AWSの学習メモ

• AWSのblackbaltの動画を15分以上毎日見る
  • AWS Lambda4
  • https://www.youtube.com/watch?v=AOx5iNmxOC8&list=PLzWGOASvSx6FIwIC2X1nObr1KcMCBBlqY&index=8
• 動画を簡単にまとめる

AWS Lambda 4

サーバレスセキュリティ
    AWSの提供するコンポーネントについてはAWSのセキュリティに対する考え方、
    取り組みがその根底にある

AWSにとってセキュリティは最優先事項!
    Security of the cloud（AWSのセキュリティ）
        - 場所秘匿
        - 周囲の厳重なセキュリティ
        - 24時間常駐の専門保安要員による物理アクセスコントロール
        - 完全管理された必要性に基づくアクセス
        - 2要素認証以上
        - すべてのアクセスは記録されて監査対象
        - DDos，中間車攻撃対策、IPなりすまし
        - AWSの雇用
            - 従業員は犯罪歴確認
            - amazonリーガルによる機密保持契約
        - アカウント管理
            - 最小限のアクセス適用
            - 少なくとも4半期ごとにアカウント確認
            - 90日間アクティビティがないアカウントの自動的無効化
        - データセキュリティ
            - 法令遵守または政府機関の養成で止む得ない場合を除いて移動、開示はない
            - DoD 5220.22-M（国立産業セキュリティプログラム作業マニュアル）
            - NIST 800-88（メディア衛生のためのガイドライン）

データプレーンとMircoVM
    各関数は1個以上の専用実行環境
    -> MircoVM上で実行される
        -> Lambda workerの上でMicroVMは実行される
        https://www.google.com/search?q=MicroVM+Lambda+worker&sxsrf=ACYBGNRaMd8W-a92FEsByEaMoBKITExLqQ:1573568998771&source=lnms&tbm=isch&sa=X&ved=0ahUKEwjA5c2p8eTlAhWKHqYKHQ2CBSUQ_AUIEigB&biw=1680&bih=844&dpr=2#imgrc=tN3nQHHwW5B4_M

    -> Linuxカーネルベースのコンテナテクノロジーで隔離されて実行される
        - cgroup
            - cpu、メモリ...etcのリソースアクセス制限
        - namespace
            - プロセスID、ユーザID...etcのグルーピング
        - seccomp-bpf
            - syscallの制限
        - iptables/routing tables
            - 実行環境の互いを隔離
        - chroot
            - ファイルシステムのアクセス範囲制限

    -> AWSアカウント間でMicroVMの再利用はない
        - EC2インスタンスモデルからfirecracker（MicroVM向けのハイパーバイザー）へ