Please enable JavaScript.
Coggle requires JavaScript to display documents.
DBRE 活動軸 - Coggle Diagram
DBRE 活動軸
セキュリティ
クラウドセキュリティの設計観点
トレーサビリティ
ログ
メトリック
CPU使用率
ディスク使用率
イベント
設定変更
Parameter Group
リソース変更
インスタンスサイズ
インスタンスコピー
変更をコントロール
Replica 追加
情報の拡散を検知
CloudTrail
ディスクサイズ追加
エンドポイントの変更
Snapshot の共有・展開
ストレージの暗号化
SnapShot が流出した際の対策
KMS
多層防御
データそのものを守る
Privateでの利用
Security Group
VPC
リソースのコンプライアンスチェック
AWS Config
データベースのリソース操作をさせない
IAM Policy
プロセス整備
プロアクティブアクション
脆弱性を抱えたバージョンを使用していないか
バージョンアップに対してのアプローチを定める
リアクティブアクション
(発生してしまった後)
データベース利用
多層防御
ユーザー
パスワード管理
ユーザー管理
暗号化された状態での管理
Ansible
SSM
データベースへのアクセスコントロール
GRANTでのコントロール
トレーサビリティ
ログ
エラーログ
監査
ユーザーのアクセスをチェック
設計
個人情報が格納されているテーブルの管理・把握できる状態
DataDog
ドキュメント??
プロセス整備
観点
達成したい事
達成したいことで何を防ぎたいのか
対応策(How)
Howの理由
クラウド設計
RDS等のクラウドリソースに対する操作への対策ができている状態
意図していないSnapshot の共有・展開で起きる問題
IAM
必要に応じた権限を付与することでコントロールする
KMS
ストレージの暗号化によりSSの流失があってもKeyがないと展開できないため多重防御できる
インスタンスへの意図していない操作(追加・削除等)
リソース変更がいつ・何が行われていたのが確認出来ないこと
CloudTrail
いつ・誰が(Policy・User等)・なんのリソース変更を行ったのかを追跡可能にする。
PublicへRDSが晒されていない状態
意図していない箇所からのアクセス
VPC
Privateで作成する
Security Group
意図したIPからのアクセスにすることができる
リソースのコンプライアンスチェックが行える状態
最低限設定しておきたいもの(PublicにRDSないよねなど)が満たせていない状態
AWS Config
AWSのリソースがどういう状態になっているかをチェックでき、アラートを上げられる
データベース利用
ユーザーの管理が適切に行える状態
ユーザーの管理が煩雑になる事
Ansible
ユーザーのコード化・パスワードの暗号管理
アプリケーションに直接パスワードが記載されている状態
SSM(parameter store)
アプリケーションコードにパスワードを保持しない運用が可能になる
個人情報が格納されているデータの利用状況が把握できる状態
個人情報へのアクセスが明確になっていない状態
AuditLog
個人情報が格納されているテーブルにアクセスがあった際にアラート
DataDog
運用の優秀性
クラウド設計
運用をコードとして実行する
Terraform
cloudformation
小規模かつ可逆的な変更を頻繁に行う
運用手順を定期的に改善する
障害を予想する
DataDog
CloudWatch
運用上のすべての障害から学ぶ
振り返り
データベース利用
コスト最適化
データベース利用
クラウド設計
クラウド財務管理の実装
消費モデルを導入
全体的な効率を測定する
差別化につながらない高負荷の作業に費用をかけるのをやめる
費用を分析および属性化する
信頼性
クラウド設計
障害から自動的に復旧する
復旧手順をテストする
水平方向にスケールしてワークロード全体の可用性を高める
キャパシティーを推測することをやめる
オートメーションで変更を管理する
データベース利用
パフォーマンス効率
データベース利用
クラウド設計
最新テクノロジーの標準化
わずか数分でグローバル展開する
サーバーレスアーキテクチャを使用する
より頻繁に実験する
システムに対する精通の程度を考慮する