まえがき
みなさん、こんにちは大阪オフィスの上地です。
2024年1月29日(月)「Well Architected Mini Bootcamp for iret(セキュリティの柱)」というAWS主催のオフライン形式のセミナーに参加してきましたので、体験レポートを書いていきたいと思います!
この記事がAWS Well-Architected フレームワークを理解するための、一助になればとても嬉しいです。
「Well Architected Mini Bootcamp for iret」とは?
AWSがAPN(AWS Partner Network)の一員である企業を対象に定期的に実施している「AWS Well-Architected Partner Program Bootcamp」の特別版です。
Mini Bootcampについては以前にも、弊社メンバーが参加した記事がありますのでご興味あればぜひ見てみてください。
『AWS Partner Tech Study Day 2023(W-A Mini Bootcamp 運用上の優秀性の柱)』への参加報告
※そもそも「AWS Well-Architected Partner Program Bootcamp」とは?
架空の企業のシナリオをもとに、AWS Well-Architected フレームワークに沿って、チームで現状(As is) のベストプラクティスの適用状況を分析し、将来 (To be) のアーキテクチャーを検討するワークショップです。
今回のセミナーでは、通常のBootcampよりもコンパクトな形式で実戦形式で学ぶことができました!
セミナーの受講レベル
本来通常開催されている「AWS Well-Architected Partner Program Bootcamp」や「Mini Bootcamp」は、AWS Certified Solutions Architect – Professinal相当の知識を持つエキスパート向けのセミナーです。
しかし今回はAWS Certified Solutions Architect – Associate相当の知識を持つ方向けで募集がされていました。
AWS Well-Architected フレームワークとは?
クラウド上でアプリケーションやシステムを設計・運用する際の重要な概念、設計原則、ベストプラクティスを集約したものです。
主に6つの柱が定義されております。
優れた運用効率
セキュリティ ←← ※今回のテーマはこちら
信頼性
パフォーマンス効率
コストの最適化
持続可能性
上述のフレームワークに沿ったクラウドアーキテクチャを目指すことで、システムの効率性、信頼性、セキュリティなどを高めることができます。
今回のMini Bootcamp for iretでは6つの柱の内、
「セキュリティの柱」に記載されている設計原則・ベストプラクティスに従って、実践形式でWell-Architectedレビューを実施していきます。
このペーパーの実践方法を採用することで、データとシステムを保護し、アクセスを制御し、セキュリティ イベントに自動的に対応するアーキテクチャを構築できます。
参考:(セキュリティの柱 – AWS Well-Architected フレームワーク)より引用
セミナーの概要
- セミナー名:「Well Architected Mini Bootcamp for iret」
- テーマ:「セキュリティの柱」
- 開催日時
- 2024年1月29日(月)15:00〜19:00
- 場所
- アマゾン ジャパン本社(目黒雅叙園アルコタワー・アネックス)
- 弊社の参加メンバー
- 事業部の垣根を超えて、23名のメンバーで参加させて頂きました。
- クラウドインテグレーション事業部 16名
- アジャイル事業部 4名
- カスタマー支援事業部 3名
- 事業部の垣根を超えて、23名のメンバーで参加させて頂きました。
また講師としてAWS尾崎さんに進行いただき、AWS嶋田さん・iret高橋(修)さんが参加者フォロー という体制で開催されました。
Mini Bootcamp開始
当日のスケジュール
| 時刻 | 内容 |
|---|---|
| 15:15~15:35 | ルール説明とお題読み込みタイム |
| 15:35~16:35 | グループディスカッションタイム |
| 16:35~16:45 | 休憩 |
| 16:45~17:45 | 発表とQA |
| 17:45~18:00 | wrap-up |
| 18:00~19:00 | なんでも相談会 |
まず初めに講師の方から、Well-Architected フレームワークや本イベントの概要などの説明がありました。
Well-Architected フレームワーク6つの柱などの基本的な用語の説明は少なめでした。
ある程度、受講者には知識がある前提の内容であったなと感じました。
Well-Architectedレビューの進行方法
大まかな流れは以下のように進んでいきました。
- チームの編成
- 自己紹介
- 与えられたシナリオの読み込み(各自)
- Well-Architectedレビューの実施(各チーム内)
- As-Is(問題点の抽出)
- To-Be(理想の状態)
- Well-Architectedレビューの発表(各チームごと)
- 質疑応答&ディスカッション
1. チームの編成
今回セミナーの参加者総勢22名を4名と3名グループ構成でチームを編成し、Mini Bootcampが進んでいきました。
2.自己紹介
今回は事業部を跨いでの参加メンバーが多かったため、初めて顔を合わせる人もおりとても貴重な機会となり大変良かったです!
3.与えられたシナリオの読み込み(各自)
※「与えられたシナリオ(架空の企業のシナリオ)」はネタバレとなるため省略させて頂きます?
シナリオ読み込みの時間が約7分だったのですが、
テキスト量の体感としては「AWS Certified Solutions Architect – Professional」の認定試験で出題されたユースケースの3倍程ありました。
少し時間足りない所感で読み進めていました。参加メンバーも全集中で取り組んでいました!
※「セキュリティの柱」では、実施するレビュー項目が11個(SEC01~SEC11まで)存在するため、予めチームごとに担当の項目が割り振られていました。
私はAチームだったためSEC1、SEC3、SEC5の項目をレビューすることになりました!
以下表は各チームへの担当振り分けの項目になります。
4. Well-Architectedレビューの実施(各チーム内)
このステップでは、以下2つの項目に沿ってチーム内でレビューを実施しました。
・As-Is(現状の問題点)を抽出
・To-Be(理想の状態)にするための提案
レビューが始まると各チームは机を移動させたり、ホワイトボードの前で集まったりして、すぐに意見交換が始まっていました。
オフィス内は各テーブルからの議論の声で賑やかになっていました!
また与えられたシナリオやベストプラクティスに関する不明点があった場合は、講師・補助の方に迅速にサポートに入って頂けました。
全体的に困りごとはなくスムーズに進行することができました。
5.Well-Architectedレビューの発表(各チームごと)
6.質疑応答&ディスカッション
このステップでは、各チームでまとめたAs-IsとTo-Beを10分で発表→ディスカッションをしました。
他チームで考察されたAs-Isの着眼点やTo-Be(理想の状態)に近づけるための様々な提案内容では、
自チームでは出なかった手法や意見・技術的な選択肢が有り新たな気づきと刺激を得ることができました。
※このディスカッションが大変盛り上がってしまい、気づけば予定より1時間弱伸びていました。。
柔軟に時間調整頂いた運営の方々ありがとうございました!
業務に活かせそうな気づき
盛り上がったディスカッションの中から、たくさんの気づきがありましたので
以下にまとめさせて頂きました。
(シナリオのネタバレとならない程度で..)
- サードパーティー製品から、AWSマネージドサービスの利用に寄せることで得られるメリットが多い。
- 責任共有モデルの面からセキュリティメンテナンスタスクを減らす事が可能。
- RDS→セキュリティメンテナンスタスクなども減らせる
- ELBやALB→クリティカルな証明書管理をACM上に移行できる
- Cloudfront、AWS WAF→Ddos攻撃や他の攻撃に対して、エッジロケーションでの攻撃防御が可能となり、オリジンサーバーへの攻撃のリスクを大幅に低減できる。ネットワークおよびアプリケーションレイヤーの攻撃に対する保護
- 思想にあったAWSサービスを使うと将来的なアップデートを期待できる
- 障害対応にSSM経由を採用すると、踏み台インスタンスやSSHキーを保守する必要がなくなる。AWS Systems Manager Session Manager
- チームのセキュリティ意識をどのように向上させるか。
- チームメンバーに対して、AWS トレーニングと認定を受講してもらう。
- 過去のインシデントを風化させない会の開催
- RDSのパフォーマンスを上げたい場合、デフォルトのストレージタイプであるgp2をプロビジョンド IOPSに調整することも選択肢の一つ。
- IOPS調整でもパフォーマンスが不足する→インスタンスタイプのUP
まとめ
今回はiret向けに開催頂いた「Well Architected Mini Bootcamp for iret(セキュリティの柱)」へ参加した内容をまとめました。
私も以前社内向けシステムに対してWell Architectedレビューを実施した経験がありましたが、その際は1人でモクモクレビューを行っていました。
今回は様々な業務領域の社内メンバー(インフラ構築・運用、プロジェクトマネジメント、開発…etc)とチームでディスカッションする形式だったため、柔軟なアイデアを知り新たな視野を得ることができ、大変貴重な機会となりました。
また次回開催があれば参加したいと思います。
※Well Architectedレビューの支援ツール「Well-Architeted Templates」も、2023/10/3にリリースされています。
工数が大きくなりがちなWell Architectedレビューの削減にも活用できるかと思います。
気になる方は以下の記事も参考にして見てください。
Well-Architected Templatesが出たので使ってみた
最後まで閲覧頂きありがとうございました!
