muku.のプロフィール
クラウド破産の記事の画像

クラウド破産を回避するためのAWS実践ガイド。AWS使用前に必ず読むべき1冊。

2020.9.27

「クラウド破産」。クラウドサービス普及以降よく耳する言葉です。 また初学者がセキュリティ周りの知識をあまり持たずに何の気なしに使用して、気づけば万を超える請求が。なんて話も聞きます。

そうならないためにもセキュリティ関連の知識や、対策方法をしっかりと学ばねばと思い購入したのがクラウド破産を回避するAWS実践ガイドです。

クラウド破産の記事画像

これからAWSの使用を考えていて、またセキュリティ・クラウド設計・運用周りの知識も見につけていきたいと思っていたので読んで良かったと思います。

おすすめしたいひと

・クラウド破産しないよう、その回避策を学びたいひと ・セキュリティ、クラウド設計、運用の知識を身につけたいひと ・ポートフォリオ作成などで初めてAWSの使用を考えているひと

特に初めてAWSを使用するひとは必読だと思います。 これを読んで高額請求されることのないようしっかり対策し、しっかり知識を身につけるべきだと思いました。

読んで良かったこと

1. rootユーザー・IAMユーザーの保護について再確認できた

rootユーザー、IAMユーザーが乗っ取られると詰みです。 またアクセスキーが漏洩しても詰みです。

ユーザーアカウント周りの保護について改めて学ぶことができたので良かったと思います。 書籍では基本的にIAMのダッシュボードに載っているセキュリティステータスを完了するために行うことについて解説されています。

アクセスキーについてはその取り扱いについてセキュアなローカル環境の構築方法とともに解説されています。


2. 各種セキュリティ関連サービスの役割・使用方法について学べた

書籍では車両の逸脱を防止し、事故発生時の被害を最小化する「ガードレール」の考え方をセキュリティに取り入れています。

AWS運用でいうと自動的に情報を分析、問題発生の兆候を監視して予防に努め、発生した場合も早期に検知して被害を最小に抑える仕組みを作ります。 具体的には ・証跡を記録する ・異常アクティビティの検知・通知や、予算額が閾値を超えた場合の通知をEメールやSlackに送信する ・コンプライアンス標準に準拠しているかチェックする などです。

それらを実装する手順が解説されており、各種セキュリティ関連サービスがどんな機能を持っているのか、どのように使用するのかを学ぶことができました。

書籍内で登場したサービスは下記に一覧としてまとめてあります。


3. セキュリティ・クラウド設計の基本に触れることができた

実際にセキュリティサービスを利用して回避方法を実装したり学んだりしたほか、セキュリティやクラウド設計のベストプラクティスについての記載もありました。

今後関連知識をさらに学んでいこうと考えている僕にとっては、その学びの1歩目としてもこの書籍を読んで良かったと思います。


3.今後の学び方を学べた

この書籍の最後には今後どのようにAWSについて学んでいけば良いか、書籍やサイトの紹介がされています。

またAWSに限らずクラウドの設計をどのようにすれば良いか、セキュリティ対策をどのようにすれば良いかなどのベストプラクティスについての記載もあり、運用するために気をつけるべきこと、学ぶべきことの全体像を確認できました。 詳細は今後少しずつ学んでいき、運用時に活用できるようにしたいです。

書籍内で学んだセキュリティ・通知関連のサービス

書籍内で登場したサービスの一覧です。


CloudTrail

・「いつ、誰が、何をしたか」を記録するサービスです ・AWS APIの実行履歴を証跡ログとして記録します


CloudWatch

・監視に関わる機能が集約された総合的サービスです ・特定の条件のログを記録する、といった使い方もできます(メトリクスフィルター)


AWS Config

・リソース毎の変更履歴をトラッキングします


S3(Simple Storage Service)

・クラウド型のオブジェクトストレージ(ファイル単位で出し入れ可能なストレージ)サービスです ・ライフサイクルポリシー、バージョニング、ログ、静的サイトホスティングなどの機能があります


GuardDuty

・セキュリティモニタリングサービスです ・攻撃者の偵察, サーバーの侵害, AWSアカウントの侵害を検知します


IAM Access Analyzer

・S3バケットやIAMロールなど、外部公開可能なサービスが不要に公開されていないかをチェックするサービスです


Security Hub

・対象サービスのアラートを集約し一元管理するためのサービスです ・対象はGuardDuty, IAM AccessAnalyzer, Inspector, Macie, FirewallManager, その他サードパーティです ・集約したセキュリティサービスのアラートをまとめて通知できます


AWS Artifact

・セキュリティ、コンプライアンスに関するドキュメントをオンデマンドでダウンロードできます


Amazon SNS

・メッセージ配信サービスです ・SNSトピックを作成しパブリッシャ(メッセージ発行者)からメッセージを受信した時、SNSトピックに関連づけられたサブスクライバー(メールやLambdaなどの宛先)に送信します。サブスクライバは複数設定可能です


AWS Chatbot

・運用イベント、セキュリティ検出結果、予算アラートに関する通知をSlackやAmazon Chimeチャットルームで受信できます。

まとめ

AWS使用前に必読の一冊でした。 書籍内で学んだ回避策を実装することでクラウド破産から1歩遠ざけることができました。

しかしこれで安心せず使用時にはしっかりと注意して安全に運用していきたいです。 またそのために必要な知識も身につけ堅牢なサービス作りができる力を身につけていきます。

今後も僕がエンジニア関連で学んだこと・書籍についてを発信していく予定です。 もし良かったらTwitterのフォローもよろしくお願いします。<@mmuu_kkuu>

クラウド破産を回避するAWS実践ガイド