[さくらのクラウド] 安全性への取り組み
Post on 16-Apr-2017
993 views
TRANSCRIPT
1
DATE COMPANY SERVICE VERSION
さくらインターネット株式会社
Ver.1.01 (2016年11月15日版)
さくらのクラウド
安全性への取り組み
2016/11/15
|No.2さくらのクラウドのアーキテクチャ
|No.3セキュリティ
|No.1品質保証とSLA
|No.4サポート
1.01さくらのクラウド
2
・サービス品質とSLAの定義
・稼働率の考え方
品質保証とSLA
2
|No.2さくらのクラウドのアーキテクチャ
|No.3セキュリティ
|No.1品質保証とSLA
|No.4サポート
3
さくらのクラウド品質保証(SLA)について
▌サービス品質の水準
月間のサーバ稼働率が 99.95% 以上
▌稼働率の考え方
(月間総稼動時間−累計障害時間)÷月間総稼動時間×100
※月間総稼動時間とは、暦月の初日から末日までの期間
3
4
▌累計障害時間の考え
累計障害時間は、以下いずれかの状態(障害)が生じたことを、当社が当社ホームページの障害情報で報告した時間または利用者がこれを証明できる時間。
1. 利用者のSLA適用サーバの電源が入らない状態
2. 利用者のSLA適用サーバに全くアクセスできない状態
3. 利用者のSLA適用サーバに接続されているディスクに全くアクセスできない状態
4
……。
さくらのクラウド品質保証(SLA)について
5
さくらのクラウド品質保証(SLA)について
▌稼働率に伴う減額
お客さまが利用する「さくらのクラウド」における SLA 適合サーバの月間稼働率が 99.95% に満たなかった場合、当該稼働を満たさなかった部分に相当する当該サービスの利用料金(サーバ料金+ディスク料金)を減額します。
詳細や減額申請は、ウェブサイト上でご確認願います。
• さくらのクラウド品質保証(SLA)http://cloud.sakura.ad.jp/sla/
5
6
・さくらのクラウド設計思想
・ホストサーバ
・ストレージ
・ネットワーク
さくらのクラウドのアーキテクチャ
6
|No.2さくらのクラウドのアーキテクチャ
|No.3セキュリティ
|No.1品質保証とSLA
|No.4サポート
7
さくらのクラウドのアーキテクチャ
▌インフラ内製化の設計思想
サーバ、ストレージ、ネットワークなど、クラウド基盤(IaaS)を支える要素技術はほとんどの部分を社内で開発しています。
▌お客さまのご要望や品質に応えるため
クラウド提供当初は他社のシステムを導入していました。しかし、障害解決や機能拡張がしづらいという課題が発生しました。
かつての障害の経験を活かし、障害発生時の問題切り分けや、障害対応の迅速化を図るため、システム開発は社内で内製しています。
また、お客さまの様々なご要望に対し、スピーディに対応できるようにする意図もあり、社内での開発・運用体制を整えています。
7
8
さくらのクラウドのアーキテクチャ
▌サーバ
ホスト・サーバに障害が発生した場合、正常なサーバに自動でマイグレーションします。また、お客さまに対して、自動的に障害発生通知も行います。
8
9
さくらのクラウドのアーキテクチャ
▌ストレージ
ストレージで問題が障害が発生する時は、自動的に正常なストレージに切り替わります。
9
10
さくらのクラウドのアーキテクチャ
▌ストレージ
ストレージはディスク・プールを構成しているため、ディスクが1つ破損しても正常にサービスを継続できる構造です。また、コントローラは冗長構成です。
ストレージは残容量を監視しており、利用傾向からキャパシティ不足が発生しないよう、計画的な拡張を行っています。
10
11
さくらのクラウドのアーキテクチャ
▌ネットワーク
全ての経路、スイッチ、結線を冗長化した構成です。
11
12
構成例
▌構成例:さくらのクラウド
12
13
構成例
▌構成例:複数リージョン
13
14
・データセンタの安全性と第三者認証
・コントロールパネルのセキュリティとログ
・ウェブ改竄検出
・DDoS攻撃対策
セキュリティ
14
|No.2さくらのクラウドのアーキテクチャ
|No.3セキュリティ
|No.1品質保証とSLA
|No.4サポート
15
データセンタについて
▌データセンタの所在地
石狩リージョンは北海道石狩市、東京リージョンは東京都内です。
石狩リージョンの詳細はサイトをご覧ください。http://ishikari.sakura.ad.jp/
▌データセンタのセキュリティ
建物ゲート、有人チェック、ICカード、生体認証による4重のセキュリティで、サーバルームへの入退室管理を行っています(詳細)。
従業員の特権アカウント管理は情報セキュリティマネジメントシステム(ISMS)に則り適切な管理を行っています(詳細)。
15
16
セキュリティ
▌コントロールパネルの2段階認証
会員メニューを通したログイン時、2段階認証をご利用いただけます。認証方式は認証アプリ(TOTP)、SMS(テキストメッセージ)、音声電話です。
認証時に通知メールを設定や、ブラウザ認証の有効期間を指定できます。
▌アカウントとアクセスグループ
リソース作業空間(請求単位)である「アカウント」と、コントロールパネルにアクセスできるログイン認証単位となる「ユーザ」を分離しています。そのため、アクセスレベル、アクセス制限を個別に制限し、適切なセキュリティを保てます。
▌コントロールパネルの操作ログ
どのような操作を行ったのかを、ユーザ単位でログを記録しています。記録したログは、イベントログ機能で閲覧・ダウンロード可能です。
16
17
セキュリティ
▌ウェブ改竄検出をオプションで提供
ウェブサイトを毎日巡回し、改竄されていないかチェックするサービス。
改竄を確認したら、即時に登録メールアドレス宛に通知しますので、早急な対処が可能になります。
改竄の検出時は、自動的にメンテナンス環境に切り替え可能です。
管理画面(GUI)を通し、カレンダーを通して正常性の確認や、改竄検出時はソースコードのハイライトも可能です。
詳細はオプション情報のページをご覧ください。
17
18
セキュリティ
▌DDoS対策
バックボーン側で DDoS 攻撃を数秒以内に検出し、攻撃トラフィックのみ自動的にフィルタします。
新しい攻撃パターンを発見した場合は同様の攻撃を再び受けないよう、対策フィルタ用のルールを随時更新しています。
18
19
・障害・メンテナンス情報
・緊急メンテナンス
・監視体制
サポート
19
|No.2さくらのクラウドのアーキテクチャ
|No.3セキュリティ
|No.1品質保証とSLA
|No.4サポート
20
サポート
▌障害・メンテナンス情報
さくらのクラウドでは、障害発生時、速やかに障害情報掲載を行います。
お客さまに3つの方法で当社システムから通知します。
• さくらのクラウドのコントロールパネル上で表示
• メンテナンス・障害情報ページへの掲載
• お客さまに個別でメール通知
▌メンテナンスのお知らせのタイミング
通常メンテナンスは、実施日の1週間以上前までにご連絡します。
緊急を要する場合は、コントロールパネル上での表示、メンテナンス・障害情報ページへの掲載、お客さまに個別でメール通知します。
20
21
サポート
▌仮想サーバのホストで障害が起こった場合
さくらのクラウド基盤における障害監視は 365 日 24 時間実施しております。
障害時は、以下件名のメールで、お客さまに障害情報の通知を行います。
21
ホストサーバに対する監視を失敗すると、速やかに対象ユーザ様の通知先メールアドレスに通知
仮想サーバやルータ等のリソース復旧を開始する旨、対象ユーザ様の通知先メールアドレスへ通知するともに、メンテナンス・障害情報のページに掲載
仮想サーバ・スイッチ等のリソースの復旧が完了した旨を、対象ユーザ様の通知先メールアドレスへ通知するとともに、発生時に掲載した障害情報の内容を更新
22
・マップ機能
・スイッチとブリッジ
・物理データセンタと接続可能
・プライベートリンク
補足資料さくらのクラウドのネットワーク
22
23
さくらのクラウドのネットワーク
▌マップ機能
ネットワークやサーバ、機器、アプライアンスの構成はコントロールパネル上で確認できます。複雑なネットワーク構成も感覚的に把握できるため、状況の把握や正確な運用に役立ちます。画像として保存することも簡単。
23
24
さくらのクラウドのネットワーク
▌スイッチとブリッジ
ブリッジ接続を使えば、複数のリージョン上にあるスイッチを通し、ネットワークを安全に共有する構成も簡単です。すべてブラウザ上の操作で完結します。
また、ゾーン単位の障害に備えるためにも、ブリッジ接続をご利用いただけます。
24
25
さくらのクラウドのネットワーク
▌物理データセンタと接続可能
ハイブリッド接続を使えば、さくらのクラウドと専用サーバやデータセンタと接続可能です。
ブリッジ接続であれば、さくらのクラウドのコントロールパネル上で各サービスと連携可能です。
25
26
さくらのクラウドのネットワーク
▌プライベートリンク
さくらのクラウドとお客さまのデータセンタや設備とを、インターネットを経由しない専用線を通して接続いただけます。
26
27
関連情報
▌さくらのクラウドニュース
http://cloud-news.sakura.ad.jp/webaccel/
▌よくある質問
http://cloud.sakura.ad.jp/faq/
27