に使用した元のボリュームの正確なレプリカとして、新しいボリュームを開始します。 スナップショットからボリュームを復元するとすぐに使用できます。オペレーティングシステムがブロックにアクセスすると、バックグラウンドで EBS がスナップショットからデータの遅延読み込みを行います。このため、ボリュームが完全に初期化されるまで、ボリュームの I/O パフォーマンスが低下します。しかし、I/O 要求の多い一部のワークロードでは、ボリュームが利用可能になり次第、フルボリュームで処理する必要があります。これが、高速スナップショット復元 (FSR) を導入した理由です。FSR を有効にすることで最大のパフォーマンスを発揮でき、初期化する必要のないボリュームを作成できます。 AWS のお客様の多くが他の AWS アカウントとスナップショットを共有していますが、これにはたくさんの理由があるからです。アプリケーション、モニタリング、または管理ツールを事前にバックアップすることで、ゴールデン AMI を一元的に準備および管理したいと考えるかもしれません。災害対策 (DR) 用の場合、会社のポリシーによっては、すべてのバックアップを 1 つの専用アカウントに保存することが必要になる場合があります。これまで、スナップショットを所有する AWS アカウントしか FSR を有効にできませんでした。 本日より、共有しているスナップショットで高速スナップショット復元 (FSR) を有効にできるようになりました。 共有スナップショットで FSR を有効にするには、まず、ソース AWS アカウントでスナップショットを作成します。スナップショットを作成したら、別のアカウントと共有します。これを行うには、[アクション] 、[アクセス許可を変更] の順にクリックします。送信先の AWS アカウント番号を入力し、[アクセス許可を追加]、[保存] の順にクリックします。 送信先のアカウントを接続し、EC2 コンソールに移動します。スナップショットが表示されない場合は、[プライベートスナップショット] オプションが選択されているかどうかを確認します。 […]

 Amazon Elastic Block Store (EBS) スナップショットは、ポイントインタイムスナップショットを取得することにより、EBS ボリューム上のデータを Amazon S3 にバックアップする機能を提供します。Amazon EC2 で Oracle Database を実行し、EBS ボリュームを使用する場合、バックアップ要件を満たすために EBS スナップショットを使用している可能性があります。2019 年 5 月より前は、データベースをバックアップモードにして、データベースファイルを含む各 EBS ボリュームのスナップショットを個別に作成する必要がありました。このアプローチには、主に 3 つの欠点がありました。 データベースと対話する必要があった 複数の API を呼び出して、ボリュームの個別のスナップショットを作成する必要があった バックアップモードでは、データベースブロックは最初に変更されたときにログバッファに完全にコピーされ、これにより、特定のワークロードでより多くの REDO が生成され、データベースのパフォーマンスに影響が出る可能性がある AWS は、1 回の API 呼び出しと最小限の I/O の一時停止で、EC2 インスタンスにアタッチされたすべての EBS ボリュームにわたってクラッシュ整合性のあるスナップショットを作成できる新しい機能を 2019 年 5 月にリリースしました。詳細については、「Amazon EC2 インスタンス上の複数の Amazon EBS ボリュームにわたってクラッシュ整合性のあるスナップショットを取得する」を参照してください。 この機能と Oracle Database […]

クラウドにおける統制をお客様が考慮する場合、基本的な考え方は大きく異なるものではありません。ただし、クラウドならではの統制を考慮すべきケースがあることも事実です。その際には、従来のオンプレミスのやり方を無理にクラウドに当てはめようとしてもうまくは行きません。大事なことはその統制が何を目的としていたのかに立ち返り、その上で、New normal(新しい常識)にあった考え方や実装をすすめる必要性を理解し、実践することです。この投稿では、メディアやデータの廃棄を例として、セキュリティのNew normalを考えていきます。 メディア廃棄における環境の変化 データのライフサイクルに応じた情報資産の管理は多くのお客様の関心事項です。 オンプレミスの統制との変更という観点では、メディア廃棄時の統制は従来のオンプレミス環境とクラウド環境では異なります。オンプレミス環境の利用者はハードウェアの消磁や破砕などを実行することでデータの保全を実行してきました。また、メディア廃棄をサードーパーティに委託し、その廃棄証明の提出をもって“確実な廃棄の証跡”として管理しているケースもありました。 AWSの環境ではセキュリティ責任共有モデルに基づき、クラウドのインフラストラクチャの管理はAWSの統制となるため、お客様はその統制が実施されるていることを評価していく必要があります。お客様はAWSが管理するハードウェアデバイスに物理的にアクセスすることはできないため、従来であれば自組織、場合によってはサードパーティに委託していたメディアの廃棄を自組織の統制範囲として行うことはありません。また、仮想環境のストレージは物理的なハードウェアと異なり、特定の利用者が占有しているとは限らないため、廃棄時に利用者に紐付けた管理や通知を行うことは現実的ではありません。 AWSにおけるメディアの廃棄 AWS データセンターは、セキュリティを念頭に置いて設計されており、統制により具体的なセキュリティが実現されています。ユーザーデータの保存に使用されるメディアストレージデバイスは AWS によって「クリティカル」と分類され、そのライフサイクルを通じて非常に重要な要素として適切に取り扱われます。AWS では、デバイスの設置、修理、および破棄 (最終的に不要になった場合) の方法について厳格な基準が設けられています。ストレージデバイスが製品寿命に達した場合、NIST 800-88 に詳細が説明されている方法を使用してメディアを廃棄します。ユーザーデータを保存したメディアは、安全に停止するまで AWS の統制から除外されることはありません。AWSで扱われるメディアはワイプ処理もしくは消磁処理され、AWSのセキュアゾーンを離れる前に物理的に破壊されます。AWS の第三者レポートに文書化されているように、AWS データセンターに対する第三者の検証によって、AWS がセキュリティ認証取得に必要となるルールを確立するためのセキュリティ対策を適切に実装していることが保証されます。お客様はこうした第三者のレポートをAWS Artifactから入手することが可能です。 AWSにおけるサードパーティの管理 AWSにおいては、本投稿執筆時点（2019年12月19日）においてお客様のコンテンツにアクセス可能なサードパーティーのプロバイダはありません。こうした事実は第三者の検証において評価を得るとともに、AWSのサードパーティアクセスページにおいて公表しており、また、変更がある場合にお客様は通知を受けることも可能です。 目的に立ち返る：なんのために”メディア廃棄”を行うか そもそもメディア廃棄の統制を行う目的は何でしょうか。脅威を踏まえて考えれば、組織の所有する（およびしていた）データが許可なく第三者に漏洩することを防ぐことにあります。メディア廃棄の証明をとることは、メディアの廃棄後も、データが第三者により許可なくアクセスされないことを評価するための手段にほかなりません。お客様にとって重要なことはデータがライフサイクルを通じて確実に保護されることです。メディアの廃棄の証明はその手段のうちの一つ（適切に処理されたことの保証手段）にすぎません。お客様の統制を離れたデータが保護されることを確実にすることに焦点をあてることで、環境がクラウドに変わったとしてもお客様の求める管理目的を達成することが出来るのです。 暗号化を活用したデータの保護と廃棄記録 AWSはお客様に重要なデータやトラフィックの暗号化による保護を推奨しており、そのための機能を提供しています。利用終了後もデータを保護する有効な手段として、暗号化による予防的な統制、そして処理の実行を確実に記録することは強く推奨されます。 暗号化がなぜ有効なのでしょうか。暗号化されたデータはそれを復号するための鍵がなければデータとして復元することが出来ません。暗号化に利用する鍵と暗号化されたデータへのアクセスを分離することで権限のない第三者によるデータへのアクセスを予防することが出来ます。このように暗号化を行い、その鍵を消去することはCryptographic Erase（CE:暗号化消去）としてNIST SP800-88においても紹介されています。 AWSのストレージサービスでは利用開始時にデフォルトで暗号化を行う機能を提供（Amazon EBS, Amazon S3）しています。また、Amazon Key Management Services (KMS)によりお客様の鍵によりデータを暗号化することが可能です。これによりお客様が定義したポリシーで鍵へのアクセスを統制しながら利用状況の証跡を取得することが可能となります。また、AWS Configにより意図しない設定の変更や設定ミスの検知および修正を自動化するといった発見的および是正的な統制を組み込むことも容易です。こうした統制を実施することでAWS上のお客様のデータに対して、ライフサイクルに応じた保護を行うことがより容易になりました。 お客様によるデータ廃棄の統制例 統制の一例として、ストレージ領域をデフォルトで暗号化を行う設定とすることで第三者によるアクセスへの保護を実現します。そしてEBSやS3 Bucketを削除する際には、あわせて当該領域の暗号化に用いた鍵をAWS Lambdaを使用してKMSより削除します。これにより従来行っていた当該データの復号が困難になるとともに廃棄証明の代わりとして、暗号化による保護を実施した記録をお客様自身で自動的に取得、管理することができるようになります。鍵へのアクセスが無くなることで、当然AWSによっても、またお客様も廃棄されたデータへのアクセスはできなくなります。   情報セキュリティを管理するためには目的にあわせた管理策を実施する必要があります。しかし一方で、手段自体が目的化してしまい、それを無理に新しい環境であるクラウドにあてはめてしまうアンチパータンが発生することがあります。本投稿ではメディアの廃棄を一つの例示としてとりあげましたが、セキュリティの管理策を実施するうえでの目的に立ち返り、クラウド上で行う上での妥当性、効果や効率性、そして何よりもクラウドの特性を生かしたさらなるセキュリティの向上を実現することでNew Normalに前向きに取り組むことができます。   このブログの著者 松本　照吾（Matsumoto, Shogo） セキュリティ アシュアランス本部 本部長 […]