AWS Well-Architectedフレームワークの紹介

    AWS Well-Architectedフレームワークの紹介

    サムネ出典URL:https://pixabay.com/ja/photos/ミーティング-仕事-建築家-2284501/

    目次

      本記事の目的

      本記事ではAWS Well-Architected フレームワークの概要や関連するツールや学習方法などについて紹介させて頂きます。

      AWS Well-Architectedフレームワークとは

      AWS Well-Architected フレームワークとはAWSのソリューションアーキテクト(SA)が長年にわたる数多くの経験から作り上げたベストプラクティス集です。このフレームワークを基にシステムを評価・改善することでより高い安全性、性能、障害耐性、効率性を備えたインフラストラクチャを構築する際に役立ちます。

      AWS Well-Architectedフレームワークでは、6本の柱(優れた運用効率、セキュリティ、信頼性、パフォーマンス効率、コストの最適化、持続可能性)毎に設計原則と質問事項(58項目)がまとめられています。あくまで設計原則なので全て満たす必要はありません。

      この設計原則が記載されているドキュメントやホワイトペーパーを読み解くことがAWS Well-Architected フレームワークの理解には必要不可欠になります。

      参考:AWS Well-Architected フレームワーク

      参考:AWS Well-Architected フレームワーク(旧版)

      ただし、このホワイトペーパーは分量が多く、内容もAWSサービスの設計から組織マネジメントまで多岐に渡り、いきなり全てを読み解くには非常にハードルが高いです。

      AWSの利用時におさえておきたい10のこと」というドキュメントに、まず初めに目を通しておくと良い10項目の質問とそれに対する詳細な説明が記載されているので、イメージが掴みやすいかと思います。

      AWS Well-Architectedレビューとは

      AWS Well-Architected フレームワークに基づいてシステムを評価することをWell-Architectedレビューといいます。

      レビューをする上での進め方や心構えなどをレビュープロセスとしてまとめてあり、抜粋すると以下の通りです。

      • 設計の評価は非難せずに一貫した方法で実施する。話し合いであり、監査ではない。
      • 変更が困難な設計になることを避けるため、設計の初期段階にレビューを実施する。
      • すべての適切な関係者を話し合いに含める。
      • 継続的にアーキテクチャをレビューする。

      レビューについては、Well-Architected ToolというAWSサービスを活用することでワークロードごとの評価を行い、状況の管理やレポート作成をすることが可能です。

      Well-Architected ToolではAWS Well-Architected フレームワークだけではなく、サーバレスやSaaSサービスに特化したLensとよばれる質問事項も用意されています。

      2022093001

      AWS Well-Architected フレームワークの場合、全58の質問に対して複数のチェック項目が用意されています。1つ1つの質問に回答していき、該当しない場合は適用外にすることが可能です。補足情報や参考リンクなども併せて確認することも可能です。

      2022093002

      Well-Architected Toolを使ったレビューの進め方については、AWSセキュリティワークショップの動画を見ていただくと分かりやすいかと思います。

      参考:Startup.fm 新春特別企画 – AWS セキュリティワークショップ

      ここまで紹介してきたWell-Architected Toolですが、各質問の対応状況等を管理するには少し不便です。Excelのヒアリングシート(※リンクをクリックするとExcelファイルがダウンロードされます)もAWSから提供されていますが、2018年から更新されていない状況です。

      AWS SDK for Python(Boto3)で質問一覧をExcelに変換して出力することも可能なので、レビューに活用しても良いかもしれません。(英語のみしか出力できませんが…)

      参考:Export Well-Architected content to XLSX Spreadsheet :: AWS Well-Architected Labs

      2022093003

      AWS Well-Architectedフレームワーク関連ツールの紹介

      レビューをするにあたって、実際に質問事項を満たしているのか1つ1つ確認するのはかなりの時間もかかりますし、チェックの抜け漏れなども発生するかもしれません。そんな時に役立つツールをいくつか紹介させていただきます。

       

      【AWSサービス】

      AWS Trusted Advisor

      Trusted Advisorはコスト最適化、パフォーマンス、セキュリティ、耐障害性、サービスクォータの観点でAWSアカウントの評価を自動で行ってくれるサービスです。(全ての項目をチェックするにはビジネスプラン以上のAWSサポートを選択する必要があります。)

       

      2022093004

      Well-Architected フレームワークと重複する項目が多々あるので、レビュー時に確認すると良いでしょう。

      参考:AWS Trusted Advisor のベストプラクティスチェックリスト

       

      AWS Config Rules

      AWS Configは、AWSアカウント内のリソースの変更管理を行うサービスです。

      AWS Configの機能であるAWS Config Rulesをまとめた、AWS Well-Architected フレームワークのコンフォーマンスパックを利用することで、「セキュリティの柱」「信頼性の柱」の一部の項目について準拠しているか自動的にチェックすることが可能です。

      参考:AWS Well-Architected フレームワークの「セキュリティの柱」に関する運用上のベストプラクティス - AWS Config

      参考:AWS Well-Architected フレームワークの「信頼性の柱」に関する運用上のベストプラクティス - AWS Config

       

      Security Hub

      Security HubにはAWSやサードパーティのセキュリティイベントの集約機能とAWSのセキュリティチェック機能の2つがあります。(Security Hubを利用するためにはAWS Configを有効にする必要があります。)

      上記の内セキュリティチェック機能がサービス単位で細かくルールが定義されていて、AWS Well-Architected フレームワークと重なる点もあるため、セキュリティの柱のチェックに有用かと思います。

      参考:AWS の基本的なセキュリティのベストプラクティスコントロール

       

      【サードパーティーサービス】

      nOps

      nOpsは、AWS Well-Architectedフレームワークの内「運用の優秀性」「コスト」「信頼性」「セキュリティ」「パフォーマンス」(持続可能性については2022年9月時点では非対応)にて、複数のAWSアカウントの状態を一元的に評価し、レポート出力を行ったり問題があればユーザーに通知したりことも可能です。

      参考:AWS Security, Cost, & Well-Architected Best Practices | nOps

      nOps側でレビューを行い、Well-Architected Toolにレビュー結果を同期することも可能です。

      参考:Well-Architected Framework Review | Documentation site for the nOps platform

      価格はMarketplaceで月額199ドルから購入可能です。(2022年9月時点)フリートライアルもありますが、申し込むと本社(海外)のメンバーとのミーティングがセッティングされます。

       

      Trend Micro Cloud One Conformity

      Cloud One Conformityは、AWSアカウントと連携することでAWS Well-Architected フレームワークベースのルールを用いてチェックし、レポート作成、ユーザー通知、自動修正なども可能です。

      また、AWSだけではなくAzure、Google Cloudも含め60以上のサービスのコンプライアンスチェックにも対応しています。

      ルールに準拠するために、サービスごとの監査手順と修復手順をGUI/CLIベースで提供しているのも評価できる点かと思います。

      2022093005

      参考:Best practice rules for Amazon Web Services | Trend Micro

      価格はMarketplaceで1時間当たり0.07ドル(接続リソース数が250-999のクラウドアカウントの場合)から購入可能です。

      Cloud Oneのアカウントに登録すると最初の30日間は無料で利用可能です。

      参考:AWS Marketplaceから Trend Micro Cloud One™を利用するには?


      AWS Well-Architected Labs

      AWS Well-Architected フレームワークを学習するためのツールとして、AWS Well-Architected Labsというハンズオンラボが提供されています。このハンズオンラボでは6本の柱について100,200,300レベル(難易度)ごとにハンズオンが提供されていて、ベストプラクティスに沿った実装方法について理解を深めることができます。

      参考:AWS Well-Architected Labs :: AWS Well-Architected Labs

      さいごに

      今回はAWS Well-Architected フレームワークやレビューに関して紹介させていただきました。AWS設計の際に考慮すべき点が詰め込まれていますので、是非活用いただければと思います。

      概要しか触れていないため、詳細は公式ドキュメントやブログなどを読み解いていただく必要がありますが、皆さまの理解に少しでもお役に立てればと思います。

      Well-Architectedな設計やレビューを行うにあたって、困りごとなどありましたらアジアクエストまでお声がけいただけると幸いです。


      参考情報

      AWS Well-Architected フレームワーク

      コスト最適化の柱

      運用上の優秀性の柱

      パフォーマンス効率の柱

      セキュリティの柱

      信頼性の柱

      持続可能性の柱(英語)

      [20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介

      AWS Well-Architected の活用方法とレビューの進め方をお伝えしていきたい - YouTube

      AWS Well-Architected フレームワーク: 高リスクのセキュリティ問題を解決してセキュリティインシデントを防ぎましょう

      Well-Architected for Startups -信頼性の柱- 導入編 | AWS Startup ブログ

      AWS Well-Architected Security とベストプラクティス