AWSで変わるコスト構造と セキュリティの考え方 アマゾン データ サービス ジャパン 酒徳 知明
自己紹介 酒徳 知明(さかとく ともあき) エコシステム ソリューション部 ソリューション アーキテクト エンタープライズ パートナー様のご支援 ISVパートナー様のご支援 好きなAWSサービス 運用管理 統合監視 自動化
アマゾンのビジネスモデル 低コスト構造 品揃えの増加 低価格の商品提供 売り手の増加 成長 顧客の満足度向上 販売量増 創業者ジェフ ベゾスが起業時にレストランのナプキンに書いたオリジナルのコンセプト図
アマゾンの3つのビジネス 一般消費者様 向けサービス セラー様向け サービス 企業様向け サービス Eコマース Amazon.co.jp マーケットプレイス 物流サービス提供 Amazon Services クラウド コンピューティング Amazon Web Services
AWS(Amazon Web Services)の歴史 2006年 米国で クラウドストレージ Amazon S3 1 クラウド仮想サーバ Amazon EC2のサービスを開始 2009年 仮想プライベートクラウドサービス Amazon VPC 1 RDBサービス Amazon RDSを開始 2011年 世界で5番目のリージョンとして 1 日本に東京リージョン(データセンタ群)を開設 現在 世界11か所のデータセンター群と 52拠点を超える 1 エッジロケーション網で 40を超えるサービスを提供
なぜアマゾンがクラウドを?
アマゾンウェブサービスは Amazon 社内の ビジネス課題を解決 するために生まれた
創業当時のアマゾン EC サイト amazon.com, 1995
現在のアマゾン EC サイト グローバル展開 - アメリカ - カナダ - 中国 - フランス - ドイツ - イタリア - 日本 - スペイン - イギリス 数十億の商品 1 週間で 5000 万品の更新 amazon.com, today
Amazon のビジネス課題 No. 1 過去の注文履歴は全て保管したい
Amazon は過去の注文データを全て保管
Amazon S3 - 容量無制限で耐久性の高いストレージ クラウドストレージ 非常に耐久性の高い (99.999999999%) オンラインストレージサービス 格納容量に制限がない ストレージ用サーバやディスクの運用から解放される 1GB 約 3 円程度からの従量課金により低コストにデータを保存 アクセスコントロール 暗号化などセキュリティ機能も万全
なぜクラウドが注目されているのか 初期投資不要 市場投入スピード 完全従量課金 セキュア 柔軟なキャパシティ グローバル展開 コストを掛けず いつでも 柔軟なインフラリソース を誰でも手に入れることができる
発電機所有が差別化要因だった時代の終焉
中央発電所 + 送電網の出現が パラダイムシフトに
発電機を持つ ことは 差別化要因ではなくなった 電気を利用して何を創造するか が 大きな差別化要因に
Gartner Magic Quadrant for Cloud Infrastructure as a Service Gartner Magic Quadrant for Cloud Infrastructure as a Service, Lydia Leong, Douglas Toombs, Bob Gill, Gregor Petri, Tiny Haynes, May 28, 2014. This Magic Quadrant graphic was published by Gartner, Inc. as part of a larger research note and should be evaluated in the context of the entire report. The Gartner report is available at http://aws.amazon.com/resources/analyst-reports/. Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings. Gartner research publications consist of the opinions of Gartner's research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.
お客様のフィードバックに基づく イノベーションのペース 累計で900近いサービスと新機能の紹介 35件以上のメジャーなサービス発表 通算45回を超える価格改定 Frankfurt Region AWS Storage Gateway Amazon SES AWS Elastic Beanstalk Elastic Load Balancing Amazon EBS Amazon CloudFront 2008 Auto Scaling Amazon SNS AWS Identity & Access Management Amazon VPC Amazon RDS 2009 Amazon Route 53 2010 AWS CloudFormation Amazon ElastiCache AWS Direct Connect GovCloud 2011 Amazon Dynamo DB Amazon CloudSearch Amazon SWF Amazon Glacier Amazon Redshift AWS Data Pipeline 2012 Amazon Elastic Transcoder AWS Directory Service AWS OpsWorks Amazon CloudHSM Amazon AppStream Amazon CloudTrail Amazon WorkSpaces Amazon Kinesis 2013 Amazon Cognito Amazon Mobile Analytics Amazon Zocalo Amazon EC2 New Instances T2 R3 2014
アマゾンウェブサービス (AWS) の概要
AWS グローバルネットワーク 11のリージョン 1. US EAST (Virginia) 2. US WEST (N. California) 3. US WEST 2 (Oregon) 4. EU WEST (Ireland) 5. JAPAN (Tokyo) 6. South America (Sao Paulo) 7. ASP 1 (Singapore) 8. ASP 2 (Sydney) 9. GovCloud 10.BJS 1 (Beijing China) limited preview 11.EU (Frankfurt) EU (Frankfurt) Region EC2 Availability Zones: 2 11 Regions (地域) 27 Availability Zones(データセンター群)
アベイラビリティゾーン 各リージョン内には最低2つ以上 のアベイラビリティゾーンが存在 アベイラビリティゾーンは物理的に 離れ 分離されたデータセンター 無停止電源(UPS), バックアップ電源 など全て異なる電源供給元 冗長化されたTier-1ネットワーク
お客様のアプリケーション ライブラリ & SDKs Java, PHP,.NET, Python, Ruby コマンドラインインターフェース CLI Web 管理画面 Management Console 認証とログ IAM, CloudTrail, CloudHSM 監視 Cloud Watch デプロイと自動化 Elastic Beanstalk, Cloud Formation, OpsWorks アプリケーション Workspaces, Zacalo モバイル Mobile Analytics, Cognito, SNS アプリケーションサービス AppStream, Cloud Search, SWF, SQS, SES, Elastic Transcoder データベース RDS, DynamoDB, Redshift, ElastiCache 分析 Elastic MapReduce, Kinesis, Data Pipeline ストレージ EBS, S3, Glacier, Storage Gateway コンピュート処理 EC2, Auto Scaling, Elastic Load Balancing, コンテンツ配信 CloudFront ネットワーク VPC, Route 53, Direct Connect Region AZ グローバルインフラリージョン アベイラビリティゾーン エッジロケーション
本日ご紹介する主要サービス Amazon EC2 Amazon EBS Amazon S3 Amazon RDS
Amazon Elastic Compute Cloud(EC2) 仮想サーバーサービス 時間課金で即時起動できる 通常と変わらず自由にOSの設定 SWの Amazon Elastic Compute Cloud (EC2) インストールなど環境構築が可能 セットアップ後のマシンイメージも取得可能 1時間単位の稼働課金 全42モデル (2015.01.22現在) バランス, CPU, Memoryインテンシブモデル GPU, 高速ストレージモデルなど Xeon Ivy Bridge, Haswell Processor搭載
アプリケーション環境も簡単に準備 Internet セットアップ済み マシンイメージ DMZ Subnet EC2 Private Subnet EC2 直接起動 And more...
Amazon Elastic Block Store EC2にアタッチされるブロックレベルのストレージサービス 従量課金 利用したサイズ 期間による課金 スナップショットによるバックアップ ハイパフォーマンスストレージ
Amazon S3 (Amazon Simple Storage) 非常に耐久性の高いオンラインストレージサービス 耐久性 99.999999999% データを書き込むと 3つ以上のデータセンターに データを自動複製 格納容量が無制限 低価格 1GBあたり約3円 3兆個以上のオブジェクトを格納
Amazon RDS(Relational Database Service) マネージされたOracle, SQLServer, MySQL, PostgreSQLのサービス バックアップやフェイルオーバーに対応したDBを数クリックで利用可能 パッチ更新の自動化が可能 アベイラビリティゾーン A アベイラビリティゾーン B 自動 バックアップ 自動フェイル オーバ パッチ更新
企業ユーザはどのように AWS を活用しているか?
#1 開発 検証環境 Oracle 基幹業務システム HPC Mission Critical system 開発 テスト環境 5年で9割のコスト削減 固定資産管理からの 解放 ERPアプリケー ションの開発環境 調達のスピードと コスト削減 柔軟な開発環境を 手に入れ待ち行列がゼロ ビジネススピード向上
#2 新規アプリケーション サービス データ解析基盤 Data Analysis Amazon Redshiftで 安価なBI環境を実現し 顧客のニーズや 購買行動を迅速 正確に把握可能に 顧客情報 管理 検索システム Customer Search 個人情報を扱うため セキュリティーが 最優先事項 機会損失がないため IT部門が経営に貢献 モバイルメディア Mobile/Media システム構築期間の短縮 運用負荷と費用を削減 規模に合わせた システム拡張の柔軟性
#3 既存のアプリケーションをクラウドで補強 コンテンツ配信 Content Delivery メディアからの トラフィック 流入に対して安定的に コンテンツ配信 25%のレスポンス改善 アクセスログ集計 高負荷なバッチ処理 Log aggregation Batch Processing 月1.5億のアクセスログの 集計負荷をAWS上に構築 したETLサーバで軽減 運用開始までの時間を 1/3に短縮 4時間かかっていた処理を 20分に短縮 EDI ワークフロー 人事 Webサイトの AWS化をその後完了
#4 既存のインフラをクラウドで補強 DR バックアップ DR/Backup 3分の1のコストで 国をまたぐ バックアップと DR環境を実現 株価情報配信 Stock Info Delivery 銀行業務の一部を AWSに移行 Banking system migration 株価情報の配信や 既存のメインフレーム環境と 開発基盤に採用し ハイブリッド連携 既存決済系システムと 価格と俊敏性 連携 統一した管理体制の実現 需給に応じた柔軟性 37%コスト削減
#5 既存のアプリケーションの移行 東芝メディカルシステ ムズのPACS医用画像保 存にAmazon S3用 医療機関として保管が義務 付けられている診療データ 画像 を 安全な場所に 保管 災害や院内システム トラブルに対応 人事 会計システム を移行 プライベートクラウドから 大規模ERP環境を移行 ERP人事/会計システム は 2.5ヶ月の短期間で AWSへの移行を実現 自社マシンルーム撤廃 わずか2.5ヶ月で移行 国を跨いだDR構成を 容易に実現 50-60%のコスト削減
#6 All-in すべてのITをクラウドで 500台規模のプライベート 1000台以上のサーバーを 基幹システムをAWSに移行 クラウドを丸ごとAWSへ ほぼ全てをクラウドへ移行 その他の業務システムも 業務システムの全インフラを 5年間で40%のコスト削減 順次AWSに移行 数年かけてAWSに移行
クラウドのセキュリティ
AWSのセキュリティ方針 AWSクラウドのセキュリティ セキュリティはAWSにおいて最優先されるべき事項 セキュリティへの大規模な投資 セキュリティに対する継続的な投資 セキュリティ専門部隊の設置 共有責任モデルの採用 AWSと利用者の2者でセキュリティを確保
セキュリティエンハンスメント
利用者の統制 共有の責任 AWS の統制
利用者の統制 共有の責任 AWS の統制
Security OF the Cloud の管理 Security OF the Cloud
AWS コンプライアンスプログラム AWS クラウド インフラストラクチャは以下の規制 標準 およびベ ストプラクティスに準拠するよう設計 管理されています FedRAMP ITAR FIPS140-2 HIPAA ISO27001 PCIDSS SOC1 SOC2
Security OF the Cloud AWSは お客様が使用するAWS サービスに関連した 統制 およびそれらの統制がどのように検証されて いるかをお客様にご理解頂くことを支援致します Security OF The Cloud Security OF The Cloud http://aws.amazon.com/jp/compliance/ 業界における認定と独立したサードパーティによる証明を取 得します AWS のセキュリティと統制に関する情報をホワイトペーパー およびウェブサイトコンテンツで公表します NDA に従いAWS のお客様に証明書 レポートなどの文書を 直接提供します
データセンターの安全性 物理セキュリティ Amazonは数年間にわたり 大規模なデータセンターを構築 洪水などの環境的影響を考慮 重要な特性: 場所の秘匿性 周囲の厳重なセキュリティ 物理アクセスの厳密なコントロール 完全管理された 必要性に基づくアクセス データ セキュリティ 顧客データが 権限のない人々に流出しないようにするストレージ 廃棄プロセスを保持 DoD 5220.22-M National Industrial Security Program Operating Manual 国立産業セキュリティプログラム作業マニュアル NIST 800-88 Guidelines for Media Sanitization メディア衛生のための ガ イドライン )
Security IN the Cloud の管理 Security IN the Cloud
Amazon EC2 Security Group コンプライアンス Web Tier Application Tier Database Tier 80または443ポート のみをインターネッ ト側で受け付ける エンジニアがAP層に sshアクセスを行う オンプレミスDBとの同期 その他のインターネッ ト経由のアクセスは全 てデフォルトで拒否
Key Management Service(KMS) 暗号鍵の作成 管理 運用サービス AWS管理コンソール または API を使用した暗号化キーの一元管理 可用性 物理的セキュリティ ハードウェアの管理をAWS が担当す る完全マネージド型サービス 暗号化キーを保存および使用するための安全なロケーションを提供 サーバサイド暗号化(SSE-KMS) クライアントサイド暗号化 データストレージの暗号化 データストレージの暗号化
Trusted Advisor お客様のAWS環境を精査し 推奨事項をお知らせしてくれるサービス 多数のお客様にAWSのサービスを提供してきた経験から得られたベストプ ラクティスを活用 4カテゴリに対しベストプラクティスを推奨 コスト最適化 パフォーマンス セキュリティ 耐障害性
アプリケーションの安全性 お客様コンテンツ プラットフォーム / アプリケーション / アクセス管理 オペレーションシステム / ネットワーク / ファイアウォール クライアントサイド 暗号化 サーバサイド暗号化 ネットワーク トラフィック保護 サーバストレージデータベースネットワーク リージョンアベイラビリティゾーンエッジロケーション AWS グローバルインフラストラクチャ
APNパートナー様との協業 Consulting Partner (SI/MSP etc) : 101 Technology Partner (ISV/SaaS etc) : 123 日本電気株式会社 株式会社 サイバー コミュニ ケーションズ ジェイズコミュニケー ションズ株式会社 日本電気株式会社 Direct Connect Partner http://aws.amazon.com/jp/solutions/solution-providers-japan/
InfoCage SiteShell との組み合わせ
セキュアなシステムも InfoCage SiteShell と アマゾンで