TOPコラム一覧Well-Architected ユースカジノ 禁止ゲームセキュリティの柱を作る試み -①基礎編-

Well-Architected ユースカジノ 禁止ゲームセキュリティの柱を作る試み -①基礎編-

はじめに

こんにちは。山下です。
AWSでは数多くのマネージドユースカジノ 禁止ゲームが提供されています。マネージドユースカジノ 禁止ゲームを用いてなるべくユーザが管理する部分をAWSに委任する事で運用負担の軽減、責任共有モデルの責任部分を減らす事が可能です。また、それによる運用のための人件費削減や自動スケールアウトによる信頼性と性能の向上まで見込めます。
そんなマネージドサービスの中でもアプリケーションを提供する上で大変強力なのがユースカジノ 禁止ゲーム関連サービス群です。今までの開発と運用手法から変更が必要なものですが、これらを上手く扱う事ができれば、上記のメリットを享受できるだけでなくハイブリッドクラウド・マルチクラウドにも対応でき信頼性のさらなる向上やセキュリティ、運用面でも大きなメリットとなります。

ユースカジノ 禁止ゲームを扱えるAWSサービス

AWSでユースカジノ 禁止ゲームを扱う事ができるサービスとしては以下があります。ユースカジノ 禁止ゲームと聞くとECS/EKSだけが範疇に見えますが、EC2上に自分でユースカジノ 禁止ゲームランタイムを構成する事でユースカジノ 禁止ゲームを扱う事もできますし、BeanstalkやLambdaでも一部制約があるもののユースカジノ 禁止ゲームイメージを展開する事ができます。

ユースカジノ 禁止ゲーム

ただし、それぞれユースケースに応じて得意とするものと合わないものがあります。例えば、Lambdaが図を見ると一番ユーザ管理部分が少なく優れているように見えますが、実行時間が限られるため常時動かす、または処理に時間を要するようなサービスには向きません。また、BeanstalkについてもWebサーバ,APサーバなど用途が限られており全てのワークロードに対応はしていません。とはいえ、EC2でユーザが管理する箇所が増えてしまうのも避けたい。この中間に位置しマネージドサービスのように構成できるのがユースカジノ 禁止ゲームであり、AWSではECSとEKSが利用できます。後述のGitOpsやマルチクラウドという観点では特にEKSが有用です。
また、ECS/EKSでユースカジノ 禁止ゲームを扱う上で補助となるのが、AWSのマネージドサービス群です。EC2と同様に監視にCloudWatch、セキュリティ対策にGuardDutyが利用できます。また、ロードバランサーにELB、ストレージにEBS/EFSを利用できますが、これらを手動で作成していくのではなくKubernetes経由で自動作成できる機能が提供されています。EC2よりもマネージドでありながらBeanstalkやLambdaよりも自由度が高いのはこうした点からも伺えます。

IngressController:https://github.com/kubernetes-sigs/aws-load-balancer-controller#readme

StorageClass:https://kubernetes.io/ja/docs/concepts/storage/storage-classes/#aws-ebs

GitOps

ユースカジノ 禁止ゲームアプリケーションをKubernetes(以降K8s)と扱っていく上で非常に強力なのがGitOpsという運用思想とその実装です。AWSではCIツール、監視サービス、オートスケール機能、IaCによるインフラ管理が提供されております。これにユースカジノ 禁止ゲームを組み合わせてさらにGitOpsに特化したデプロイツールを組み込むことでさらに強力な基盤となります。

GitOpsとは?

GitOpsとはWeaveWorks社により2017年ごろから提唱された新しいDevOpsの形です。Git上にソースコード、CIに必要なビルドファイル、CI設定ファイル、DockerFileなどを置くだけでなく、ユースカジノ 禁止ゲームのデプロイに必要なyamlファイルも全てGit上に置きGitで全てを一元管理するという思想です。これにより開発者はGitに対してのみ操作を行うため、全ての操作がCommitに記録され追う事が出来ます。また、ロールバックについてもMerge前の状態に戻すことで簡単に実現可能です。宣言的デプロイメントを思想にしたK8sと相性が非常によいです。

https://www.weave.works/technologies/gitops/

ユースカジノ 禁止ゲーム

また、このGitOpsを実現する上で欠かせないのがArgoCDやFluxCDといったCDツール群です。これらはGit上のyamlファイルを監視しつづけます。これによりユースカジノ 禁止ゲームイメージのバージョンが変更されればアップデート、ロールバック、Ingressと組み合わせてBlue/Greenデプロイメントを行う事が自動で可能です。ArgoCDやFluxCDが自動でK8sに対してデプロイを行うためです。また、K8sもデプロイされたyamlを基にリソースを作成/変更/削除を自動で行います。
いずれにせよGitOpsの大事な点は人の手を介しているのがソースコードからユースカジノ 禁止ゲームを作成するCommitとそれを承認するMerge、ユースカジノ 禁止ゲームをどのようにK8s上に展開するかを定めたyamlファイルのCommitと承認のMergeです。厳密にはCIを行うための定義やその他連携ツールの操作定義や操作もありますが、人が手動で作業を行う要素はその程度です。人為的な事故を防ぐだけでなく、K8sに対する操作も制限されるためセキュリティ面でも有用です。

また、GitOpsを構成したK8sを軸とすることはマルチクラウドという観点でも有用です。AWSではマルチAZ、マルチリージョンで信頼性を向上させる事がベユースカジノ 禁止ゲームですが、さらにMicrosoft Azure(Azure)やGoogle Cloud(GCP)など別クラウドプロバイダー、オンプレミスとのハイブリッドで構成する事ができます。ECSの場合だと、デプロイを行う定義及びオーケユースカジノ 禁止ゲームレータはAWSに限定されたものになりAzureやGCPでは流用ができず、オンプレミスもECSでないと利用ができません。一方、K8sであればAzureとGCPでも利用でき、オンプレミスでもEKS Anywhereだけでなく様々なK8s製品へ適用する事も出来ます。
AWS全体に影響が及ぶ問題が発生してもユーザは別のクラウドに展開し直す事でユースカジノ 禁止ゲームを継続できますし、逆にAzureやGCPを主とするユーザがAWSに退避する事も可能です。なぜそれが出来るかというと全てのファイルはGitに存在し、K8sはベンダーニュートラルに利用できるためです。

ユースカジノ 禁止ゲーム

ユースカジノ 禁止ゲームベースのアプリケーションを扱う危険性

ここまで見てきた通り、AWSのマネージドサービスとユースカジノ 禁止ゲーム関連ツール群を扱うことはEC2上でミドルウェアやソフトウェアをデプロイする以上のメリットがありつつも、BeanstalkやLambdaよりも自由度が高くあらゆるワークロードに対応できます。
これによりWellArchitectedFrameworkで柱とされる運用性、信頼性、性能、人件費を減らすという意味ではコユースカジノ 禁止ゲーム最適化もさらに担保する事が出来ます。

https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/framework/welcome.html

しかし、導入によってセキュリティも満たせているのでしょうか?ここまで見てお気づきの方もいるかもしれませんが、ユースカジノ 禁止ゲームが管理しないといけないものはゼロではありません。さらにGitOps、K8sだから解消できた課題もあれば、GitOps、K8sだからこそ考えないといけない課題もあるのです。
ユーザはユースカジノ 禁止ゲームを扱う上で責任を負わなければいけないものと観点についてリスクと対策を理解する必要があります。WellArchitectedFrameworkのレンズとなるものを考える必要がありますが、具体的にAWSとして俯瞰的に提言されているものはなく、自分たちで考えていく必要があります。
そのヒントとなるのがNISTにより提供されているSP800-190『ユースカジノ 禁止ゲームアプリケーションガイドライン』です。このガイドラインではユースカジノ 禁止ゲームアプリケーションと基盤を扱う上でのリスクと対策が定義されています。

SP800-190について

NISTは米国の標準技術研究所で様々なITセキュリティのガイドラインを提示しています。国際的な標準ガイドとなっています。そのガイドはさらにIPA:情報処理推進機構によって翻訳・監修され、日本国内でも展開されています。

https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/000085279.pdf

NIST SP800-190の図でも示されている通り、インフラを抽象的に表すとユースカジノ 禁止ゲームイメージを格納するレジユースカジノ 禁止ゲームリ、ユースカジノ 禁止ゲームをデプロイし管理するためのオーケユースカジノ 禁止ゲームレータ、ユースカジノ 禁止ゲームが実際に稼働するホユースカジノ 禁止ゲームマシンとなります。
また、アプリとしては開発工程によりユースカジノ 禁止ゲームイメージが作成された後にレジストリに格納。オーケストレータを通じてレジストリからユースカジノ 禁止ゲームイメージがPullされ、ホストマシン上でユースカジノ 禁止ゲームが稼働という流れになります。

これら要素に対してNISTがあげているリスク観点は下記の5つになります。下記の通りユースカジノ 禁止ゲーム責任の箇所が実は多く存在しています。また、AWS責でもユースカジノ 禁止ゲーム責でもある箇所もあります。

観点 対象 責任範囲
イメージ アプリケーション本体
(ソースコード,CIプロセス,ユースカジノ 禁止ゲームイメージなど)
ユースカジノ 禁止ゲーム
レジユースカジノ 禁止ゲームリ ユースカジノ 禁止ゲームイメージを格納するレジストリ
(DockerHub,Quayなどの外部レジユースカジノ 禁止ゲームリ,ECRなどプライベートレジユースカジノ 禁止ゲームリ)
ECR利用ならAWSとユースカジノ 禁止ゲーム
ユースカジノ 禁止ゲーム 稼働中のユースカジノ 禁止ゲームおよびそれを動かすランタイム
(cri-o,containerd,dockerなど)
ユースカジノ 禁止ゲーム
オーケユースカジノ 禁止ゲームレータ ユースカジノ 禁止ゲーム基盤およびユースカジノ 禁止ゲームを管理するソフト
(Kubernetes,Openshift,ECSなど)
EKS利用ならAWSとユースカジノ 禁止ゲーム
ホユースカジノ 禁止ゲームOS ユースカジノ 禁止ゲームが実行されるマシン及びそのOS
(EC2インスタンス,Linux/Windowsなど)
EC2利用ならAWSとユースカジノ 禁止ゲーム
Fargate利用ならAWS

このガイドラインを基にAWSが提供するユースカジノ 禁止ゲームや機能と組み合わせてセキュリティの柱に当たるものを次回の記事から考えていきます。

カジノゲームは、AWSのビジネス利活用に向けて、お客様のステージに合わせた幅広い構築・運用支援サービスを提供しています。
経験豊富なエンジニアが、ワンユースカジノ 禁止ゲームップかつ柔軟にご支援します。
ぜひ、お気軽にお問い合わせください。

お問い合わせ



【著者プロフィール】

山下 大貴(やました だいき)

伊藤忠テクノソリューションズ株式会社 ITアーキテクト

インフラエンジニアとしてテレコム,Webユースカジノ 禁止ゲーム事業者様向けにプリセールス/導入に従事。
AWS/Azure/GCP Professional,Expertアーキテクト資格保有。近年はDevOps/K8s関連で設計/導入支援に注力。

山下 大貴(やました だいき)

TOPコラム一覧Well-Architected ユースカジノ 禁止ゲームセキュリティの柱を作る試み -①基礎編-

pagetop