Uploaded bymorisshi
PDF, PPTX3,477 views

Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Develipers.IO 2016 資料

Embed presentation

Download as PDF, PPTX
Developers.IO 2016 E-1 森永 大志 AWSソリューションアーキテクト Ⓒ Classmethod, Inc. 2016年02月20日 AWS Configを使った AWS環境の見える化 1 #cmdevio2016
自己紹介 2
森永 大志 (@morimoritaitai) AWSソリューションアーキテクト ✤ 趣味 : ゲーム(全般) / 酒 / カメラ ✤ 興味 : DevOps / Security AWS認定資格 Solutions Architect - Professional Developer -Associate SysOps Administorator - Associate
最近はもっぱら娘の写真を撮ってます。
AWS Config 5
Ⓒ Classmethod, Inc. AWS Configで出来ること • 構成情報のスナップショットの取得 • 構成情報、変更履歴の検索、閲覧 • 作成、変更、削除された際の通知 • AWSリソース間の関係性の確認 6
– Joshua Du Lac Senior Security Consultant , Amazon Web Services Security geeks should LOVE it!
Ⓒ Classmethod, Inc. 現在対応しているAWSリソース 2016/2/20現在対応リソース 8 Resource Type Resource Amazon EC2 EC2 インスタンス EC2 Network Interface EC2 セキュリティグループ EC2 Elastic IP (VPC のみ) EC2 Dedicated Hosts Amazon VPC カスタマーゲートウェイ インターネットゲートウェイ ネットワーク ACL ルートテーブル サブネット VPC VPN ゲートウェイ VPN 接続 Resource Type Resource Amazon EBS 汎用 (SSD) ボリューム プロビジョンド IOPS (SSD) ボリューム マグネティックボリューム AWS CloudTrail Trail AWS IAM IAM ユーザー IAM グループ IAM ロール IAM 管理ポリシー (カスタマー管理型のみ) New!
対応リソースが増えることを 切に願います。 ひとまずRDSを… 9
ユースケース 10
Ⓒ Classmethod, Inc. AWSリソースの構成管理 • 一覧でAWSリソースを確認出来る • 削除されたリソースについても追跡可能 11
Ⓒ Classmethod, Inc. 監査、コンプライアンス • いつ、どのように変更されたかを記録するので証跡と して利用可能 • PCI DSSのような規格に準拠するためにも必要 12
Ⓒ Classmethod, Inc. トラブルシューティング • 設定ミスはインシデント発生原因のひとつ • 関連するAWSリソースも れるのでトラブルシュー トしやすい 13
ゴチャゴチャしやすいAWSリソースを 簡単に「見える化」出来る! 14
ゴチャゴチャしやすいAWSリソースを 簡単に「見える化」出来る! 15
Ⓒ Classmethod, Inc. 設定は非常に簡単 16
Ⓒ Classmethod, Inc. 設定は非常に簡単 17
Ⓒ Classmethod, Inc. 設定は非常に簡単 18 どのリソースを記録するか どのバケットにログを残すか
Ⓒ Classmethod, Inc. 設定は非常に簡単 19 どのSNSトピックで通知するか 通知しない、という設定も可能
Ⓒ Classmethod, Inc. 設定は非常に簡単 20 Configに与える権限の設定 よしなにやってくれるので「許可」押すだけ
Ⓒ Classmethod, Inc. 設定は非常に簡単 21
Ⓒ Classmethod, Inc. 設定は非常に簡単 22
あとは放っとけば勝手に 記録してくれます。 23
Configはどう動くのか 24 エンジニア向け
Ⓒ Classmethod, Inc. 用語説明 •Configuration Item •個々のAWSリソースに対する一回の設定変更の内容 •Configuration Recorder •構成情報を記録するための主体。DescribeやListなどのAPIを呼んで構成情 報を確認する。 •Configuration History •各リソース毎、6時間おきにS3に配置されるConfiguration Itemをまとめ たファイル •Delivery Channel •S3やSNSなどのログ保管や通知先 •Relationships •AWSリソース間の関連性(EC2インスタンスはVPCやサブネット等と関連 している) 25
Ⓒ Classmethod, Inc. AWS ConfigをONにする • ログ保管先のS3と通知するためのSNSを設定 • Delivery Channelの作成 • Read系の権限とS3、SNSアクセス出来るIAM作成 • Configuration Recorderの設定 26 Delivery Channel Configuration Recorder
Ⓒ Classmethod, Inc. 初回の設定情報収集 • 初回設定時に対応しているAWSリソースの設定情報 を収集する • 初回は全てのConfiguration Itemを収集 27 EC2 VPC CloudTrail IAM EBS Configuration Item AWSリソース
Ⓒ Classmethod, Inc. 設定変更時 • 設定変更をトリガに変更されたAWSリソースの構成 情報を収集する • 新たなConfiguration Item収集 • Configuration Itemには関連するAWSリソースも 記載されているので、そちらの構成情報も取得する 28 Security Group 変更! VPC NetworkInterface EC2 Instance Configuration Item 収集
Ⓒ Classmethod, Inc. (TIPS)差分を見るAPIは? • Configuration Itemの差分をAWS Configが取っ ているだけで、APIは存在していない。 29 Configuration Item Config 1 AAAAA Config 2 BBBBB Configuration Item Config 1 AAAAA Config 2 CCCCC
Ⓒ Classmethod, Inc. (TIPS)差分を見るAPIは? • Configuration Itemの差分をAWS Configが取っ ているだけで、APIは存在していない。 30 Configuration Item Config 1 AAAAA Config 2 BBBBB Configuration Item Config 1 AAAAA Config 2 CCCCC 変更点!
でもConfigって設定や設定変更を 見える化するだけだよね? 31
結局それが正しい設定か 人間が判断しないといけないよね? 32
ごもっともです。 33
そんなあなたに朗報です。 34
AWS Config Rules 35
Ⓒ Classmethod, Inc. AWS Config Rulesで出来ること • AWS Configで記録した設定が正しいかを判定する ルールを設定できる • 例えば、 • セキュリティグループがフルオープン!(あるある) • タグの付け忘れ!(Billingで集計できない。。。) • 正しくないものは正しくないと自動で判定 36
Ⓒ Classmethod, Inc. ルールの種類 • マネージドルール • AWSが提供しているルール • あるあるなものを用意してくれています • カスタムルール • 自分で自由に作れるルール • 判定する機構はLambdaで作成 • Lambdaなので作りこめば相当いろいろ出来る 37
Ⓒ Classmethod, Inc. 提供されているマネージドルール • CloudTrailが有効化されているか • EIPがインスタンスにアタッチされているか • EBSが暗号化されているか • SSHポートが開放されていないか • EC2がVPC内に作成されているか • ○○というタグを付けているか • ○○番ポートが開放されていないか 38
Ⓒ Classmethod, Inc. 設定は非常に簡単 • AWS Configの有効化は前提 • 残念ながら現在(2016/02/20)はバージニアリー ジョンのみ対応です。。。 39
Ⓒ Classmethod, Inc. 設定は非常に簡単 40 お好きなルールをどうぞ
• マネージドルールでの設定はパラメータ設定くらい Ⓒ Classmethod, Inc. 設定は非常に簡単 41 この場合CloudTrailのログ保管先のバケットが 正しいかなどを指定できる
• 問題なければ「Compliant」 • 問題ありなら「* noncompliant resource(s)」 Ⓒ Classmethod, Inc. 設定は非常に簡単 42
Ⓒ Classmethod, Inc. カスタムルール • Lambdaで判定部分を記述する • Node.js / Java / Pythonのいずれかで記述する • Lambdaをしっかり理解していないと少し難しい。。。 43
エコシステム 44
Ⓒ Classmethod, Inc. 公式に連携しているアプリケーション • 2nd Watch • AlertLogic • CloudCheckr • CloudHealth • Cloudnexa • Evident.io • Loggly • Logstorage • Red Hat • RedSeal • Service Now • Splunk • Trend Micro 45
Ⓒ Classmethod, Inc. Logstorage 46 http://www.logstorage.com/welcome/awsconfig_pack.html
Ⓒ Classmethod, Inc. Logstorage 47 http://www.logstorage.com/welcome/awsconfig_pack.html ブログ書いてます! http://dev.classmethod.jp/cloud/aws/aws-logstorage-config/
Ⓒ Classmethod, Inc. Logstorage 48 http://www.logstorage.com/welcome/awsconfig_pack.html 他にも検証して欲しい製品あれば 検証してブログ書きます!
Ⓒ Classmethod, Inc. DeepSecurityとの連携 • ConfigRulesでDeepSecurityの設定がセキュリティ ポリシーに適しているか確認できます。 49 https://github.com/deep-security/aws-config
Ⓒ Classmethod, Inc. DeepSecurityとの連携 • 不正プログラム対策がなされていなければ Noncompliantとなる 50
Ⓒ Classmethod, Inc. DeepSecurityとの連携 • 不正プログラム対策がなされていなければ Noncompliantとなる 51 ブログ書きます!
他の製品と組み合わせると 更に強力なツールになります! 52
まとめ 皆様是非AWS Configを使ってやって下さい。 本当にいい子なんです。 53Ⓒ Classmethod, Inc.
まとめ AWS Config単体では不安なところもあります。 AWS CloudTrailでのAPI証跡 TrustedAdvisorでのコスト最適化 Inspectorでの脆弱性診断 等と組み合わせて安全安心のAWS環境を目指しましょう! 54Ⓒ Classmethod, Inc.
Developers.IO 2016 ご静聴ありがとうございました。 スライドは後ほどブログで公開します。 56 E-1 Ⓒ Classmethod, Inc. #cmdevio2016

More Related Content

PDF
Sophos UTM 9のAutoscalingを試してみた
bymorisshi
 
PPTX
Amazon Inspectorについて
byAmazon Web Services Japan
 
PPTX
セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう_公開修正版
byShinodaYukihiro
 
PDF
AWS Black Belt Online Seminar 2017 AWS WAF
byAmazon Web Services Japan
 
PPTX
Awsでのsql高可用構成 Always On
byssuser79e118
 
PDF
Config rulesを1年ほど使い続けて分かったこと
byqtomonari
 
PPTX
20150901 ops jaws_araya_v2
byMitsuru Araya
 
PDF
OpsJAWS 20160128
byhideaki yanase
 
Sophos UTM 9のAutoscalingを試してみた
bymorisshi
 
Amazon Inspectorについて
byAmazon Web Services Japan
 
セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう_公開修正版
byShinodaYukihiro
 
AWS Black Belt Online Seminar 2017 AWS WAF
byAmazon Web Services Japan
 
Awsでのsql高可用構成 Always On
byssuser79e118
 
Config rulesを1年ほど使い続けて分かったこと
byqtomonari
 
20150901 ops jaws_araya_v2
byMitsuru Araya
 
OpsJAWS 20160128
byhideaki yanase
 

What's hot

PDF
AWSにおけるセキュリティの考え方
bymorisshi
 
PDF
AWS Black Belt Online Seminar 2016 AWS IoT
byAmazon Web Services Japan
 
PDF
運用視点でのAWSサポート利用Tips
byNoritaka Sekiyama
 
PDF
AWS運用における最適パターンの徹底活用
byJustSystems Corporation
 
PDF
いまさら聞けないAWSクラウド - Java Festa 2013
bySORACOM, INC
 
PDF
AWS WAF Security Automation
byHayato Kiriyama
 
PDF
aws blackbelt amazon elasticsearch service
byAmazon Web Services Japan
 
PDF
AWS Black Belt Online Seminar 2017 IoT向け最新アーキテクチャパターン
byAmazon Web Services Japan
 
PDF
JAWS-UG CLI専門支部 #76 Amazon AppStream 2.0 入門
byNobuhiro Nakayama
 
PDF
IVS_CTO_Night_and_Day_2016_Morning_Session_B-4_hkiriyam
byHayato Kiriyama
 
PDF
AWS Black Belt Online Seminar AWSサービスを利用したアプリケーション開発を始めよう
byAmazon Web Services Japan
 
PDF
aws-multiaccount-notify
bykota tomimatsu
 
PDF
Ops jaws meetup#3
byTomoaki Sakatoku
 
PDF
AWS Black Belt Tech シリーズ 2016 - AWS Well Architected Program
byAmazon Web Services Japan
 
PDF
JAWS DAYS 2015 OpsWorks Aceに聞け
by晋也 古渡
 
PPTX
Aws向け監視ソリューション比較
byNaoya Hashimoto
 
PDF
AWS re:Inforce reCap 注目のサービス
byAi Hayakawa
 
PPTX
20211111 Security-JAWS Introduction
byTyphon 666
 
PDF
まる見え、AWS!! - JAWS UG 2015 -
byTomoaki Sakatoku
 
PDF
JAWS DAYS 2017 [AWSワークショップ] AWS初心者いらっしゃい
byiwata jaws-ug
 
AWSにおけるセキュリティの考え方
bymorisshi
 
AWS Black Belt Online Seminar 2016 AWS IoT
byAmazon Web Services Japan
 
運用視点でのAWSサポート利用Tips
byNoritaka Sekiyama
 
AWS運用における最適パターンの徹底活用
byJustSystems Corporation
 
いまさら聞けないAWSクラウド - Java Festa 2013
bySORACOM, INC
 
AWS WAF Security Automation
byHayato Kiriyama
 
aws blackbelt amazon elasticsearch service
byAmazon Web Services Japan
 
AWS Black Belt Online Seminar 2017 IoT向け最新アーキテクチャパターン
byAmazon Web Services Japan
 
JAWS-UG CLI専門支部 #76 Amazon AppStream 2.0 入門
byNobuhiro Nakayama
 
IVS_CTO_Night_and_Day_2016_Morning_Session_B-4_hkiriyam
byHayato Kiriyama
 
AWS Black Belt Online Seminar AWSサービスを利用したアプリケーション開発を始めよう
byAmazon Web Services Japan
 
aws-multiaccount-notify
bykota tomimatsu
 
Ops jaws meetup#3
byTomoaki Sakatoku
 
AWS Black Belt Tech シリーズ 2016 - AWS Well Architected Program
byAmazon Web Services Japan
 
JAWS DAYS 2015 OpsWorks Aceに聞け
by晋也 古渡
 
Aws向け監視ソリューション比較
byNaoya Hashimoto
 
AWS re:Inforce reCap 注目のサービス
byAi Hayakawa
 
20211111 Security-JAWS Introduction
byTyphon 666
 
まる見え、AWS!! - JAWS UG 2015 -
byTomoaki Sakatoku
 
JAWS DAYS 2017 [AWSワークショップ] AWS初心者いらっしゃい
byiwata jaws-ug
 

Viewers also liked

PDF
Black Belt Online Seminar Amazon Cognito
byAmazon Web Services Japan
 
PPTX
EC2 Systems Managerはいいぞ
bykoki abe
 
PDF
Docker活用パターンの整理 ― どう組み合わせるのが正解?!
byEtsuji Nakai
 
PDF
HGConcept-ITOM-Service Centric Operations
byHGConcept Inc.
 
PDF
HGConcept-CMDB-Service Design
byHGConcept Inc.
 
PDF
3分でわかる Azure Managed Diskのしくみ
byToru Makabe
 
PPTX
PostgreSQL画像データ収集・格納
byAyumi Ishii
 
PDF
PPC Campaign Guide for a Successful B2B Marketing Campaign Launch
byRosemary Brisco
 
PPTX
本当は怖いデータ復元
byf kasasagi
 
PPTX
C-Arm Price Guide 2017
byAtlantis Worldwide LLC
 
PPTX
2016年8月のAWSサービスアップデートまとめ
byAmazon Web Services Japan
 
PPTX
Premier night3 devopsことはじめ
by淳 千葉
 
PPTX
確率的バンディット問題
byjkomiyama
 
PPTX
Errores de comunicación en Fisioterapia
byLuis Torija Lopez
 
PDF
Docker勉強会2017 実践編 スライド
byShiojiri Ohhara
 
PDF
20150205 schoo Webディレクションに必要なスキルセットとマインドセット
bySatoru MURAKOSHI
 
PPTX
How I Built my Community 'Radio' - and a career in digital media and WordPress
byNagesh Pai
 
PPTX
Киберспортвная криптовалюта на базе собственного блокчейна
bySergey Skabelkin
 
PDF
SNS時代のスパム手法
byKiyoshi SATOH
 
PDF
文書をコードとして扱う
byRecruit Technologies
 
Black Belt Online Seminar Amazon Cognito
byAmazon Web Services Japan
 
EC2 Systems Managerはいいぞ
bykoki abe
 
Docker活用パターンの整理 ― どう組み合わせるのが正解?!
byEtsuji Nakai
 
HGConcept-ITOM-Service Centric Operations
byHGConcept Inc.
 
HGConcept-CMDB-Service Design
byHGConcept Inc.
 
3分でわかる Azure Managed Diskのしくみ
byToru Makabe
 
PostgreSQL画像データ収集・格納
byAyumi Ishii
 
PPC Campaign Guide for a Successful B2B Marketing Campaign Launch
byRosemary Brisco
 
本当は怖いデータ復元
byf kasasagi
 
C-Arm Price Guide 2017
byAtlantis Worldwide LLC
 
2016年8月のAWSサービスアップデートまとめ
byAmazon Web Services Japan
 
Premier night3 devopsことはじめ
by淳 千葉
 
確率的バンディット問題
byjkomiyama
 
Errores de comunicación en Fisioterapia
byLuis Torija Lopez
 
Docker勉強会2017 実践編 スライド
byShiojiri Ohhara
 
20150205 schoo Webディレクションに必要なスキルセットとマインドセット
bySatoru MURAKOSHI
 
How I Built my Community 'Radio' - and a career in digital media and WordPress
byNagesh Pai
 
Киберспортвная криптовалюта на базе собственного блокчейна
bySergey Skabelkin
 
SNS時代のスパム手法
byKiyoshi SATOH
 
文書をコードとして扱う
byRecruit Technologies
 

Similar to Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

PDF
JAWS-UG 初心者支部 #31 監視編 サーバーのモニタリングの基本を学ぼう
byHiroki Uchida
 
PDF
20170725 black belt_monitoring_on_aws
byAmazon Web Services Japan
 
PDF
Windows 開発者のための Dev&Ops on AWS
byAmazon Web Services Japan
 
PDF
20140924イグレックcioセミナーpublic
byjunkoy66
 
PDF
AWS初心者向けWebinar AWSクラウドでのWindowsの実行
byAmazon Web Services Japan
 
PPTX
AWSサービス 140+α ざっくり説明(2019年版)
byHiroyuki Numao
 
PDF
AWS におけるモニタリングとセキュリティの基本について - "毎日のAWSのための監視、運用、セキュリティ最適化セミナー" -
byTakanori Ohba
 
PDF
Programming AWS with Perl at YAPC::Asia 2013
byYasuhiro Horiuchi
 
PPTX
re:Inventで発表された新サービス「Config Rules」の可能性
bymorisshi
 
PPTX
Security Operations and Automation on AWS
byNoritaka Sekiyama
 
PDF
Amazon Web Servicesで未来へススメ!
byGenta Watanabe
 
PPTX
20121221 AWS re:Invent 凱旋報告
by真吾 吉田
 
PDF
JAWS-UG Meets Windows (JAWS Days 2017)
byAmazon Web Services Japan
 
PDF
Management & Governance on AWS こんなこともできます
byAmazon Web Services Japan
 
PDF
JAWS DAYS 2020 AWS Well-Architected Frameworkの使いドコロとオートメーション化へのチャレンジ
byKwiil Kang
 
PDF
Aws meister-cloud formation-summit2012
byAkio Katayama
 
PDF
20120303 jaws summit-meister-04_cloud_formation
byAmazon Web Services Japan
 
PDF
【勉強会資料】ネットワークアクセス制御(管理編) for PCI DSS
byNobuhiro Nakayama
 
PDF
AWS サービスアップデートまとめ 2014年7月
byYasuhiro Horiuchi
 
PPTX
Compliance as code jaws Oita 170826
byShogo Matsumoto
 
JAWS-UG 初心者支部 #31 監視編 サーバーのモニタリングの基本を学ぼう
byHiroki Uchida
 
20170725 black belt_monitoring_on_aws
byAmazon Web Services Japan
 
Windows 開発者のための Dev&Ops on AWS
byAmazon Web Services Japan
 
20140924イグレックcioセミナーpublic
byjunkoy66
 
AWS初心者向けWebinar AWSクラウドでのWindowsの実行
byAmazon Web Services Japan
 
AWSサービス 140+α ざっくり説明(2019年版)
byHiroyuki Numao
 
AWS におけるモニタリングとセキュリティの基本について - "毎日のAWSのための監視、運用、セキュリティ最適化セミナー" -
byTakanori Ohba
 
Programming AWS with Perl at YAPC::Asia 2013
byYasuhiro Horiuchi
 
re:Inventで発表された新サービス「Config Rules」の可能性
bymorisshi
 
Security Operations and Automation on AWS
byNoritaka Sekiyama
 
Amazon Web Servicesで未来へススメ!
byGenta Watanabe
 
20121221 AWS re:Invent 凱旋報告
by真吾 吉田
 
JAWS-UG Meets Windows (JAWS Days 2017)
byAmazon Web Services Japan
 
Management & Governance on AWS こんなこともできます
byAmazon Web Services Japan
 
JAWS DAYS 2020 AWS Well-Architected Frameworkの使いドコロとオートメーション化へのチャレンジ
byKwiil Kang
 
Aws meister-cloud formation-summit2012
byAkio Katayama
 
20120303 jaws summit-meister-04_cloud_formation
byAmazon Web Services Japan
 
【勉強会資料】ネットワークアクセス制御(管理編) for PCI DSS
byNobuhiro Nakayama
 
AWS サービスアップデートまとめ 2014年7月
byYasuhiro Horiuchi
 
Compliance as code jaws Oita 170826
byShogo Matsumoto
 

Recently uploaded

PDF
歴史好きのスクラム話 JBUG名古屋#5 AI時代のデータドリブンなプロジェクト管理
byTatsuya Naiki
 
PDF
How We Operated Ticket-Driven Development in JIRA.pdf
byakipii ogaoga
 
PDF
論文紹介:"MM-Tracker: Motion Mamba for UAV-platform Multiple Object Tracking", "M...
byToru Tamaki
 
PDF
論文紹介:"Reflexion: language agents with verbal reinforcement learning", "MA-LMM...
byToru Tamaki
 
PDF
論文紹介:Simultaneous Detection and Interaction Reasoning for Object-Centric Acti...
byToru Tamaki
 
PDF
手軽に広範囲でプライバシーを守りながら人数カウントできる ~ LoRaWAN AI人流カウンター PF52 日本語カタログ
byCRI Japan, Inc.
 
PDF
LoRaWAN小売業DXソリューション ~天候データと人流カウンターを利用して売り上げアップに貢献!
byCRI Japan, Inc.
 
歴史好きのスクラム話 JBUG名古屋#5 AI時代のデータドリブンなプロジェクト管理
byTatsuya Naiki
 
How We Operated Ticket-Driven Development in JIRA.pdf
byakipii ogaoga
 
論文紹介:"MM-Tracker: Motion Mamba for UAV-platform Multiple Object Tracking", "M...
byToru Tamaki
 
論文紹介:"Reflexion: language agents with verbal reinforcement learning", "MA-LMM...
byToru Tamaki
 
論文紹介:Simultaneous Detection and Interaction Reasoning for Object-Centric Acti...
byToru Tamaki
 
手軽に広範囲でプライバシーを守りながら人数カウントできる ~ LoRaWAN AI人流カウンター PF52 日本語カタログ
byCRI Japan, Inc.
 
LoRaWAN小売業DXソリューション ~天候データと人流カウンターを利用して売り上げアップに貢献!
byCRI Japan, Inc.
 

Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」