Amazon Web Services ブログ

Tag: AWS WAF

AWS Shield 脅威ランドスケープレビュー : 2020 年の振り返り

AWS Shield は、 Amazon Web Services (AWS) で実行されているアプリケーションをボットや分散型サービス拒否 ( DDoS ) 攻撃などの外部の脅威から保護するマネージドサービスです。Shield は AWS リソースに対する DDoS 攻撃、Web コンテンツのスクレイピング、また、通常は人が行うことができないような不正なトラフィックを示す可能性のあるネットワークおよび Web アプリケーション層のボリュームイベントを検出します。 このブログ記事では、より多くのワークロードがクラウドに移行した 2020 年に観測された、ネットワークトラフィックと Web リクエストパターンからボリュームが大きいイベントの傾向を紹介します。また、クラウドアプリケーションに広く適用できる知見と、ゲームアプリケーションに特化した知見が含まれています。さらに、AWS 上で実行するアプリケーションの可用性を守るために実行できるヒントやベスト・プラクティスも紹介します。

Read More
VMware Cloud on AWS

VMware Cloud on AWS で実現するマイクロサービスアーキテクチャとモダンアプリケーション

AWS で Sr. Specialist Solution Architect を務める Sheng Chen による記事です。 VMware Cloud on AWS は、Amazon Web Services (AWS) グローバルインフラストラクチャ上で、 VMware Software-Defined Data Center (SDDC) を展開し、 vSphere ワークロードを実行するための柔軟でスケーラブルなソリューションを提供します。 200 以上の AWS ネイティブ サービスとの統合アクセスにより、VMware Cloud on AWS は、お客様がビジネスの中断を最小限に抑えつつ、アプリケーションのモダナイゼーションジャーニーを加速するのに役立ちます。 具体的には、VMware Cloud on AWS と AWS サービス統合するための独自の機能を利用することで、お客様はアプリケーションの変革とマイクロサービス アーキテクチャへの移行を開始することができます。

Read More

【開催報告】アップデート紹介とちょっぴりDiveDeepするAWSの時間 第五回 (05/14)

みなさんこんにちは!アマゾンウェブサービスジャパン株式会社 ソリューションアーキテクトの桂井です。 2021年5月14日に「第五回 アップデート紹介とちょっぴりDiveDeepするAWSの時間」をオンラインで開催しました。今回も多くのお客様に参加いただき、ありがとうございます。 過去に実施した第一回、第二回、第三回、第四回の様子が気になる方は、それぞれのブログをご覧ください! 第五回の当日の様子と実施内容 当日はなんと100名を超えるお客様にご参加いただきました!AWS側も多くのサポートメンバーが参加しており、チャット欄のコメントも多く賑やかな会となりました。参加者の方々はサービスのアップデートを聞いていただき、疑問が生じたらその場で解消しつつキャッチアップができたのではないかと思います。 当日参加したAWSメンバー(一部) 今回は、セキュリティ特集ということで、AWSのセキュリティサービスやAWS Well-Architected Frameworkの話を含む以下の4セッション 合計1.5時間でお届けしました。 ももこの5分間アップデート 5月のAWSのサービスアップデートを今回から5分に拡張してご紹介。今回は4つPick upします。 ①AWS SaaS Boost released as an open source project ②Amazon QuickSight でしきい値アラートが利用可能に ③Amazon VPC が VPC ピアリングの料金変更を発表 ④AWS Systems Manager の Incident Manager のご紹介 AWS Control Towerが東京リージョンに来たのでご紹介します! 4/9から AWS Control Tower が東京リージョンで使用可能となりました!AWS Control Tower はセキュアなマルチアカウントのAWS環境管理を容易にするサービスで、AWSアカウント作成、開発者の操作による問題発生を防ぐガードレールの設定、複数のAWSアカウントのログの集約、といった機能を備えています。今回は AWS Control Tower の概要、ユースケースについてご紹介します。 2021年度版 […]

Read More

Amazon CloudFront を活用したウェブサイトの可用性向上

Amazon CloudFront は、キャッシュ機能によるオリジンサーバー(CloudFront がコンテンツを取得する元のウェブサーバー)の負荷軽減とコンテンツ配信のパフォーマンス向上を実現できますが、可用性の向上もCloudFrontを活用することで得られる大きなメリットの1つです。CloudFront を利用する対象のウェブサイトのオリジンサーバーがAWS 上に存在する場合、オリジンサーバー側でもELB の活用や複数のアベイラビリティーゾーンの活用など可用性向上の為の様々なアプローチがありますが、CloudFront を利用することで更に高い可用性をウェブサイトにもたらすことが出来ます。 ウェブサイトの可用性を向上することは、ウェブサイトの応答速度の向上と同様にウェブサイトを運営する上で非常に重要な要素です。ウェブサイトの停止は、E コマースサイトでは売り上げに直接影響を及ぼしますし、コーポレートサイトや製品を扱うウェブサイトではブランドイメージや製品そのもののイメージ低下につながりかねません。 ウェブサイトの可用性に影響を及ぼす原因は様々なものがあります。例えば予期せぬハードウェア故障やネットワークの障害が原因となり、ウェブサイトが停止するリスクがあります。全てのコンポーネントを完全に冗長化することでリスクを軽減することが出来ますが、一般的なオンプレミス環境では冗長化の箇所が増える度にコストが大幅に増加する可能性があります。またウェブサイトオーナーは様々なキャンペーンなどの施策により、ウェブサイトのアクセス数の向上を目指しますが、予測を上回るアクセス増により、ウェブサーバーやネットワークが高負荷状態となりウェブサイトが停止するリスクがあります。 さらに外部からのDDoS 攻撃が原因となり、ウェブサイトの可用性に影響を及ぼすリスクがあります。攻撃者は複数のリソース (マルウェアに感染したコンピュータ、ルーター、IoT デバイスなどのエンドポイントで構成される分散グループ) を利用して、ターゲットのウェブサイトへの攻撃を実行します。攻撃者は侵害されたホストで構成されたネットワーク等を利用することにより、大量のパケットやリクエストを生成してターゲットのウェブサイトに過剰な負荷をかけます。たとえ正規のユーザーを想定したサイジングがきちんと出来ていても、悪意のあるトラフィックによる影響で、サーバーやネットワークのキャパシティが埋め尽くされ、ウェブサイトが停止してしまうリスクがあります。 今回はこのような予期せぬ障害やDDoS 攻撃による影響を回避し、ウェブサイトの可用性向上に役立つCloudFront の機能をまとめてご紹介致します。

Read More

AWS上でどのようにゼロトラストアーキテクチャを考えていくか

2021年7月追記: AWSにおけるゼロトラストに関するアップデートされた情報は、以下をご参照ください。 https://aws.amazon.com/jp/security/zero-trust/ また、本Blogを詳細にアップデートしたBlog記事もありますので適宜ご参照ください。 「ゼロトラストアーキテクチャ: AWS の視点」 https://aws.amazon.com/jp/blogs/news/zero-trust-architectures-an-aws-perspective/ —————————————————————– 厳しい規制への対応やリスク回避を考慮事項として擁するお客様は、レガシーアプリケーションのリファクタリングや新しいアプリケーションのデプロイに際し、ゼロトラストアーキテクチャに関心を向けることがあります。このブログでは、お客様がお客様のアプリケーションを評価し、ゼロトラストの原則とAmazon Web Services (AWS)を利用して安全でスケーラブルなアーキテクチャを構築するための手助けを行います。 ゼロトラストとは? ゼロトラストセキュリティとは、アプリケーションのコンポーネントやマイクロサービスが互いに分離しており、どのコンポーネントやマイクロサービスも他のコンポーネントやマイクロサービスを信頼していないというモデルです。これは、あらゆるソースからの入力を潜在的に悪意のあるものとみなすように設計されたセキュリティの考え方です。基礎となる内部ネットワーク・ファブリックを信頼しないことから始まり、さらにすべてのマイクロサービスにおける入力と出力の評価におよびます。加えて、個々のコンポーネント、マイクロサービス、またはアイデンティティの侵害から保護するために、多層防御アプローチを設計することも含まれます。 (訳者注:ゼロトラストは特定の製品やソリューションを指すものではなく多層的なセキュリティ手法を踏まえた概念として、現在アメリカ国立技術標準研究所(NIST)においても、SP800-207(本blog執筆時点においてはドラフト)として定義化が進められています。) 伝統的なネットワークセキュリティの設計は、セキュリティの境界に依拠します。境界内のすべてのものは信頼され、境界外のものは信頼できないものとみなされます。ゼロトラストネットワークは、ビジネスデータや機密リソースへの意図しないアクセスのリスクを低減するために、リアルタイムですべてのアクションとリソースを評価します。 ゼロトラストの原則を用いたAWS上での設計 ゼロトラストアーキテクチャをよりよく理解するために、脅威モデリングにより、従来のアーキテクチャやクラウドネイティブアーキテクチャとを比較してみましょう。脅威モデリングは、ユーザーはすべての潜在的な攻撃の可能性を評価してリスクを定義し、管理策を決定するための試みです。脅威モデルの一つであるSTRIDEでは、以下のようなカテゴリの脅威を特定しています。 ユーザーIDのなりすまし(Spoofing) データの改ざん(Tempering) ソースの否認(Repudiation) 情報漏洩(Information Disclosure) サービスの拒否(Denial of Service) 特権の昇格(Elevation of Privilege) AWSのベストプラクティスアーキテクチャ AWSでは、AWS上でWell-Architectedなアプリケーションを設計するための基礎となるツールを提供しています。AWS Well-Architected Frameworkは、AWSのベストプラクティスとワークロードを比較し、安定的かつ効率的なシステムを構築するためのガイダンスを得るための戦略を紹介しています。Well-Architected Frameworkには、セキュリティを含む5つの明確な柱が含まれています。このフレームワークを基に、ゼロトラストをAWSアーキテクチャに適用した例としてWebアプリケーションを考えてみましょう。 図1: Webサイトホスティングの例 表現されているアーキテクチャは、セキュリティを考慮したWell architectedの一例です。システムは、以下のサービスを活用して一般的な攻撃ベクターから保護されています。 Elastic Load Balancing (ELB)/Application Load Balancer (ALB)による負荷分散により、複数のアベイラビリティゾーンとAmazon Elastic Compute Cloud (Amazon EC2) Auto Scalingグループに負荷を分散し、サービスの冗長化と疎結合を実現します。 AWSのSecurity Groupを利用した仮想ファイアウォールでは、インスタンスにセキュリティを移動させ、Webサーバとアプリケーションサーバの両方にステートフルなホストレベルのファイアウォールを提供します。 […]

Read More