AWSサポートによる運用効率と耐障害性の向上

Pulisher : Cloud Technology Center イ・イェウン
Description : 運用効率とレジリエンスの問題についての説明とビジネスに与える影響、AWS Supportサービスなどを紹介したセッション

はじめに

AWSのTrusted Advisor、Incident Detection and Response、セキュリティ改善プログラム、コスト最適化ワークショップなどのツールを活用して、企業の運用効率とレジリエンスを向上させる方法を理解し、クラウド展開とインシデント対応を事前に最適化し、主要メーカーの事例から直接的な経験と戦略を得たいと考えています。

セッションの概要紹介

このセッションでは、運用効率とレジリエンスの問題についての説明と、ビジネスに与える影響、その問題を解決できるAWS Supportサービスなどについて発表しました。

AWS Trusted Advisorは、AWSのベストプラクティスを中心とした主要ツールの一つであり、アカウント内のすべてのリージョンで実行される300以上のパフォーマンス向上とコスト最適化を含む様々な指標を提供します。

指標は6つのグループに分類され、推奨事項は緑色(措置不要)、黄色(調査が必要)、赤色(措置が必要)で表示されます。Trusted Advisorは様々なサービスと統合されており、AWSコンソールまたはAPIを通じて活用可能で、EventBridge統合を通じて特定のイベントに対するプッシュ通知も可能です。

AWS Trusted Advisorを様々なチームが活用する例をいくつか紹介しました。 財務チームは、アイドル状態のRDSインスタンスや利用率の低いEBSボリュームのような非効率的なリソースを特定し、コストを削減することができます。セキュリティチームは、公開されたアクセスキーや公開スナップショットなどのセキュリティの脅威を検出することができ、サイトの安定性チームは、中断のリスクがある未設定のRDSインスタンスなどの事例を確認することができます。

Trusted Advisorは、各チームの役割と責任に応じて、特定の目的に合わせて設計されたさまざまなタイプのチェックを提供することで、チーム間のコラボレーションを容易にすることができると述べています。

AWS Trusted Advisorを使用すると、アカウントチームはユーザーに関連する推奨事項を選別し、共有することができます。AWS組織の管理アカウントを通じて推奨事項の優先順位を確認することができ、これはシステムにフィードバックを提供し、実装中の優先順位付けロジックを改善し、推奨事項に対するアクションの記録と共有を通じて効果的なタスク管理を可能にします。

Trusted Advisor Priorityを選択すると、数十万件の作業中のレコメンデーションを集計することができ、手動で入力されたレコメンデーションも提供します。これにより、アカウントチームは、企業の特別なニーズに合わせて手動で推奨事項を提供し、特定のイベントやワークショップを通じてこれを活用することができます。このような機能は、Trusted Advisorを効果的に活用することで、ビジネス成果を向上させ、顧客に適したレコメンデーションを選択するのに役立つと述べています。

Trusted Advisor Priorityは、いくつかの主要なステップで動作します。まず、AWS組織内のすべてのアカウントから推奨事項を集約し、顧客の状況に合わせて訓練されたMLモデルを使用して、優先順位に基づいてパッケージ化します。 アカウントチームは、顧客にとって重要と思われる上位の推奨事項を選択して共有し、マスターアカウントが推奨事項全体を管理しながら作業を進めます。

このようなレコメンデーションは、マスターアカウントと同じ形式で他のアカウントに伝達され、各アカウントはそのレコメンデーションに応じてアクションを取るか無視することができます。Trusted Advisor Priority APIを使用すると、内部システムでレコメンデーションを効果的に活用することができ、アップデートレコメンデーションライフサイクルAPIを使用して貴社の行動から学習し、優先順位ロジックを改善することができます。

次に、Trusted Advisor以外にも、運用効率を向上させるのに役立つ内容について説明しました。

お客様がアプリケーションをクラウドに移行する際に、レジリエンスに関する重要な質問が発生し、お客様はAWSサービスを通じて構築されたアプリケーションの全体的なレジリエンスを確認し、耐久性と冗長性の目標を満たしていることを確認したいと考えています。 このため、AWSサポートプログラムのDr PETという概念を導入しました。Dr PETは、AWSの専門家が参加し、環境のセキュリティ状態を確認し、レジリエンスの準備を改善するための推奨事項を提供します。

大規模な組織では、Resilience HubというAWSサービスを活用することで、Dr PETが行う作業の一部を自動化できるとのことです。Resilience Hubは、環境内のレジリエンスのギャップを特定し、レジリエンスポリシーを活用してレジリエンス目標を達成できるかどうかを確認し、必要に応じて推奨事項を提供します。また、コスト見積もりと運用上の推奨事項も提供し、全体的な回復力を向上させるのに役立つと述べました。

企業がセキュリティ面で複数のAWSアカウントを管理する中、アカウント間のセキュリティ成熟度の多様性があります。 各アカウントがモノリシックアプリケーション、サーバーレスアプリケーション、サードパーティアプリケーションなどをホスティングしているため、単一のセキュリティポリシーを適用することが難しい状況です。 これに対して、AWS Supportプログラムのセキュリティ改善プログラムを紹介します。

セキュリティ改善プログラムは、多様なアカウントとセキュリティ状態に対する持続的かつ一貫性のあるポリシーを実装することが難しい状況で、セキュリティ状態の成熟度を検討・比較し、250以上の業界ベストプラクティスに基づいてセキュリティスコアを提供します。また、5つのセキュリティ原則に対する加重セキュリティスコアを算出し、よく設計されたフレームワークを提供し、改善を支援します。 その後、文書、アーティファクト、スクリプトの形で実行計画を提供し、Trusted Advisor Priorityを通じて追跡可能にします。すべての推奨事項に対する所有者の確認とフィードバックループを通じて、対策を講じることができるようにします。

セキュリティに重点を置いたTrusted Advisorの5つのセキュリティ原則は、IDとアクセス管理、検知、監査とロギング、インフラ保護、データ保護、そしてインシデント対応であると説明し、各原則は様々な側面での重要性を強調し、これを通じてセキュリティ状態の成熟度を検討し、比較するセキュリティ改善プログラムを提示しました。

AWS Supportプログラムでこれを実行するために、Security Hubサービスを活用して結果を集計し、効果的なセキュリティ監視と対応を支援することも言及されました。

AWSのインシデント検出および対応（IDR）サービスは、重大なインシデントが発生した場合に迅速に復旧する機能を提供します。IDRは、24時間365日の監視を通じて重要な環境を検知し、インシデント管理チームがサポートサービスを提供することで、コンプライアンス要件を満たすために重要な役割を果たします。IDRを使用することで、インシデント検出後の応答時間が大幅に短縮され、ミッションクリティカルなアプリケーションに競争上の優位性をもたらし、お客様はIDRを使用することで、AWSのインシデント管理チームと協力してインシデントの調査とトラブルシューティングを行い、インシデントを防ぐことができると述べています。

お客様は、AWSのインシデント検出および対応（IDR）サービスを使用することで、インシデント管理チームとの緊密な連携により、より良い指標を設定し、迅速に関与して迅速な解決を得ることができ、AWSのイベントに対するインシデント管理を通じて事前通知を受け取り、大規模なイベントが発生する前に対策を講じることができると述べています。 このようなインシデント対応アプローチは、クラウド環境の信頼性を向上させ、クラウドサービスをより効率的に活用するのに役立ちます。

次に、コスト管理に関する戦略を見ると、クラウドの採用が進めば進むほど、AWSサービスの使用量が増え、コストが増加します。 そのため、強力なクラウド管理とコスト管理戦略が必要であり、リソースの過剰プロビジョニングやリソースの利用率などの異常な慣行を継続的に確認する必要があり、特に、数千のアカウントを対象に大規模にこれを行うことは困難な場合があると述べました。

最後に、企業がクラウド運用コストを効率的に管理し、最小化するためのプログラムであるAWSワークショップに参加することが役に立ち、参加することで、クライアントは運用効率を向上させ、クラウドコストを効果的に管理することができると説明し、発表を締めくくりました。

セッションを終えて

このセッションを通じて、AWS Trusted Advisor、AWSインシデント検知及び対応、セキュリティ改善プログラム、コスト最適化ワークショップなどのエンタープライズ支援ツールを使用して、復元力、運営効率、コスト最適化及びセキュリティを改善する方法を学びました。 ただし、詳細な内容については不足している部分があり、今後別途の学習及び構成を通じて進行する必要があると思いました。