re:Invent 2017 11/27

AWS, re:Invent, re:Invent2017, serverless, セキュリティ

この記事は最終更新日から1年以上が経過しています。

re:Invent 1日目 レポート

初日は以下の3つのセッションに参加しました。

  • FSV301 – Security Anti-Patterns: Mistakes to Avoid
  • SRV314 – Building a Serverless Pipeline to Transcode a Two-Hour Video in Minutes
  • ABD203 – Real-Time Streaming Applications on AWS: Use Cases and Pataterns

記事の内容は主にFSV301とSRV314 の内容となっています。

FSV301 – Security Anti-Patterns: Mistakes to Avoid

アンチパターンを以下の4種類に分類

  • Account Structure
  • Network Design
  • InfoSec Auditing
  • Software Delivery

re:Invent2017 Security Anti-Patterns

Account Structure

アンチパターン

  • 個人のメールを登録
  • 個人の端末にMFAを設定
  • 複雑な構成にする
    • 1つのアカウントに複数システムがある
    • 担当者がそれぞれいる<

ベスト・プラクティス

  • メールはグループアドレスを使用する
  • MFAは専用のハードウェア端末を使用
  • MFAは専用のハードウェアを利用する
  • IAMロールを使用する
  • ビジネス、資本、開発などの観点でサービスやシステムの単位でアカウントを分ける

re:Invent2017 ベスト・プラクティス1

re:Invent2017 ベスト・プラクティス2

Network Design

アンチパターン

  • セキュアでないルーティングの設定
  • もぐらたたきのようなダイナミックIPの使用
  • エンドユーザを識別できない
  • ハイスケーラブルでない

re:Invent2017 Network Design Anti-Patterns

ベスト・プラクティス

  • AuthNとAuthZの実装
    • 特にコアサービスを対象にする
    • ハイスケーラブルで検査可能にする
    • エッジサービスを組み合わせ強固な防御にする

re:Invent2017 Network Design Best

InfoSec Auditing

アンチパターン

  • 一部のカスタマーが検査をする
  • 特定の時点で行う
    • 継続はしない
  • スタンダートに基づかない
  • 独立した認証ではない
  • ハイスケーラブルではない
  • マネージドサービスを利用しない

re:Invent2017 Security Anti-Patterns

re:Invent2017 Security Anti-Patterns

ベスト・プラクティス

  • SOC2 や PCI DSS などで証明
  • 第3者機関で認定を繰り返し実施する
  • 利用するサービスをマネージドサービスを利用
    • マネージドサービスを利用ことでよりセキュアになるとのこと

re:Invent2017 Security Anti-Patterns

re:Invent2017 Security Anti-Patterns

Software Delivery

アンチパターン

  • DEV,QA,OPSがそれぞれ分かれている
  • 手動のプロセス
  • CI/CDが論理的に切り離せない
  • 細かい操作と補助
  • デプロイ後のセキュリティチェック
  • たまにしか行われないリリース
  • たまにしか行われないパッチ適用

ベスト・プラクティス

  • 小規模なDevOpsを実施しする
    • Develop
    • Automated Delivery
    • Automated Tests Code Review
    • Automated Deployment
    • Automated Monitoring
    • Change Request

re:Invent2017 Security Anti-Patterns

re:Invent2017 Security Anti-Patterns

key takeaway

re:Invent2017 Security Anti-Patterns

SRV314 – Building a Serverless Pipeline to Transcode a Two-Hour Video in Minutes

Serverlessとは

  • No servers to provision or manage
    • サーバを管理しない
  • Scales with usage
    • 使用度でスケールする
  • Never pay for idle
    • アイドル状態で課金しない
  • Availability and fault tolerance built in
    • 可用性とフォルトトレランスが組み込まれている

re:Invent2017 Security Anti-Patterns

  • Serverless の基本的な部分について紹介

re:Invent2017 Security Anti-Patterns

  • 一般的なユースケース
    • Web applications
    • Backends
    • Data processing
    • Chatbots
    • Amamzon Alexa
    • IT automation

re:Invent2017 Security Anti-Patterns

トランスコードアーキテクチャ

  • TSファイルを生成し、そのファイルから各フォーマットへ変換

re:Invent2017 Security Anti-Patterns

Chunk Function

  • 動画の小さい部分をデコード
  • 望まれるフォーマットやビットレートでトランスコード
  • S3に配置

re:Invent2017 Security Anti-Patterns

最後に

1日まわってみて、初日は会場に慣れるので精一杯でした。
ベネチアンとアリアを移動していましたが、
シャトルバスに列に100人以上並んでいて20〜30分待たされその上移動に30〜40分かかるのでホテル間を移動するのに40〜60分ほどかかるような状況でした。
同じ日に何度も移動はできないので、移動が少ないスケジュールの方が良さそうです。

この記事を書いた人

高橋克幸
高橋克幸
新卒3年目で脱新人を目指してます。
フロントに興味を持ち始めた今日このごろ。
趣味は 麻雀 プログラミング 音楽。
運動不足を感じているため、ダンスを始めようかと思っています。

AWS, re:Invent, re:Invent2017, serverless, セキュリティ