awsを利用している企業が増えている中、クラウドサービスのリスクはセキュリティです。しかし、セキュリティリスクも適正な監視システムの導入と最適な設定を行う事でリスクを低減させることが可能です。リソースやログの監視の設計にはできる限りスパンを短くとることと、システムを停止させない回避策を講じておくのがベストな方法です。
関連記事:awsが運営しているroute53による監視体制は?
awsの運用に最適な監視システムを利用
awsはamazonが提供するクラウドサービスです。インターネットに接続できる環境があれば、どこでも利用可能であるクラウドサービスは今や企業では当然のごとく利用されているツールであり、企業が発信する一般顧客向けのWebサイトにもawsを活用しているケースは珍しくありません。
クラウドサービスの利点は利便性ですが、反面セキュリティ面でのリスクが増加します。awsは考えうるリスクを想定したセキュリティ対策を製品に施していますが、ユーザー側でカスタマイズすることでセキュリティホールができてしまう可能性もあります。
そのため、安全にawsが機能しているかを常に監視することが必要となり、awsの監視設計はawsを利用する上で最も重要な位置づけになっています。awsには最適な監視を行うことができるCloudWatchをリリースしています。
CloudWatchはaws専用のシステム監視を行うツールであり、面倒なセットアップが不要で利用できる事、異常な検知をキャッチした際には自動的に復旧をしてくれる、アラート通知やアクションなどの機能を備えているという監視で最低限必要とされる機能を網羅している優れものです。
awsにはEC2やEBSなどの拡張機能がたくさん存在しますが、これらawsの機能全般に対して一つのCloudWatchで監視が可能であるという利点があります。標準として搭載されている機能以外にもカスタマイズして監視の粒度や頻度などを自由にコントロールすることができるのも魅力です。
関連記事:CPU使用率やメモリの監視が出来る?便利なawsのcloudwatch
aws専用監視システムは安心度が高い
CloudWatchはaws専用に設計された監視システムであるため、awsを利用する上では最も信頼度が高いツールとなります。システム監視を行うツールは世の中にたくさん出回っており、今まで利用した経験があるシステムや使い慣れたシステムの方が安心するという考え方もありますが、監視対象はシステム全般に及ぶため、他の監視システムでは監視漏れが発生してしまう可能性もあります。
リスクをなくすという意味においては専用設計されたCloudWatchを利用するのが最も安心なのです。機能の特徴にも違いがあります。一般的な監視システムはPolling型と呼ばれる監視する対象にシステム側から一定間隔でアクセスを試み、問題がないかどうかを確認する仕様です。
監視対象が増加した場合、その追加された対象を手作業で加える必要があり、オートスケールなどの設定では監視漏れが発生してしまう可能性が出てきます。一方、CloudWatchはPush型であるため、監視対象側から監視システムに対して信号を送信する仕組みです。
オートスケールでもすぐに監視されることになるため、安心してawsを利用できるのです。awsの製品のメリットの一つにサーバーを持たないマネージドサービスがありますが、一般の監視システムではサーバーが存在することが前提となっていることが多く、マネージドサービスを監視できない事象が発生します。
CloudWatchではマネージドサービスに関してもサーバーを持つインスタンスと同じように監視することができます。
監視の基本はリソース監視
監視システムを設計する上で最も基本となるのがリソース監視です。CPUやメモリなどコンピュータの中枢部分を監視する事で、Webサイトが正常な状態で稼働しているのかを判断します。一般的に公務をグラフ化などして視覚的に状態を把握できるようにしますが、CloudWatchでは、クレジット情報も同時に取り扱うこともできるため、コストの最適化の監視も行えます。
リソースの状況が一定の閾値を超過した場合にはアラートメールを発したり、自動的に再起動を行い負荷を軽減させるなどの対策を設定できます。リソース監視の設定は、CloudWatchならではの自動アクションを同時に設定することをおすすめします。
自動的に復旧を試みる機能が備わっているため、システム担当者不在でもシステムダウンを防ぐことも可能な場合があります。また監視スパンはシステム負荷が許す限り最短に設定しておくことが望ましい方法です。
ログ監視を怠らないことが重要
リソース監視に続いて重要なのがログ監視です。コンピュータの機能や性能だけが監視ではありません。awsへの不正アクセスなども監視システムによって損害を未然に防ぐことが可能になります。CloudWatchにはログ監視機能としてCloudWatch Logsがあります。
CloudWatch Logsはアクセスログやアプリケーションログなどを収集するだけでなく、事前に設定しておいた項目に該当する行為が発見されると管理者にメール通知を行ったり、自動的にアプリケーションを遮断してアクセス被害を拡大させないような仕組みを構築することも可能です。
設計時には監視スパンに注意する事が必要です。ログ監視は人為的な行動を監視する事が一般的な目的であるため、ログの自動確認は日単位などスパンを長めに取ることが一般的ですが、コンピュータの暴走などシステムミスによるエラーを発見する際にも役立つため、システム負荷が許す限りスパンは短めに設定することがおすすめです。
システムを停止させない監視設計
CloudWatchにはCloudWatch Eventsという機能もあります。一般的に監視システムはエラーを発見した際には通知を行うか、システムを強制的に停止させるアクションを行います。一般顧客を相手にしている場合、システムがダウンするだけで大きな損害を与えてしまうことにもつながります。
そのためCloudWatch Eventsではシステムを停止させずに別のアクションを実行させるサービスを兼ね備えています。APIを用いてイベントを発生させる仕組みになっているため、システムを強制停止させるなどのイベントの他に、迂回先のシステムにアクセスさせることや、自動的に再起動して復旧を試みるなど設計を自由に行えるのも特徴です。
同時にメールなどでアラート通知の発信も行う事もできるため、システム担当者が現場に駆けつけ復旧作業を行うまでの間でも、システムを停止させることなく稼働させ続ける事も可能です。CloudWatchは便利な機能を持った監視システムですが、設計は慎重に行う必要があります。
企業の中枢機能や顧客との接点をawsに委ねている場合、システムダウンの影響は計り知れません。監視システムの設計は極めて重要な位置づけになっており、監視スパンや監視対象などは安易に考えずに影響範囲に応じた適切な設定を行う事が大事なポイントです。
CloudWatchを活用してawsを安定稼働させよう
awsは便利なクラウドシステムですが、リスクもあります。awsを利用するのであれば専用の監視システムであるCloudWatchを導入することで安心して利用する事ができます。セキュリティホールを最小限にとどめ、awsの拡張機能にも対応しているため機能を拡大しても十分に監視機能を網羅できる利点があります。
監視設計のポイントを抑えることでさらにリスクを低くすることができます。