...

2015 NTT DOCOMO, INC. All rights reserved.

by user

on
Category: Documents
14

views

Report

Comments

Transcript

2015 NTT DOCOMO, INC. All rights reserved.
NTTドコモの AWS 開発ガイドラインと
セキュリティデザインパターン事例
∼「ドコモクラウドパッケージ」
が誕生するまで∼
6/3/2015
栄藤 稔、@mickbean
© 2015 NTT DOCOMO, INC. All rights reserved.
1
AWS Summit Tokyo ‘15での発見
クラウドネイティブを前提とした
1. ポリシーと統制を伴っ
たベンダー非依存の体制
2. アジリティな開発体制
→ニューノーマル(当たり前)
© 2015 NTT DOCOMO, INC. All rights reserved.
2
Hardware v.s. Software
長崎社長:「我々はインフラをソフトウェア化するためにAWSを作った」
© 2015 NTT DOCOMO, INC. All rights reserved.
3
“Cloud 1.0” v.s. “Cloud 2.0” coined by M.E.
シェアリングできる
データセンター
従来の
サーバープログラミング
© 2015 NTT DOCOMO, INC. All rights reserved.
プログラミングできる
データセンター
“Cloud Native”な
プログラミング
4
産業のソフトウェア化によっておこること
•
知の共有
例:マーケットプレイスの出現。
•
新しい事業構造への転換
新しい企業関バリューチェーンの
登場。→APIエコノミーの出現。 © 2015 NTT DOCOMO, INC. All rights reserved.
5
Webサービスシステム
業務系システム
Moved to AWS (2012)
Moved to AWS (2014)
ミッションクリティカルシステム
© 2015 NTT DOCOMO, INC. All rights reserved.
6
大組織において複数プロジェクトで
AWSを利用していると
•
•
内製ならまだしも外注文化では
•
設計手法はバラバラ。
•
セキュリティ対策もバラバラ。
コスト最適化もバラバラ。
© 2015 NTT DOCOMO, INC. All rights reserved.
7
コスト可視化ツール:多数部署の利用が見て取れます
時系列でのコスト表示 • 利用料表示 • 利用台数表示 • 利用アカウント別 • 利用サービス別 • 日付指定 • 円換算(為替反映) • 1時間毎/1日毎 • リザーブド(RI)指定 • 利用サービス絞込 • 利用AZ絞込
表示形式 • 利用アカウント別 • 利用サービス別 • 日付指定 • 1時間/1日毎 • リザーブド(RI)指定 • AZ
• インスタンスタイプ
© 2015 NTT DOCOMO, INC. All rights reserved.
RIの有効利用度表示 • 有効なRI数 • RI利用数 • RI利用率 • RI余剰数
8
システム・インテグレータでは解決できない問題=
クラウドを使うユーザ企業として解決すべき問題。
•
クラウドを使う上での内部統制
•
セキュリティポリシーの制定
•
クラウド利用時のシステム構築の注意点
•
クラウド利用におけるコスト管理方法や、
セキュリティ管理
© 2015 NTT DOCOMO, INC. All rights reserved.
9
Cloud2.0 設計・構築のポイント ● Design for failure
あらゆるものはいつでも故障する
前提で設計する
● コンポーネントの疎結合化
コンポーネントを独⽴立立させ,ブ
ラックボックス化する
● 全レイヤでのセキュリティ
AWSとの責任分担モデルを理理解
し,全てをAWSに任せない
● 並列列処理理の実装
アプリケーションやバッチ処理理の
並列列化を検討する
● ストレージの使い分け
● スケーラブルな構成
EBSやデータベース,S3などの
伸縮⾃自在性があり,再起動が可能な
ストレージを使い分ける
構成にする
© 2015 NTT DOCOMO, INC. All rights reserved.
10
Design for Failure
Design for failure:全てのシステムが故障し得ることを前提とした設計
例例えばAZ/DCが1つ潰れてもサービスが継続できるようにシステムを構成
Service status : OK
×
× ○
AZ-a
Service status : stop
© 2015 NTT DOCOMO, INC. All rights reserved.
2AZで同⼀一システムが稼働しており,
⽚片系が潰れてもサービス継続可能
AZ-b
Service status : OK
11
Design for Failure
Multi-AZ DB(RDS)配置:完全同期DBを複数AZに配置し,障害時は⾃自動切切替
データを複数AZに同期保存し,障害発⽣生時に⾃自動フェイルオーバーすることによりRPOゼロを実
現(RTO:3-5分)
DB Snapshot:S3にDBのバックアップを取得し,万が⼀一のリカバリ等で利利⽤用
Multi-AZ
アベイラビリティ アベイラビリ
ティゾーン
ゾーン
Region
AZ間でデータを同期コピーする障害対策と共に
万が⼀一に備えてスナップショットもS3に保存
RDS対応エンジン
• MySQL
• Oracle
• PostgreSQL
• SQL Server(東京リージョンではMulti-AZ⾮非対応)
© 2015 NTT DOCOMO, INC. All rights reserved.
12
Design for Failure+コンポーネントの疎結合化
サーバ冗⻑⾧長化:複数サーバをAZ内,複数AZに冗⻑⾧長化して設置し,ELBに紐紐付け
ELBの利利⽤用:ELBはAWSが冗⻑⾧長化しており,利利⽤用すれば⾃自動で冗⻑⾧長化・疎結合化
サーバが落落ちても他サーバで継続処理理し,可⽤用性担保と負荷分散を同時に実現
ELB
HTTP/HTTPS/TCPのみを
通すような設定も可能
(Firewall機能も兼用可)
EC2
Server
EC2
Availability
Server
Zone #1
Web
Server
Web
Server
EC2
Server
EC2
Availability
Server
Zone #2
Web
Server
Web
Server
Web
Server
Web
Server
疎結合化
AP
Server
AP
Server
AP
Server
© 2015 NTT DOCOMO, INC. All rights reserved.
フロント/バックエンドの接続にもELBを利利
⽤用し,疎結合化してTier毎に冗⻑⾧長化
AP
Server
AP
Server
AP
Server
13
Design for Failure+スケーラブルな構成
Auto-Scaling:設定した負荷条件に応じてサーバ数を増減,⾃自動復復旧
監視システムと連携し,サーバ負荷増加の場合は⾃自動でサーバを追加,減少の場合は⾃自
動で削除する(サーバ上限/下限数,増加/削除単位,等を設定可能)
※起動するサーバを前もってイメージ化して⽤用意しておく(AMI)
①サーバ障害検知
CloudWatch
EC2
Server
EC2
Server
EC2
Server
Availability
Availability Zone #2
Zone #1
Auto scaling Group
AutoScaling
②AutoScalingトリガ
© 2015 NTT DOCOMO, INC. All rights reserved.
④データや設定をロード
AMI
③新サーバ追加&障害サーバ削除
フロントエンドとバックエンドのサーバそ
れぞれに利利⽤用し,Tier毎に可⽤用性を担保
14
Design for Failure
ネットワーク冗⻑⾧長化:AWS環境へのアクセス経路路も冗⻑⾧長化して保守・運⽤用
AWSのVPN GatewayはAWSが冗⻑⾧長化しており,企業側を冗⻑⾧長化して複数経路路
化
内部ルータ故障や1経路路遮断時でも
保守・運⽤用できる経路路を確保
© 2015 NTT DOCOMO, INC. All rights reserved.
15
コンポーネントの疎結合化
DynamoDBセッション管理理:セッション情報を別管理理しステートレスサーバ化
⾼高性能なNoSQL DBであるDynamoDBに⼀一時的にセッション情報を保存し,⾼高負荷時
であってもボトルネックを作らない構成を実現
ステートフル
ステートレス
ELB
ELB
EC2
セッション情報A
Server
EC2
セッション情報B
Server
EC2
Server
サーバ障害が発⽣生するとセッ
ション情報が喪失
© 2015 NTT DOCOMO, INC. All rights reserved.
EC2
Server
EC2
Server
セッション情報をDynamoDBに保存し,サーバ
障害時は別サーバで情報取得して処理理を継続
EC2
Server
セッション情報A
セッション情報B
16
並列列処理理の実装
リソース量量制限がない点を活⽤用し,処理理を並列列化して効率率率化
RDSリードレプリカ:DBからの読み出しを並列列化して性能向上,負荷低減
EC2
Server
EC2
Server
EC2
Server
EC2
Server
Read
Write
⾮非同期レプリケーション
⾮非同
期レ
プリ
RDS DB
ケー
(マスター)
ショ
ン
© 2015 NTT DOCOMO, INC. All rights reserved.
EC2
Server
EC2
Server
書き込みはマスターDB,読み出しはリード
レプリカとすることで書き込み性能も向上
Read
RDS DB
(Readレプリカ)
RDSリードレプリカ対応エンジン
• MySQLのみ
RDS DB
(Readレプリカ)
17
ストレージの使い分け
要求される性能,条件等に応じてストレージを使い分けて運⽤用負荷を低減
S3静的ファイルホスティング:動的⽣生成が不不要なファイルをS3に置くことで
ファイルの可⽤用性を向上させると共に,EC2の負荷を軽減する
www.example.com
static.example.com
ELB
Web
App
Web
App
EC2
EC2
S3
世界中に配信が必要な場合にはS3をオリジン
としてCDNであるCloudFrontも利利⽤用可能
DB
RDS
AZ1
AZ2
AWS Cloud
© 2015 NTT DOCOMO, INC. All rights reserved.
18
パブリッククラウドに対する3大懸念
セキュリティ
SLA
スイッチングリスク
© 2015 NTT DOCOMO, INC. All rights reserved.
19
ドコモの情報管理体制 (HPより)
2005年4月の個人情報保護法の全面施行に伴い、
個人情報保護法対策や情報漏えい等に対する全社
的なマネジメントの実施、及び社内管理情報に関
する方針策定、規程類の制改定等、一元的な情報
管理の体制の整備・構築を行う部門として、
情報セキュリティ部を設置し、個人情報取扱端末
の管理、業務従事者に対する教育、業務委託先会
社の監督、技術的セキュリティに関するチェック
の強化等、セキュリティ管理の徹底に努めてまい
りました。
© 2015 NTT DOCOMO, INC. All rights reserved.
20
情報セキュリティ部
法務部
情報システム部
ビジネス部(新規事業)
R&D
© 2015 NTT DOCOMO, INC. All rights reserved.
21
私の誇りだったオンプレミスソリューション(2009-)
© 2015 NTT DOCOMO, INC. All rights reserved.
22
RedShiftを利用したデータ分析基盤
o業務系システム(分析)での利用開始(2014)
ØWeb系システム → 業務系システム → ミッションクリティカルシステム
Data
ドコモ
データセンター
© 2015 NTT DOCOMO, INC. All rights reserved.
23
当社情報セキュリティ部のセキュリティチェック項目
230
© 2015 NTT DOCOMO, INC. All rights reserved.
24
全レイヤでのセキュリティ
アカウント管理理:IAM,MFAを利利⽤用してユーザ・権限管理理を厳格化
MFAでマスターアカウント利利⽤用制限,各IAMユーザの権限を適切切に制限
AWS account
owner (master)
Developer (IAM)
△
Operator
(IAM)
×
Administrator
(IAM)
△×
Developer OperatorAdministrator
EC2: R/W
EC2: EC2: R/W
RDS: R
RDS: RDS: R/W
S3: R/W
S3: R
S3: R/W
© 2015 NTT DOCOMO, INC. All rights reserved.
アクセス元,および各ユーザがアクセスできるリ
ソース,機能を制限し,重要操作はMFA利利⽤用限定
EC2に対して権限を付与できる
IAM Roleも活⽤用
25
全レイヤでのセキュリティ
セキュリティグループ:コンポーネントへのアクセスを制限するFirewall機能
サーバ内部を変更更することなく,アクセス元/先を制限し不不正アクセスを排除
アクセス元,および各ユーザがアクセスできるリ
ソース,機能を制限し,重要操作はMFA利利⽤用限定
© 2015 NTT DOCOMO, INC. All rights reserved.
26
VPCの発展(2009-)
セキュリティグループの拡張(in/outのフィルタリング)
実行中のインスタンスのセキュリティグループの変更
ダイレクトインターネット接続
サブネット間のトラフィックを制御できるNACL等々(2011-)
© 2015 NTT DOCOMO, INC. All rights reserved.
27
AWSのセキュリティ機能
IAM
AWSリソースに対するアクション、アクセス権限を管理
できるサービス。Identity Access Managementの略。
IAM ROLE
IAM ROLEは一時的なトークンで、予め設定された
権限を制御するサービス。
CLOUDTRAIL
CLOUDTRAILはAWS API の呼び出しを記録し、
ログを残すことができるサービス。
© 2015 NTT DOCOMO, INC. All rights reserved.
28
AWS Summit Japan 2014 E-JAWSセッションにて・・・
羨ましいわ. そんなノウハウ,ドコモさん だけに貯めとかんと外にも出しく
れはったらええのに (東急ハンズCIO 長谷川秀樹氏)
© 2015 NTT DOCOMO, INC. All rights reserved.
29
そうか!
ユーザー企業によるユーザー企業のための
クラウドソリューション誕生の瞬間
=当社の偉大なアセット
© 2015 NTT DOCOMO, INC. All rights reserved.
30
共有責任モデル
パターン化&テンプレ化
ドコモ独自 で対策
AWS機能を利用 して対策
アクセス制御
Firewall/
NACL
ログ管理理
AWS自体 が対策
© 2015 NTT DOCOMO, INC. All rights reserved.
31
構成プログラミング(テンプレート化)
IAM
CloudIAM
ROLE
Trail
© 2015 NTT DOCOMO, INC. All rights reserved.
CLOUDWATCH
32
クラウドはプログラムできるデータセンター
しゃべってコンシェル(Cloud-native)
データ分析基盤(On premise-hybrid)
シンプルな
Webサーバ
© 2015 NTT DOCOMO, INC. All rights reserved.
33
AWS Cloud Formation –環境構成をスクリプトに従ってデプロイする –利用料無料
© 2015 NTT DOCOMO, INC. All rights reserved.
34
ユーザー企業によるユザー企業のためのクラウドソリューション
お問い合わせ先
[email protected]
サービス紹介ページはこちら
https://www.39works.net/assets/dcm-cloudconsulting
© 2015 NTT DOCOMO, INC. All rights reserved.
35
効果
「ドコモ・クラウド
パッケージ」
を利用しなかっ
た場合
「ドコモ・クラウド
パッケージ」
を利用した場合
© 2015 NTT DOCOMO, INC. All rights reserved.
36
ベジタリア+ウォーターセル + 新潟市 +d
M2M Server データストレージ
水位・水温
気温・湿度
ピンポイント天候予測、農作
業記録、病害虫注意報など
地図情報・航空写真を利用し
た営農管理
多圃場の管理
© 2015 NTT DOCOMO, INC. All rights reserved.
37
ドコモのセキュリテイ(←詳しく言えませんが)
をテンプレート一発で実現
情報管理規定
情報管理細則
故意による不正行為抑止
セキュリティ対策基準
内部・外部のログ
定期的なログ調査の実施
アラートシステム
権限付与ルール
アカウント管理
入退室管理
サイバー攻撃対応
データ暗号化
情報管理マニュアル
立ち入り監査
情報セキュリティ監査
顧客情報管理マニュアル
サイバー攻撃対応
38
© 2015 NTT DOCOMO, INC. All rights reserved.
15世紀
© 2015 NTT DOCOMO, INC. All rights reserved.
21世紀初頭
39
販売取次パートナーのご紹介
アイレット株式会社
NTTデータ様
Cloudpack事業部様
© 2015 NTT DOCOMO, INC. All rights reserved.
40
ドコモ・クラウドパッケージ Updates
2015年5月までの新サービス、および各種新機能をキャッチアップした、
アップデート版DCPの提供開始【本日リリース】
コスト監視用ツール『Cost Visualizer』の提供開始【6月中旬】
(有償オプション)
ドコモのビッグデータ分析ノウハウを用いたコンサルティングの提供
【今夏頃提供開始】
© 2015 NTT DOCOMO, INC. All rights reserved.
41
私の夢
APIエコノミー:
企業間連携による
イノベーション
の実現
© 2015 NTT DOCOMO, INC. All rights reserved.
https://en.fotolia.com/id/59201779
Bild: Mimi Potter / fotolia.de
42
いつか、あたりまえになることを。
ドコモのブランドビジョン
© 2015 NTT DOCOMO, INC. All rights reserved.
43
Fly UP