関連スライド
各ページのテキスト
AWS Configのリソース変更記録を分析してコスト最適化 に繋げる エムオーテックス株式会社 © MOTEX Inc. 植松裕介
⾃⼰紹介 • 名前︓植松 裕介(うえまつ ゆうすけ) • ⽣年⽉⽇︓1991/02/14 (33歳) • 所属︓エムオーテックス株式会社 • 仕事︓⾃社サービス(LANSCOPE EMクラウド版)の SREとして、セキュリティ・コスト最適化など⾊々対応 • 趣味︓ツーリング、家でフィットネス、ゲーム、ペットと戯れる など • 好きなAWSサービス︓Amazon Athena AWS Cost and Usage Reports Amazon QuickSight © MOTEX Inc. 2
MOTEX Products・Service「LANSCOPE」 “LANSCOPE” を通して、お客様の “Secure Productivity”(安全と⽣産性向上の両⽴)を⽀援 統合エンドポイント管理 AI アンチウイルス 組織のIT資産管理・内部不正対策・ウイルス対 策をオールインワンでカバーします。発売当初 ウェアはもちろん、未知・亜種のマルウェアか からご提供している「オンプレミス版」に加え、 らもデバイスを防御します。⾼性能な AI アン スマホ管理が可能な「クラウド版」も提供して チ ウ イ ル ス 「 CylancePROTECT 」 や 「 Deep おり、国内2万社を超えるお客様にご利⽤いただ Instinct」を、MOTEX の安⼼サポートと共に いています。 提供するマネージドサービスです。 クラウドセキュリティ監査 リモートサポート・ヘルプデスク セキュリティ診断・ソリューション Microsoft 365 の監 遠隔地にあるサー サイバーセキュリ 査ログを収集し、 バーや PC・スマホ ティのさまざまな領 利⽤状況の⾒える への「リモート操 域に対し、セキュリ 化や、情報漏洩な 作」や「画⾯共有」 ティプロフェッショ どのインシデント を可能とする組織向 ナルの知⾒を活かし につながる操作の けのリモートコント た「セキュリティ診 ロ ー ル ツ ー ル で す 。 Windows ・ macOS ・ iOS ・ 断」と「セキュリティ製品・ソリューション」で、 Android に対応しています。 巧妙化するサイバー攻撃などのリスクから組織を守 把握を可能とします。また、レビュープラット フォーム「ITreview」では、サービスデスク・イン シデント管理の部⾨でLeaderを獲得するなど、お客 ります。 様からも⾼い評価をいただいています。 © MOTEX Inc. AI を活⽤したアンチウイルスで、既知のマル 3
AWS Configとは • リソースの構成変更の記録ができる • リソース設定がルール(理想の状態)に準拠しているかをチェック • 準拠していない場合の⾃動修復もできる • © MOTEX Inc. S3サーバサイド暗号化のチェックと修復、セキュリティグループのポート制限などなど、、、 4
AWS Configのログ収集の構成 • Control Tower(マルチアカウントのAWS環境のセットアップ)で 社内で運⽤しているAWSアカウント群を管理 • 各AWSアカウントのConfigログを、ログアーカイブアカウントのS3にレプリケーション © MOTEX Inc. 5
じわじわ増えていくAWS Configコスト • Config有効化してから数ヶ⽉経過 全アカウント合わせて$2000/⽉かかるようになった • 妥当なコストなのかどうかを判断したいが、コスト明細からは詳細がわからない • なんのリソースに変更に対する変更が多いのかを分析してみよう ⻘:リソース変更検知コスト ⾚:Configルール評価コスト © MOTEX Inc. 6
リソース変更検知ログの分析基盤 • Athenaでテーブルを作成してConfigのログを集計できる • https://repost.aws/ja/knowledge-center/retrieve-aws-config-items-per-month • 集計結果をQuickSightに取り込んで可視化できるようにも対応 • 最終的には以下の図のような基盤を作ってみた Configリソース変更検知記録の分析基盤 © MOTEX Inc. 7
まずは⽉毎のリソースタイプ別の変更回数を出してみる • ⾚︓CloudWatch Alarm、オレンジ︓Lambda • 次いで、Security GroupやNetwork Interfaceの変更が多そう • Lambdaの変更回数が不⾃然に多い・・・︖ © MOTEX Inc. 8
Lambdaの変更記録を深掘り • ⽇毎の変更記録を追ってみるために、ピボットテーブルを作成 • どの関数も1⽇1回変更されてそう • ⽇次処理で何かしている・・・︖ © MOTEX Inc. 9
Lambdaの変更記録を深掘り -> コンソールで確認 • lastModifiedとrevisionIdが毎朝更新されている • コスト可視化のため、各AWSリソースにタグをつけて回る処理を動かしていることが原因 • Lambda関数にタグを付与することでrevisionIdも変わり、変更検知された © MOTEX Inc. 10
タグ付の頻度を⾒直してコスト最適化 • 既にタグがついている場合はタグ付をスキップ・・・など⾊々対策は考えられるが 今回はタグ付の頻度を⽇次 → 週次に変更 • 変更検知回数の⼤幅減、⽉あたり700$くらいのコスト最適化⾒込み 2/2にタグ付頻度を調整 Lambda変更検知 (マゼンタ)が減っている 2024/1/1 ~ 2024/2/6のリソース変更検知回数 © MOTEX Inc. 11
おまけ AWS Configの変更検知コストの最適化 – 対象リソースの絞り込み • 例えばセキュリティグループの変更は検知しない・・・といったように リソースタイプごとに記録する/しないの制御ができるようになった • https://aws.amazon.com/jp/blogs/news/announcing-aws-config-now-supportsrecording-exclusions-by-resource-type/ • ただし、Control Tower配下のアカウントを除く(2024/02現在) © MOTEX Inc. 12
おまけ AWS Configの変更検知コストの最適化 – ⽇次記録 • 従来は変更があるたびに検知するが、検知頻度を24時間に1回にできるようになった • リソースタイプ指定と組み合わせて、RDSの変更は随時、EC2の変更は⽇次という制御も可能に • https://aws.amazon.com/jp/about-aws/whats-new/2023/11/aws-config-periodicrecording/ • ただし、Control Tower配下のアカウントを除く(2024/02現在) © MOTEX Inc. 13
まとめ • 特に追加設定をしないと、AWS Configのリソース変更は随時検知なので 思わぬコストがかかる場合がある • コスト明細(Cost Explorerや請求書)からのリソース変更記録の分析は難しい • AthenaやQuickSightを使ってConfigの検知回数の集計ができる • 分析基盤をサクッと作れるのでQuickSightとAthena連携はかなりオススメ © MOTEX Inc. 14