AWS のセキュリティレベルがまた上がった! [cloudpack OSAKA blog]
ナスです。
re:Invent が終わって1週間経ちましたが、皆さん新サービスで使ってみたいものはあったでしょうか? たくさんのサービスがリリースされたので、正直全部追いきれないというのが私の感想です。
各社、各個人のブログ等で新サービスの紹介がされていますが、私からはすごく地味だけど重要な新サービスを今さら紹介してみます。
これで、AWS を使わない理由が減り、AWS を使うべき理由も増えました!
AWS Shield!
AWS Shield Standard は追加費用なしで、すべてのAWS顧客が利用できます。 SYN/ACK フラッド、リフレクション攻撃、HTTPスローリードなど、今日最も一般的な攻撃の96%からお客様を守ります。 この保護は、Elastic Load Balancer、CloudFrontディストリビューション、Route 53リソースに自動的かつ透過的に適用されます。
全部とは言いませんが、既知の攻撃からは守ってくれそうな文言です(残りの4%ってなんだろう?)。しかもタダで、ELB、CloudFront、Route53 に自動で適用してくれます。これ、他のクラウドサービスやデータセンターだとどうでしょうか? ほとんどが「それはお客様の責任範疇です。」って回答になると思います。基本的にすべての攻撃を完全に防ぐことは不可能なので、96%が正しいとすると、Standard でも十分に効果がありますね。あとは、攻撃の被害にあったことを想定して運用を考えるだけです。
クラウドはセキュリティが心配ってまだ言いますか?
AWS に限らず、各クラウドサービス提供事業社はセキュリティに関しては非常に気を使っています。顧客の情報を預かる上では当然のことです。例えば、AWS では「FISC 安全対策基準」についてどのように遵守しているかを公開しています。
FISC 安全対策基準の対応状況リストで、かなりの項目が基準を満たしていることがわかります。例えば、この「FISC 安全対策基準」、皆さんのシステムが置いてあるデータセンター等では満たしてますか? もし満たしてないのであれば、AWS の利用について心配する前に今の状況を心配しないといけません。
AWS は、使った分だけ使用料を払うだけでよく、しかもその使用期間中は上記のような高度なセキュリティを提供してくれて、そのセキュリティは AWS 使用料に含まれています。同じ仕組みを自社で作ろうとすると時間もお金も足りません。利用者がこれだけ安価にメリットを享受できるサービスはそう多くありません。
AWS を使いたいけどセキュリティガーって言われて困っている人はこういうネタが参考になると思いますので、説得ネタとして頭のどこかに置いといてもらえればと思います。
勝手に yum update がかからないように [cloudpack OSAKA blog]
ナスです。
なんか勝手に yum update が走ってるぞ…
AmazonLinux の AMI を作成して、それを基に EC2 インスタンスを起動したら、勝手に yum update がかかってしまいました。今インストールしている特定のミドルウェアだけを更新したかったのに、全部のミドルウェアのバージョンが上がってしまいました。
今まで何気なくやっていた作業なのに気付かなかったなーと思ったら、だいたい構築し終わってすぐに AMI 作成して EC2 の起動確認するから気付かなかったんですね。ちょっとした作業でも気づきがあって、クラウドの世界って面白いです。(ハマると悲惨ですが…
さて、これなんとかならないものか
簡易なDRを組んでいて訓練等でDRサイトで AmazonLinux を起動したり、検証で AMI から新規に AmazonLinux を作成したりした時に毎回 yum update が動くと困ります。なんか回避手段ないかなーと調べてみたら、普通にありました。しかもよくある質問に。
よくある質問 - Amazon Linux AMI | AWS
AMI から EC2 を起動する時に、ユーザデータの箇所を下記のようにするだけでいけます。
#cloud-config
repo_upgrade: none
こうすることで、EC2 起動時にパッケージの更新がされなくなります。
最近はしっかりとドキュメントを読んでるつもりでしたが、まだまだ知らないことがたくさんありそうです。