Developers.IO
2017年7月1日(土)のクラスメソッド社主催の Developer.IO に参加してきました。
開催場所が、SAPジャパン本社の半蔵門オフィスということもあり、興味もったのが最大の理由です。 たぶん、3Fと最上階使うのかなーとか思いながら。
本職が、SAPテクニカルコンサルタントなもので、SAPジャパン社のオフィスはたまに伺いますし、現在も、SAPジャパンの方と一緒にお仕事させてただいている(毎日メールやりとりさせていただいています...)ので、縁を感じたのもあります。
レポートは、後日サイトに載るそうです。
この記事では、自分の参加したところの話と興味深かった部分のみです。ちなみに、個人的都合で、午前中は参加できず。Keynote聞きたかったです。
このツイートなんか気に入りました。
History of AWS, Still Halfway throughを聞いてきましたー。 #cmdevio2017 pic.twitter.com/rkH6FCVm7n
— Nakayama san (@nakayama_san) 2017年7月1日
基礎からのOAuth2.0〜認証と認可の概念、認可コードとアクセストークンの意味〜
メモそっちのけで聞いていましたが...目が悪くて見えなかったという噂も(笑)
このスライドと、RFC6749あたりを以下を見ながら整理したいです。
AWS Security Best Practices Whitepapaer をガッツリ読み解く会
AWS事業部のソリューションアーキテクトの森永さんがお話してくださいました。7/3(月)に第2子を授かる予定とのことで、拍手から始まりました。無事、生まれてくること、母子ともに健康であることを祈っております。
そのプライベートが忙しいさなかにやってくださった、このセッションがとても興味深かったです。最近、社内やお客様のAWS環境を考える上で、特にセキュリティの考え方を整理するべきと感じていたので、タイムリーでした。
参考は、以下のホワイトペーパー。
「https://aws.amazon.com/jp/whitepapers/aws-security-best-practices/ 」
日本語版もあります。以下のリンクから。
https://d0.awsstatic.com/International/ja_JP/Whitepapers/AWS_Security_Best_Practices.pdf
AWS のセキュリティといえば、責任共有モデル、認定資格にも出てくる話です。最近は、よりPaaS的、SaaS的なサービスも増えていますから、モデルとして保証する範囲は当然違ってきます。ここは自分でも押さえていた部分です。
ISMS というキーワードも出てきていたので改めて確認。機密性、完全性、可用性というキーワードは重要ですね。IPAの資格試験でいつも聞かれる部分ですし、お客様の要件決定する上でも気にする部分です。
「ISMS(情報セキュリティマネジメントシステム)とは - 情報マネジメントシステム認定センター(ISMS-AC)」
あとは、IAM の話が出てきました。IAM は、私は、AWS のサービスの中でも重要なところと位置づけていて、自分で環境を作成して、試したことの多い部分でした。ここは、悩み所で、緩くすると開発に支障が出る、厳しくすると、開発のスピード感が落ちる、これは、AWS に限らずよくある話です。
若干お話でましたが、自分の中では、開発、検証と本番は少なくともアカウントを分けるのが良いと思っています。
権限は、アクセスアドバイザーを使って洗い出すというのは認識ありましたが、マネージドポリシーに寄せておいて、やらせたくないものだけ、カスタムポリシーを使うという考え方で整理すると運用負荷が下げられるのではないかという点は、なるほどと思いました。 (よく考えれば、SAPの権限管理でも、私は、そう設計すること多いですね。)
IAM グループを活用するのもそうですね。管理負荷を落とすは重要だと思います。
それと、キーストレージの話もありました。ちょっと気になったポイントは、鍵の管理。確かに、鍵ペアを手元で作成してから、キーストレージに登録する方がセキュアですね。
これは、私知らなかったんですが、MFA で削除の保護とかできるんですね。
RDS の暗号化では、CSE暗号化 部分一致検索できなくなるというデメリットがある話。
他、ホワイトペーパー上では、廃棄する前に暗号化しで、キーを廃棄することでデータ廃棄時の安全性を確保との記述があるとの情報は、自分でも確認しようと思います。データ廃棄に関するプロセスは、以外と重要ですので。
EC2 System Manager の話でましたね。このサービス、私、導入したいです。
「AWS Systems Manager(運用時の洞察を改善し、実行)| AWS」
VPCのセキュリティ
VPCフローログの有効化もしたほうが良いでしょう。
だれもが悩むセキュリティグループ(SG)と、ネットワークACL(NACL)の話。基本は、SGで管理し、NACLは、攻撃者のIPをはじく、絶対使わないポートを閉じるとかで活用するのは、いい解ではないかと思いました。
スライド公開お待ちしています:-)
Amazon Elasticsearch Service の使いドコロ
今回、聞きたかった話の一つ。何にも知識がなかったので、とても参考になりました&参考にします。
感想
このイベント3年目だそうで、個人的には、エンジニア向けだけでなく、カスタマーに向けてもやっていいのではと思いました。 話を聞いているうちに、自分も、もっとクラウドエンジニアの仕事やりたいなーと思ったのは秘密。
アソシエイトだけど、AWSソリューションアーキテクトの認定も取得できたし、SAPテクニカルコンサルタントの仕事、少々?、飽きているので(苦笑)