AWSで変わるコスト構造と
セキュリティの考え方
アマゾン データ サービス ジャパン
酒徳 知明
自己紹介
酒徳 知明
(さかとく ともあき)
エコシステム ソリューション部
ソリューション アーキテクト
• エンタープライズ パートナー様のご支援
• ISVパートナー様のご支援
• 好きなAWSサービス:運用管理、統合監視、自動化
アマゾンのビジネスモデル
成長
低コスト
構造
低価格の
商品提供
顧客の
満足度向上
販売量増
売り手の
増加
品揃えの
増加
創業者ジェフ・ベゾスが起業時にレストランのナプキンに書いたオリジナルのコンセプト図アマゾンの3つのビジネス
一般消費者様
向けサービス
セラー様向け
サービス
企業様向け
サービス
Eコマース
(Amazon.co.jp)マーケットプレイス
物流サービス提供
(Amazon Services)クラウド
コンピューティング
AWS(Amazon Web Services)の歴史
1
2006年
米国で、クラウドストレージ=Amazon S3クラウド仮想サーバ=Amazon EC2のサービスを開始1 1
2009年
2011年
仮想プライベートクラウドサービス=Amazon VPC RDBサービス=Amazon RDSを開始 世界で5番目のリージョンとして、 日本に東京リージョン(データセンタ群)を開設 1現在
世界11か所のデータセンター群と、52拠点を超えるエッジロケーション網で、40を超えるサービスを提供アマゾン ウェブ サービスは
Amazon社内の
ビジネス課題を解決
創業当時のアマゾン ECサイト
amazon.com,
today
現在のアマゾン ECサイト
グローバル展開 - アメリカ - カナダ - 中国 - フランス - ドイツ - イタリア - 日本 - スペイン - イギリス 数十億の商品 1週間で5000万品の更新Amazonのビジネス課題 No. 1
Amazon S3 - 容量無制限で耐久性の高いストレージ
• 非常に耐久性の高い(99.999999999%) 、オンラインストレージサービス • 格納容量に制限がない • ストレージ用サーバやディスクの運用か ら解放される • 1GB約3円程度からの従量課金により低 コストにデータを保存 • アクセスコントロール、暗号化などセキ ュリティ機能も万全クラウドストレージ
なぜクラウドが注目されているのか?
初期投資不要
完全従量課金
柔軟なキャパシティ
市場投入スピード
セキュア
グローバル展開
コストを掛けず、いつでも、柔軟なインフラリソース
を誰でも手に入れることができる
中央発電所+
送電網の出現が
パラダイムシフトに
「発電機を持つ」ことは
差別化要因
ではなくなった
「電気を利用して
何を創造するか
」が
大きな差別化要因に。
Gartner Magic Quadrant for Cloud Infrastructure as a Service
Gartner “Magic Quadrant for Cloud Infrastructure as a Service,” Lydia Leong, Douglas Toombs, Bob Gill, Gregor Petri, Tiny Haynes, May 28, 2014. This Magic Quadrant graphic was published by Gartner, Inc. as part of a larger research note and should be evaluated in the context of the entire report. The Gartner report is available at http://aws.amazon.com/resources/analyst-reports/. Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings. Gartner research publications consist of the opinions of Gartner's research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.
お客様のフィードバックに基づく
イノベーションのペース
2008 2009 2010 2011 Amazon EBS Amazon SNS AWS Identity & Access Management Amazon RDS Amazon VPC Auto Scaling Elastic Load Balancing Amazon ElastiCache Amazon SES AWS CloudFormation AWS Direct Connect AWS Elastic Beanstalk GovCloud Amazon SWF Amazon Route 53 Amazon Redshift Amazon Glacier Amazon Dynamo DB Amazon CloudSearch AWS Storage Gateway Amazon CloudTrail Amazon CloudHSM Amazon WorkSpaces Amazon Kinesis Amazon Elastic Transcoder Amazon AppStream AWS OpsWorks AWS Data Pipeline 2013 2012• 累計で900近いサービスと新機能の紹介
• 35件以上のメジャーなサービス発表
• 通算45回を超える価格改定
2014 Amazon CloudFront Amazon Cognito Amazon Zocalo Amazon Mobile Analytics AWS Directory Service Frankfurt Region Amazon EC2 New Instances T2 R3AWS グローバルネットワーク
11
のリージョン
1. US EAST (Virginia) 2. US WEST (N. California) 3. US WEST 2 (Oregon) 4. EU WEST (Ireland) 5. JAPAN (Tokyo)6. South America (Sao Paulo)
7. ASP 1 (Singapore)
8. ASP 2 (Sydney)
9. GovCloud
10.BJS 1 (Beijing China) limited preview
11.EU (Frankfurt)
EU (Frankfurt) Region
EC2 Availability Zones: 2
アベイラビリティゾーン
各リージョン内には
最低2つ以上
のアベイラビリティゾーンが存在
• アベイラビリティゾーンは物理的に
離れ、分離されたデータセンター
• 無停止電源(UPS), バックアップ電源
など全て異なる電源供給元
• 冗長化されたTier-1ネットワーク
お客様のアプリケーション
ストレージ
EBS, S3, Glacier, Storage Gateway
コンテンツ配信
CloudFront
ネットワーク
VPC, Route 53, Direct Connect 認証とログ IAM, CloudTrail, CloudHSM 監視 Cloud Watch Web管理画面 Management Console デプロイと自動化 Elastic Beanstalk, Cloud Formation, OpsWorks コマンドライン インターフェース CLI ライブラリ & SDKs Java, PHP, .NET, Python, Ruby グローバルインフラ リージョン、アベイラビリティゾーン、エッジロケーション AZ Region コンピュート処理
EC2, Auto Scaling, Elastic Load Balancing,
データベース
RDS, DynamoDB, Redshift, ElastiCache
分析
Elastic MapReduce, Kinesis, Data Pipeline
アプリケーションサービス
AppStream, Cloud Search, SWF, SQS, SES, Elastic Transcoder
アプリケーション
Workspaces, Zacalo
モバイル
本日ご紹介する主要サービス
Amazon EC2 Amazon EBS Amazon S3 Amazon RDSAmazon Elastic Compute Cloud(EC2)
Amazon Elastic Compute Cloud (EC2)仮想サーバーサービス
• 時間課金で即時
起動できる• 通常と変わらず
自由にOSの設定、SWの インストールなど環境構築が可能 • セットアップ後のマシンイメージも取得可能 • 1時間単位の稼働課金Xeon Ivy Bridge, Haswell Processor搭載
全42モデル
(2015.01.22現在)• バランス, CPU, Memoryインテンシブモデル • GPU, 高速ストレージモデルなど
アプリケーション環境も簡単に準備
And more... 直接起動 セットアップ済み マシンイメージ Internet DMZ Subnet Private Subnet EC2 EC2Amazon Elastic Block Store
• EC2にアタッチされる
ブロックレベルのストレージサービス
• 従量課金
• 利用したサイズ・期間による課金
• スナップショットによるバックアップ
• ハイパフォーマンスストレージ
Amazon S3 (Amazon Simple Storage)
• 非常に耐久性の高いオンラインストレージサービス
– 耐久性:99.999999999%• データを書き込むと、
3つ以上のデータセンター
に
データを自動複製
• 格納容量が
無制限
• 低価格
– 1GBあたり約3円 • 3兆個以上のオブジェクトを格納Amazon RDS(Relational Database Service)
• マネージされたOracle, SQLServer, MySQL, PostgreSQLのサービス • バックアップやフェイルオーバーに対応したDBを数クリックで利用可能 • パッチ更新の自動化が可能 アベイラビリティゾーン A アベイラビリティゾーンB 自動 バックアップ 自動フェイル オーバ パッチ更新
企業ユーザは
#1 開発・検証環境
ERPアプリケー ションの開発環境 調達のスピードと コスト削減Oracle
開発・テスト環境 5年で9割のコスト削減 固定資産管理からの 解放HPC
柔軟な開発環境を 手に入れ待ち行列がゼロ ビジネススピード向上基幹業務システム
#2 新規アプリケーション・サービス
個人情報を扱うため、 セキュリティーが 最優先事項 機会損失がないため IT部門が経営に貢献データ解析基盤
Data Analysis Amazon Redshiftで 安価なBI環境を実現し、 顧客のニーズや 購買行動を迅速、 正確に把握可能にモバイルメディア
Mobile/Media システム構築期間の短縮 運用負荷と費用を削減 規模に合わせた システム拡張の柔軟性顧客情報
管理・検索システム
Customer Search#3 既存のアプリケーションをクラウドで補強
月1.5億のアクセスログの 集計負荷をAWS上に構築 したETLサーバで軽減 運用開始までの時間を 1/3に短縮コンテンツ配信
Content Delivery メディアからの トラフィック 流入に対して安定的に コンテンツ配信 25%のレスポンス改善高負荷なバッチ処理
Batch Processing 4時間かかっていた処理を 20分に短縮 EDI、ワークフロー、 人事、Webサイトの AWS化をその後完了アクセスログ集計
Log aggregation株価情報の配信や 開発基盤に採用し、 既存決済系システムと 連携 需給に応じた柔軟性 3分の1のコストで、 国をまたぐ バックアップと DR環境を実現 既存のメインフレーム環境と ハイブリッド連携 価格と俊敏性 統一した管理体制の実現 37%コスト削減
#4 既存のインフラをクラウドで補強
DR・バックアップ
DR/Backup銀行業務の一部を
AWSに移行
Banking system migration
株価情報配信
ERP人事/会計システム は、2.5ヶ月の短期間で AWSへの移行を実現 自社マシンルーム撤廃
東芝メディカルシステ
ムズのPACS医用画像保
存にAmazon S3用
医療機関として保管が義務 付けられている診療データ (画像)を、安全な場所に 保管。災害や院内システム トラブルに対応プライベートクラウドから
大規模ERP環境を移行
わずか2.5ヶ月で移行 国を跨いだDR構成を 容易に実現 50 - 60%のコスト削減人事・会計システム
を移行
#5 既存のアプリケーションの移行
#6 All-in すべてのITをクラウドで
1000台以上のサーバーを ほぼ全てをクラウドへ移行 5年間で40%のコスト削減 500台規模のプライベート クラウドを丸ごとAWSへ 業務システムの全インフラを 数年かけてAWSに移行 基幹システムをAWSに移行 その他の業務システムも 順次AWSに移行AWSのセキュリティ方針
• AWSクラウドのセキュリティ
– セキュリティはAWSにおいて最優先されるべき事項 – セキュリティへの大規模な投資 – セキュリティに対する継続的な投資 – セキュリティ専門部隊の設置• 共有責任モデルの採用
– AWSと利用者の2者でセキュリティを確保利用者の統制
AWSの統制
共有の責任
利用者の統制
AWSの統制
共有の責任
Security OF the Cloudの管理
Security
“OF”
ISO27001 PCIDSS SOC1 SOC2 FedRAMP ITAR FIPS140-2 HIPAA
AWS コンプライアンスプログラム
AWS クラウド インフラストラクチャは以下の規制、標準、およびベ
ストプラクティスに準拠するよう設計、管理されています
http://aws.amazon.com/jp/compliance/ Security “OF” The Cloud • 業界における認定と独立したサードパーティによる証明を取 得します • AWS のセキュリティと統制に関する情報をホワイトペーパー およびウェブサイトコンテンツで公表します • NDA に従いAWS のお客様に証明書、レポートなどの文書を 直接提供します AWSは、お客様が使用するAWS サービスに関連した 統制、 およびそれらの統制がどのように検証されて いるかをお客様にご理解頂くことを支援致します。
Security “OF” the Cloud
Security
“OF”
データセンターの安全性
物理セキュリティ • Amazonは数年間にわたり、大規模なデータセンターを構築 – 洪水などの環境的影響を考慮 • 重要な特性: – 場所の秘匿性 – 周囲の厳重なセキュリティ – 物理アクセスの厳密なコントロール – 完全管理された、必要性に基づくアクセス データ・セキュリティ • 顧客データが 権限のない人々に流出しないようにするストレージ 廃棄プロセスを保持 • DoD 5220.22-M(「National Industrial Security Program Operating Manual(国立産業セキュリティプログラム作業マニュアル)」)
• NIST 800-88(「Guidelines for Media Sanitization(メディア衛生のための ガ イドライン)」)
Security IN the Cloudの管理
Security
“IN”
Web Tier Application Tier Database Tier 80または443ポート のみをインターネッ ト側で受け付ける エンジニアがAP層に sshアクセスを行う オンプレミスDBとの同期
Amazon EC2 Security Group(コンプライアンス)
その他のインターネッ ト経由のアクセスは全 てデフォルトで拒否
• 暗号鍵の作成、管理、運用サービス
– AWS管理コンソール、または API を使用した暗号化キーの一元管理
– 可用性、物理的セキュリティ、ハードウェアの管理をAWS が担当す
る完全マネージド型サービス
– 暗号化キーを保存および使用するための安全なロケーションを提供
Key Management Service(KMS)
データストレージの暗号化 サーバサイド暗号化(SSE-KMS)
Trusted Advisor
• お客様のAWS環境を精査し、推奨事項をお知らせしてくれるサービス • 多数のお客様にAWSのサービスを提供してきた経験から得られたベストプ ラクティスを活用 • 4カテゴリに対しベストプラクティスを推奨 – コスト最適化 – パフォーマンス – セキュリティ – 耐障害性アプリケーションの安全性
AWS グローバル インフラストラクチャ リージョン アベイラビリティ ゾーン エッジ ロケーション サーバ ストレージ データベース ネットワーク クライアント サイド 暗号化 サーバ サイド暗号化 ネットワーク トラフィック保護 オペレーション システム / ネットワーク / ファイアウォール プラットフォーム / アプリケーション / アクセス管理お客様コンテンツ
APNパートナー様との協業
Technology Partner (ISV/SaaS etc) : 123
日本電気株式会社
Direct Connect Partner
http://aws.amazon.com/jp/solutions/solution-providers-japan/ 株式会社 サイバー・コミュニ ケーションズ ジェイズコミュニケー ションズ株式会社
Consulting Partner (SI/MSP etc) : 101
