AWS利用組織を改善する4つの便利なサービス

投稿日: 2021年6月29日 作成者: クライム
このエントリーをはてなブックマークに追加
LINEで送る

AWS S3 Storage Lens

ストレージは、クラウドで最も利用されているサービスの一つであり、コンピューティングパワーに匹敵するものです。。しかし、適切なS3ストレージツールを使用しても、データをS3バケットにダンプするだけではなく、データを保存するための方法があります。より多くのオブジェクトを保存したり、クラウドのストレージ要件が変化したりすると、適切なデータ管理から遠ざかる傾向があります。つまり、サブフォルダの構造や命名規則性などが理想的でなくなる可能性があります。

つまり、複雑さとストレージの増加に伴い、手に負えなくなり、機能的ではあっても、非常に混乱したストレージ・ソリューションになってしまうのです。これでは、適切なストレージ階ティアを利用していないため、結果的に過剰なストレージコストが発生してしまいます。例えば、あまり使わないデータをAWS Glacierのようなコールド・ストレージや、少なくともInfrequent Access S3ティア(層)に移す代わりに、追加のメリットがないのにコストがかかるStandardティアを過剰に利用している可能性があります。

整理整頓する

このようなシナリオに対処するために、AWSはクラウドストレージの分析を支援する機能であるS3 Storage Lensをリリースしました。S3 Storage Lensは、AWS Organizationsと統合することで、保存されているデータを様々な指標(約30種類)やトレンドを用いて、組織全体で可視化します。これにより、コストの非効率性や異常性を発見することができます。

特に、AWSクラウドにあまり精通していない場合や、専任のチームを持っていない場合には、S3 Storage Lensは推奨事項も提供してくれるので、非常に助かります。また、ユーザ自身で計算したい場合は、詳細なダッシュボードが用意されており、様々なパラメータ(リージョン、バケット、アカウントなど)に基づいてデータを集約することができます。このデータは、さらに分析するためにインジェストしたい場合は、生のフォーマットでS3バケットにも保存されます。

S3 Storage Lensは、15種類のメトリクスを含むダッシュボードを無料で提供しています。アドバンスド・ティアにアップグレードすると、30種類以上の使用状況やアクティビティのメトリクス、コンテクストに基づいた推奨、プレフィックスのアグリゲーションなど、高度なメトリクスや推奨を受けることができますが、これには月に100万オブジェクトを監視するごとに0.20ドルかかります。また、アドバンスド・ティアには、15ヶ月間のデータ保持、アクティビティ・メトリクス、プレフィックス・レベルのアグリゲーションが含まれます。

AWS Security Hub

AWSでは、潜在的な脅威や設定ミスを警告したり、単に指標の望ましい閾値を超えたことを通知したりするために、多数のさまざまなツールや機能を提供しています(例:本番サーバのCPU使用率が高い)。

しかし、問題はこれらのアラートの多くが各サービスに分散していることです。つまり、Systems Manager、GuardDuty、Firewall Manager、Amazon Inspectorなどがあり、それぞれが独自のアラートのセットを持っているのです。

これらすべての間を絶えず行き来するのを避けるために、AWSはAWS Security Hub(セキュリティ・ハブ)を提供しています。これは、セキュリティ・アラートやその他の発見事項を整理し、集約し、優先順位をつけることができる集中的な場所です。AWS Security Hubは、様々な自動化されたセキュリティ・チェックにより、お客様のクラウド環境を監視します。さらに、Amazon Detectiveを使用してこれらの発見事項を調査し、CloudWatchのイベントルールに依存して、様々なインシデント管理ツールに発見事項を送信することができます。

AWS Security Hubには、さらに「Security Checks」と「Finding Ingestion Events」があります。前者は、あらかじめパッケージ化されたセキュリティ基準(PCI DSSやCISなど)を提供するもので、Security HubはAWS Configを活用して設定を記録する。これらのセキュリティチェックは、最初の100,000チェック/アカウント/リージョン/月までは1チェックあたり0.0010ドルで、使えば使うほどAWSの価格が下がっていく仕組みになっています。

一方、Security HubのSecurity Checksに連動するFinding Ingestion Eventsは完全に無料で、お客様が既に利用している様々なAWSサービスからAWS Security Hubがデータを取り込むだけで機能します。

AWS License Manager

特に大企業では、Oracle、SAP、IBM、Microsoftなど、複数のベンダーのライセンスを持っていることが多く、ソフトウェアのライセンス管理は面倒な作業となります。これらのライセンスを管理すること自体が問題ですが、ライセンス契約の条項に違反していないかどうかも確認する必要があります。AWS License Managerを使えば、様々な契約の条件を再現するカスタマイズされたライセンスルールが得られ、ライセンス違反を回避することができます。

AWS License Managerは、潜在的な違反について通知するだけでなく、例えば、ライセンスの範囲外のインスタンスを起動することを防ぎます。基本的に、AWS License Managerはコンプライアンス違反の可能性を大幅に低減し、それに伴う追加コストを削減します。これは、今日、過大請求が珍しくない中での嬉しいメリットです。また、スプレッドシートやカスタム通知からマネージドソリューションに移行することで、時間を大幅に節約することができます。

AWS License Managerは追加費用なしで利用できるため、様々なベンダーのライセンスに依存しているクラウド環境では必ず利用すべき機能です。

AWS Audit Manager

監査は、クラウドにおけるセキュリティとコンプライアンスの確保に重要な役割を果たします。しかし、監査は疲れる作業でもあり、他の場所でより良く使える時間を奪ってしまいます。だからこそ、AWS Audit Managerのような機能を検討する必要があるのです。AWS Audit Managerは、クラウドの利用状況を継続的に監査することで、リスク評価とコンプライアンスを大幅に簡素化することができます。これにより、少ない労力で業界標準に準拠していることを確認することができます。

AWS Audit Managerは完全に自動化されており、組織全体(必要に応じて1つまたは複数のアカウント)にわたって証明を収集することで機能します。これは、監査プロセスが追跡困難なレベルまでスケールアップする可能性がある大規模なクラウド環境では特に重要です。Audit Managerは、これらのデータを使用して、AWSリソースを様々な業界標準や規制(GDPR、PCI DSS、CISなど)にマッピングしてレポートを作成します。もちろん、これはお客様の特定のニーズに合わせてカスタマイズすることができます。最終的には、このレポートによって、自社の活動やポリシーなどがあるべき姿になっているかどうかを簡単に評価することができます。AWS Audit Managerは、社内のリスク評価やクラウド上での監査の自動化を必要とするユーザや、ステークホルダー(株主)への報告の準備をされているユーザにとって、最適なツールです。

Audit Managerは、各リソースの評価ごとに課金され、最低料金や前払いの必要はありません。各リソースアセスメントは、ユーザアクティビティ(AWS CloudTrailから収集)、コンプライアンスチェックの結果(AWS Security HubまたはAWS Configから)、リソース構成のEBSスナップショット(AWSから直接キャプチャ)など、1セットの証明を生成します。コストは、アカウントごと、リージョンごとに、Audit Managerのリソースアセスメント1,000件につき1.25ドルです。

関連トピックス:
カテゴリー: AWS タグ: , , , パーマリンク

コメントを残す

メールアドレスが公開されることはありません。

 

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

この記事のトラックバック用URL