はじめに
アーキテクトプロでは以下が問われると感じています。
・暗号化ソリューションの理解
・移行ソリューション理解
・ハイブリッドアーキテクチャを設計
・ビジネスの目標をアプリケーションおよびアーキテクチャ要件に落とし込む(問題文のミソを読み取る)
学習
Black Belt Online Seminar AWS上の暗号化ソリューション
暗号化の種類
- 共通鍵暗号方式
- 暗号化と複合化に同じ鍵を使用
- 対称鍵暗号方式
- 代表的な暗号化アルゴリズム
- DES・AES
- 公開鍵暗号方式
- 電子署名
- 方方向暗号方式
- データチェック
暗号化を利用したデータ保護
- 通信の暗号化
- SSL/TLS
- SSL
- TCP上でアプリケーション通信を暗号化する
- TLS
- SSLの後継
- SSL
- IPSec
- 無線LAN暗号化
- SSL/TLS
- 保管データの暗号化
- ファイル暗号化
- 暗号化ファイルシステム
- DB暗号化
- ブロックデバイス暗号化
AWSにおける暗号化モデル
AWSサービスでの暗号化の選択肢
- CSE
- S3
- EMRFS
- DynamoDB
- SSE
- S3
- EBS
- RDS
- RedShift
AWS再入門 – Amazon KMS編
ざっくりユースケース
- SSE
- CSE
- app-CSE
鍵の管理
- 鍵の管理
- 一年ごとローテーション
- 過去のカギは残り続ける
- キーが更新されてもIDは変わらない。新しいバージョンのカギがエイリアスとして内部的に紐づけられる。
- キー削除時に猶予期間が設定
10分で思い出す
KMS
- データ復号用・暗号用のカギをAWS上で管理するサービス
- 正確にはデータ暗号化に使う鍵(データキー)を暗号化する為のカギ(マスターキー)を管理するためのサービス
鍵を安全な場所で管理するのであれば、データキーを暗号化する意味はあるのだろうか...
盗まれた時のためと説明がある通り、AWSのそんなに大切なものだったら従来通りオンプレでやれよという前提を感じることができるいいサービスですね。
安いには理由がある
二つのカギの特徴
-
マスターキー
- データキーを暗号化
- AWS内部で永続化される
- ユーザがローカルにエクスポートできない
-
データキー
- データを複合化
- AWS内部で永続化されない
- ユーザがローカルにエクスポートできる
鍵に対して可能な操作
- マスター
- 作成 CreateKey
- 更新 EnableKeyrotetion
- ローテーションされたキーは複合のみに使用される
- 無効 DisableKey
- マスターによって作られたデータキーの操作もすべて失敗になる
- 有効 EnabledKey
暗号化コンテキストを使った改ざん防止
AWS KMSには暗号化コンテキスト(Encryption Context)という形で追加認証データ(AAD)が組み込まれています。
データの秘匿性・完全性・認証制を提供する
- 暗号化・復号化時に渡すキーバリューのペア
- 暗号化コンテキスト自体は暗号化されない
- センシティブなデータには使用しない
- いつ使うねん
- Trailのログを有効にしているとS3に保存される
【2020年】AWS全サービスまとめ きになったとこ
Amazon Lightsail
VPSサービス。EC2とは料金プランが異なり、ほとんど設定をすることなくWordPressやRedmineなどがインストールされたサーバーを起動できる。EC2への移行パスも用意されている。
Amazon Lightsailとは?EC2との違いとメリット・デメリットを調べてみた
https://techblog.nhn-techorus.com/archives/14300
Amazon Lightsailは、AWSが提供しているVPS(Virtual Private Server:仮想プライベートサーバー)サービスです。
他のAWSのサービスは、機能ごとに1つのサービスとして提供されています。しかしAmazon Lightsailはコンピューティング、ストレージ、データ転送など、WebサイトやWebサービスなどに使うサーバーとして必要な機能を組み合わせ、1つにまとめたパッケージで提供されています。そのため、Amazon Lightsailは、一般的なレンタルサーバーを利用するように、1つのサービスに申し込むだけでWebサイトやWebサービスを作ることが可能です。
AWS Batch
バッチ処理を実行できるサービス。サーバー不要・処理の実行という点でLambdaと似ているが、Lambdaにはリクエストあたりの最大実行時間が900秒という制限があるため、時間のかかる処理や複雑な処理をしたい時に使用する。処理は ジョブ という単位で登録し、ECSコンテナクラスターで実行される。
AWS Elastic Beanstalk
アプリケーションのデプロイ・管理サービスで、AWSのPaaSのひとつ。EB単体のものではなく、実態はEC2やS3、RDSやELBなどをプロビジョニングするサービス。
AWS Serverless Application Repository
サーバーレスアプリケーションのためのクラウドリポジトリサービス。公開されているアプリケーションを自身の環境に簡単にデプロイできる。自身で公開することも可能で、公開するアプリケーションはAWS Serverless Application Model(AWS SAM)にのっとって作成する必要がある。
AWS Outposts
AWS Outpostsとは
https://dev.classmethod.jp/articles/aws_outpost_launch_partner_reinvent2019/
AWSから提供される物理ハードウェアをお客様環境(オンプレミス)に設置し、AWSを拡張するサービスです。AWS OutpostsはAWSのデータセンターのアーキテクチャ、つまりNitro Systemで設計されています。またオンプレミスと物理的な線での接続、近距離のロケーションに配置することで超低レイテンシーを実現します。
Nitro System
Nitro Systemは仮想マシンを提供するAmazon EC2を実現するためのサブシステムです。もともとAmazon EC2を実現するためにホストサーバで稼働していたソフトウェアを、AWSが独自に開発したハードウェアにオフロードしたもの。
Amazon EC2 Image Builder
Amazon EC2およびオンプレミスで使用するLinuxまたはWindowsのゴールデンイメージ作成を自動化するサービス。イメージの作成、テスト、メンテナンスなどを自動化するパイプラインを作成し、イメージをセキュアで最新に保つ労力を最小化する。
EC2のイメージ作成を劇的に効率化するEC2 Image Builderが発表されました! #reinvent
今まで手動で実行したり、Packerなどのサードパーティ製ツールを使って実装する必要があったイメージ更新の自動化〜テストが、このサービス一つで全部広範囲に対応することができます。
Amazon S3
-
Glacier Deep Archive 3行まとめ
- Glacier よりもコストが低く、全てのストレージクラスで最も低コスト
- 最小保存期間は180日で、最低180日よりも前にオブジェクトを削除した場合、180日分課金される
- 復元オプションの標準取り出しで12時間以内、一括取得で48時間以内待つ必要がある
-
Amazon S3 Access Points