Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ここからはじめるAWSセキュリティ
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
阿部洸樹
July 04, 2017
Technology
1.8k
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
ここからはじめるAWSセキュリティ
Developers.IO 2017セッション
#cmdevio2017
阿部洸樹
July 04, 2017
More Decks by 阿部洸樹
See All by 阿部洸樹
クラスメソッドの新卒向け会社説明会(エンジニア)
abeika
0
1.3k
20190425
abeika
0
870
ここからはじめるAWSセキュリティ -Developers.IO 2017 WORLD in 名古屋-
abeika
1
250
Other Decks in Technology
See All in Technology
しぶいSRE: サーバから見えない障害にどう向き合うか。ラストワンマイルのデバッグ実践 / Shibui SRE
kanny
12
5.3k
Road to SRE NEXTの今までとこれから
hiroyaonoe
0
230
事業価値を⽣み出すSREへ SREが担うべき意思決定の5層
kenta_hi
2
2.4k
ポストモーテム! DDoSからサイトは守れた。 でもビジネスは守れなかった。
bengo4com
0
2k
CSに"SLO"は要らない、経営層に"99.9%"は伝わらない - SREを全社に"翻訳"する3原則
cscengineer
PRO
1
3.8k
Compose 新機能総まとめ / What's New in Jetpack Compose
yanzm
0
150
AI時代における最適なQA組織の作り方
ymty
3
470
ゼロをイチにする仕事が終わったあと
smasato
0
320
Kotlin 開発のツラミを爆破した話! / Explode the difficulty of Kotlin dev!
eller86
0
150
プロンプト_きのこカンファレンス2026_LT
yurufuwahealer
0
150
NDIAS CTF 2026 問題解説会資料
bata_24
0
180
Zoom2Youtube.Claude
kawaguti
PRO
3
470
Featured
See All Featured
Accessibility Awareness
sabderemane
1
150
Max Prin - Stacking Signals: How International SEO Comes Together (And Falls Apart)
techseoconnect
PRO
0
200
Data-driven link building: lessons from a $708K investment (BrightonSEO talk)
szymonslowik
1
1.2k
Introduction to Domain-Driven Design and Collaborative software design
baasie
1
890
VelocityConf: Rendering Performance Case Studies
addyosmani
333
25k
Ecommerce SEO: The Keys for Success Now & Beyond - #SERPConf2024
aleyda
1
2.1k
Reflections from 52 weeks, 52 projects
jeffersonlam
356
21k
A better future with KSS
kneath
240
18k
Making Projects Easy
brettharned
120
6.7k
Paper Plane (Part 1)
katiecoart
PRO
0
9.5k
WCS-LA-2024
lcolladotor
0
680
Getting science done with accelerated Python computing platforms
jacobtomlinson
2
260
Transcript
͔͜͜Β͡ΊΔ"84ηΩϡϦςΟ Ѩ෦ᔨथ
εϥΠυͱϨϙʔτޙ Developers.IOʹͯެ։͠·͢ Attention
ࣗݾհ Ϋϥεϝιουגࣜձࣾ "84ࣄۀ෦ Ѩ෦ᔨथʢ!"CFJLBʣ "84ࢿ֨ף
ຊηογϣϯͷΰʔϧ ᶃηΩϡϦςΟରࡦ͕େͳཧ༝Λཧղ͢Δ ᶄ"84ͷηΩϡϦςΟʹؔ͢ΔΞΫγϣϯ͕Θ͔Δ
ΞδΣϯμ wใηΩϡϦςΟͱ w *".ͷॏཁੑͱϕετϓϥΫςΟε w ূͷऔಘ w ڞ༗ϞσϧͰߟ͑Δׂ୲ w
&$ͷجຊతͳηΩϡϦςΟରࡦ w ϚωʔδυαʔϏεͷݕ౼ w αʔόʔϨεΞʔΩςΫνϟͷݕ౼ w ิ
ใηΩϡϦςΟͱ ̏େཁ݅ɺ̏ཁૉͱݺΕΔ ػີੑʢ$POpEFOUJBMJUZʣ શੑʢ*OUFHSJUZʣ Մ༻ੑʢ"WBJMBCJMJUZʣ ༷ʑͳڴҖ͔Βɺใࢿ࢈Λ ػີੑɺશੑɺՄ༻ੑͷ֬อΛߦ͍ͭͭɺ ਖ਼ৗʹҡ࣋͢Δ͜ͱ
ػີੑ ใࢿ࢈Λਖ਼ͳݖརΛ࣋ͬͨਓ͚͕ͩ ༻Ͱ͖Δঢ়ଶʹ͓ͯ͘͜͠ͱ
ػີੑ͕ଛͳΘΕͨঢ়ଶ څ༩ใ Ӧۀσʔλ ਓࣄ෦ Ӧۀ෦
ػີੑ͕ଛͳΘΕͨঢ়ଶ څ༩ใ Ӧۀσʔλ ਓࣄ෦ Ӧۀ෦ ϑΝΠϧαʔόઃఆͷޡΓ
ػີੑ͕ଛͳΘΕͨঢ়ଶ ഇغґཔ ۀऀ
ػີੑ͕ଛͳΘΕͨঢ়ଶ ഇغґཔ ୈࡾऀͷԣྲྀ͠ ۀऀ
શੑ ใࢿ࢈͕ਖ਼ͳݖརΛ࣋ͨͳ͍ਓʹΑΓมߋ͞Ε ͍ͯͳ͍͜ͱΛ࣮֬ʹ͓ͯ͘͜͠ͱ
શੑ͕ଛͳΘΕͨঢ়ଶ ̋̋ͷϗʔϜϖʔδ 8FCվ͟Μ ίϯςϯπվ͟Μ ϚϧΣΞ
Մ༻ੑ ใࢿ࢈Λඞཁͳͱ͖ʹ༻Ͱ͖Δ͜ͱ
Մ༻ੑ͕ଛͳΘΕͨঢ়ଶ ̋̋ͷϗʔϜϖʔδ %%P4߈ܸ ਖ਼ͳϢʔβʔ Ϙοτωοτ
ΞδΣϯμ w ใηΩϡϦςΟͱ w*".ͷॏཁੑͱϕετϓϥΫςΟε w ূͷऔಘ w ڞ༗ϞσϧͰߟ͑Δׂ୲ w
&$ͷجຊతͳηΩϡϦςΟରࡦ w ϚωʔδυαʔϏεͷݕ౼ w αʔόʔϨεΞʔΩςΫνϟͷݕ౼ w ิ
*".ͷॏཁੑ IAMͷྲྀग़ѱ༻ 3େཁ͕݅ଛͳΘΕΔ Մೳੑ͕͋Δ
ػີੑ͕ଛͳΘΕͨঢ়ଶ ෆਖ਼μϯϩʔυ 4όέοτ
શੑ͕ଛͳΘΕͨঢ়ଶ ઃఆมߋ
*".͕ѱ༻͞Εͳ͍ͨΊʹ IAMͷϕετϓϥΫςΟεΛ ࣮ફ͠Α͏
*".Ξϯνύλʔϯ ϧʔτΞΧϯτ IAMϢʔβʔ ৗతͳϧʔτΞΧϯτͷར༻ IAMϢʔβʔͷڞ༗
*".ϕετϓϥΫςΟε ਓʹ͖ͭɺͭͷ*".Ϣʔβʔ
*".ϕετϓϥΫςΟε "ENJOJTUSBUPST 7JFXFS &$"ENJO *".άϧʔϓͷར༻
*".ϕετϓϥΫςΟε .'"ͷར༻ "84ίϯιʔϧͷϩάΠϯ .'"σόΠε
.'"σόΠε ཧ.'"σόΠε Ծ.'"σόΠε ཧతͳִ͕Մೳ "ిΕ ಋೖ͕؆୯ "౷੍͕औΓͮΒ͍
*".Ξϯνύλʔϯ &$ͷ*".Ωʔͷొ "84$-*ɺ4%,ͷ࣮ߦ ϑΝΠϧΞοϓόοΫΞοϓ Ωʔใ͕ॻ͔ΕͨϓϩάϥϜɺ ઃఆϑΝΠϧΛγΣΞ ˠ࿙Ӯ
*".ϕετϓϥΫςΟε *".ϩʔϧͷར༻ Ωʔͷొ͕ෆཁ ϑΝΠϧΞοϓϩʔυ ىಈதͷ&$ͷׂΓͯɺ ׂΓͯղআ͕Մೳ
*".ϕετϓϥΫςΟε IAMͷఆظతͳݟ͠
ҟಈͳͲʹ͋Θͤͨ*".ͷมߋ *".ϢʔβʔͷՃআɺ*".Ωʔͷআ ҟಈ ୀ৬ ݕূΩʔͷআ
*".ೝূใϨϙʔτ $47ϑΝΠϧͷμϯϩʔυ͕Մೳ $47ϑΝΠϧ QBTTXPSE@FOBCMFEϩάΠϯͷ༗ޮແޮ NGB@BDUJWF.'"ͷ༗ޮແޮ QBTTXPSE@MBTU@VTFE࠷ऴϩάΠϯ࣌ࠁ BDDFTT@LFZ@@MBTU@VTFE@EBUF࠷ऴΞΫηεΩʔར༻࣌ࠁ
*".ೝূใϨϙʔτ .'"͕༗ޮͰͳ͍ΞΧϯτ $47ϑΝΠϧ QBTTXPSE@FOBCMFE5SVF ϩάΠϯՄೳ NGB@BDUJWF'BMTF .'"ແޮ QBTTXPSE@MBTU@VTFE࠷ऴϩάΠϯ࣌ࠁ BDDFTT@LFZ@@MBTU@VTFE@EBUF࠷ऴΞΫηεΩʔར༻࣌ࠁ
*".ೝূใϨϙʔτ Ұఆظؒར༻͞Ε͍ͯͳ͍ΞΧϯτ $47ϑΝΠϧ QBTTXPSE@FOBCMFEϩάΠϯͷ༗ޮແޮ NGB@BDUJWF.'"ͷ༗ޮແޮ QBTTXPSE@MBTU@VTFE࠷ऴϩάΠϯ࣌ࠁ BDDFTT@LFZ@@MBTU@VTFE@EBUF࠷ऴΞΫηεΩʔར༻࣌ࠁ
ΞδΣϯμ w ใηΩϡϦςΟͱ w *".ͷॏཁੑͱϕετϓϥΫςΟε wূͷऔಘ w ڞ༗ϞσϧͰߟ͑Δׂ୲ w
&$ͷجຊతͳηΩϡϦςΟରࡦ w ϚωʔδυαʔϏεͷݕ౼ w αʔόʔϨεΞʔΩςΫνϟͷݕ౼ w ิ
"84$MPVE5SBJM "84Ͱ࣮ߦ͞Εͨ"1*ΛϩΪϯά ૹ৴ݩ*1ΞυϨε Կ͕͋ͬͨͷ͔ɺͳ͔ͬͨͷ͔Λ֬ೝ ࣌ؒ Ϣʔβʔ ΞΫγϣϯ
"84$POpH "84ͷߏه ਓ͕ݟͯΘ͔Γ͍͢ "84Ϧιʔεͷ࡞มߋΛه λΠϜϥΠϯͰදࣔ
"84$POpHͷλΠϜϥΠϯ ྫɿηΩϡϦςΟάϧʔϓͷλΠϜϥΠϯ &$ͷׂΓͯ ʢϦϨʔγϣϯγοϓͷมߋʣ "84ϦιʔεͷมߋཤྺΛͰ͖Δ ϧʔϧͷมߋ ʢઃఆͷมߋʣ 'SPN 5P
"84$POpHͱ&$4ZTUFNT.BOBHFSͷ࿈ܞ 04Ξοϓσʔτʹ͍ͭͯՄೳ ྫɿΧʔωϧΞοϓσʔτͷه 44.ΤʔδΣϯτͷΠϯετʔϧ͕ඞཁ ྫ Χʔωϧͷόʔδϣϯ͕ˠʹΞοϓσʔτ Πϯετʔϧ࣌
֤αʔϏεͷϩά༗ޮԽ &-#ʢϩʔυόϥϯαʔʣ $MPVE'SPOUʢ$%/ʣ 4ʹϩά৴ αϙʔτͷ͍߹Θͤʹඞཁ
ΞδΣϯμ w ใηΩϡϦςΟͱ w *".ͷॏཁੑͱϕετϓϥΫςΟε w ূͷऔಘ wڞ༗ϞσϧͰߟ͑Δׂ୲ w
&$ͷجຊతͳηΩϡϦςΟରࡦ w ϚωʔδυαʔϏεͷݕ౼ w αʔόʔϨεΞʔΩςΫνϟͷݕ౼ w ิ
ڞ༗Ϟσϧ "84ͷηΩϡϦςΟ"84ͱϢʔβʔ͕࿈ܞͯ͠ୡ "84ͷ୲ΫϥυͷηΩϡϦςΟ Ϣʔβʔͷ୲ΫϥυͷηΩϡϦςΟ αʔϏεʹΑͬͯɺ୲ൣғ͕ҟͳΔ
ΠϯϑϥετϥΫνϟαʔϏεʢ&$ʣ ސ٬σʔλ ϓϥοτϑΥʔϜͱ ΞϓϦέʔγϣϯͷཧ 04ɺωοτϫʔΫɺ ϑΝΠΞΥʔϧߏ ҉߸Խɺ߹ੑ Ϣʔβʔͷ୲ "84ͷ୲
ج൫αʔϏε "84άϩʔόϧ ΠϯϑϥετϥΫνϟ
୲ͷྫᶃ σΟεΫͷഇغ "84
୲ͷྫᶄ 04ɺϛυϧΣΞͷόʔδϣϯΞοϓ Ϣʔβʔ
ΞδΣϯμ w ใηΩϡϦςΟͱ w *".ͷॏཁੑͱϕετϓϥΫςΟε w ূͷऔಘ w ڞ༗ϞσϧͰߟ͑Δׂ୲
w&$ͷجຊతͳηΩϡϦςΟରࡦ w ϚωʔδυαʔϏεͷݕ౼ w αʔόʔϨεΞʔΩςΫνϟͷݕ౼ w ิ
৴པͰ͖Δ".*Λ͏ ىಈ EC2 AMI AMI୭Ͱެ։Մೳ AWS৴པͰ͖Δϕϯμ͕ఏڙ͢ΔAMIΛར༻ "AMI IDΛΑ֬͘ೝͤͣʹར༻
৴པͰ͖Δ".*Λ͏8JOEPXTͷྫ ॴ༗ऀ=AmazonΠϝʔδ ྫɿ8JOEPXT4FSWFS3 ຊޠ ͷݕࡧ ϓϥοτϑΥʔϜ=Windows AMI໊=Windows-Server-2012-R2_RTM-Japanese
ඞཁͳ௨৴ͷΈڐՄ ϓϩτίϧ ૹ৴ݩ 44) ϝϯςφϯεڌ )551 ෆཁͳϓϩτίϧϒϩοΫ ཧ༻ΞΫηεଓݩΛߜΔ
ड৴ ϓϩτίϧ ૹ৴ݩ "-- ૹ৴ ཁ݅ʹԠ੍ͯ͡ޚ ※ NTP, AWS API, ύονద༻ͳͲʹҙ
࠷৽ͷ04ɺϛυϧΣΞΛ͏ EC2 ϓϥοτϑΥʔϜஅ *OTQFDUPS ϕϯμ "αϙʔτظݶ͕Εͨ04ɿύον͕ఏڙ͞Εͳ͍ "ݹ͍ϛυϧΣΞɿ੬ऑੑ͕͋ΔՄೳੑ ఆظతʹ04ɺϛυϧΣΞΛΞοϓσʔτ "NB[PO*OTQFDUPSͰఆظతʹஅ
࠷৽ͷΞϓϦέʔγϣϯΛ͏ EC2 ΞϓϦέʔγϣϯஅ ϕϯμ "ݹ͍ΞϓϦέʔγϣϯʹ੬ऑੑ͕͋Δ͜ͱ͕ଟ͍ ઐͷϕϯμʔʹґཔ͠ఆظతʹஅɺमਖ਼ ϕϯμʹґཔ͢Δࡍɺ"84ʹ৵ೖςετਃ͕ඞཁ
ϚϧΣΞରࡦ EC2 ΠϧεεύϜରࡦιϑτΣΞͷಋೖ ϗετํࣜͷ*%4ιϑτΣΞͷಋೖ
ϒϥοΫϦετొ 71$4VCOFU 71$4VCOFU /FUXPSL"$- 71$αϒωοτ୯Ґʹઃఆ ϧʔϧͷ্ݶ͕গͳ͍ "848"' $MPVE'SPOU·ͨ"-#ʹઃఆ ϧʔϧ্ݶ͕ଟ͍
ಛఆͷࠃ͔ΒͷଓͷϒϩοΫ "NB[PO$MPVE'SPOU ಛఆͷࠃ͔Βͷ߈ܸ͕ೝΊΒΕΔέʔεͰ༗ޮ "(FP*1ඞͣ͠ਖ਼֬Ͱͳ͍ (FP*1ʹΑΔࠃ͝ͱͷڐՄڋ൱
ΞδΣϯμ w ใηΩϡϦςΟͱ w *".ͷॏཁੑͱϕετϓϥΫςΟε w ূͷऔಘ w ڞ༗ϞσϧͰߟ͑Δׂ୲
w &$ͷجຊతͳηΩϡϦςΟରࡦ wϚωʔδυαʔϏεͷݕ౼ w αʔόʔϨεΞʔΩςΫνϟͷݕ౼ w ิ
ϚωʔδυαʔϏεͷݕ౼ WEBαʔόͰ ELBΛݕ౼
&-#Λ͏ϝϦοτ 44-ऴ 4:/ϑϥου 0QFO44-ͳͲ͕ෆཁ 6QEBUF ༗ޮͳ5$1ϦΫΤετͷΈαϙʔτ )5514ʹඞཁͳ44-λʔϛωʔτΛ&-#ʹΦϑϩʔυ &$ͷϩʔϦϯάΞοϓσʔτ͕Մೳ
ϚωʔδυαʔϏεͷݕ౼ DBαʔόͰ RDSΛݕ౼
ίϯςφαʔϏεʢ3%4ʣ ސ٬σʔλ ϓϥοτϑΥʔϜͱ ΞϓϦέʔγϣϯͷཧ ϑΝΠΞΥʔϧߏ ҉߸Խɺ߹ੑ Ϣʔβʔͷ୲ "84ͷ୲ ج൫αʔϏε
"84άϩʔόϧ ΠϯϑϥετϥΫνϟ 04ɺωοτϫʔΫߏ
3%4ͷ04ɺϓϥοτϑΥʔϜཧ ϝϯςφϯεϑϦʔͰແ͍ Ϣʔβʔͷ୲ൣғ ϝϯςφϯεΟϯυʢि࣍ͷϝϯςφϯε࣌ؒʣͷࢦఆ Խ/γϯάϧߏ ※ ຊ൪ڥԽΛਪ ϝϯςφϯε࣮ࢪλΠϛϯάͷࢦఆ AWS͔Βͷϝʔϧͷ֬ೝ
ͳͲ
3%4ͷϝϦοτ 3%4 Խ͕؆୯ %#Τϯδϯɺ04ͷߋ৽͕؆୯ όοΫΞοϓɺϦετΞ͕؆୯ ઐ͕ࣝඞཁͳ࡞ۀΛ؆୯ʹ࣮ࢪՄೳ
ΞδΣϯμ w ใηΩϡϦςΟͱ w *".ͷॏཁੑͱϕετϓϥΫςΟε w ূͷऔಘ w ڞ༗ϞσϧͰߟ͑Δׂ୲
w &$ͷجຊతͳηΩϡϦςΟରࡦ w ϚωʔδυαʔϏεͷݕ౼ wαʔόʔϨεΞʔΩςΫνϟͷݕ౼ w ิ
੩తͳ8FCαΠτʢ4 $MPVE'SPOUʣ $MPVE'SPOU 4 Ωϟογϡ ίετ Ϣʔβʔύονద༻Λҙࣝ͠ͳͯ͘ྑ͍ ੈքதʹ͋ΔΤοδϩέʔγϣϯ ʢΩϟογϡαʔόʔʣ
நԽαʔϏεʢ4ͳͲʣ ސ٬σʔλ ϓϥοτϑΥʔϜͱ ΞϓϦέʔγϣϯͷཧ ҉߸Խɺ߹ੑ Ϣʔβʔͷ୲ "84ͷ୲ ج൫αʔϏε "84άϩʔόϧ
ΠϯϑϥετϥΫνϟ 04ɺωοτϫʔΫߏ S3ઃఆϢʔβʔͷ୲
ΞδΣϯμ w ใηΩϡϦςΟͱ w *".ͷॏཁੑͱϕετϓϥΫςΟε w ূͷऔಘ w ڞ༗ϞσϧͰߟ͑Δׂ୲
w &$ͷجຊతͳηΩϡϦςΟରࡦ w ϚωʔδυαʔϏεͷݕ౼ w ΫϥυωΠςΟϰͳΞʔΩςΫνϟͷ࠾༻ wิ
"845SVTUFE"EWJTPSΛͬͨϨϏϡʔ ηΩϡϦςΟάϧʔϓ - ແ੍ݶΞΫηε CloudTrailͷར༻ঢ়گ S3ͷόέοτڐՄ ͳͲ
"84͔Βͷ࿈བྷΛແࢹ͠ͳ͍ ҧ๏ߦҝͷ௨ εύϜϝʔϧͷૹ৴ DDoSͷՃ୲ ϝϯςφϯε ηΩϡϦςΟΠϯγσϯτ IAMใ࿙ӮͷՄೳੑ
ҧ๏ߦҝͷ௨Λड͚औͬͨΒ εύϜϝʔϧͷྫ ΦʔϓϯϦϨʔͷՄೳੑ DDoS߈ܸՃ୲ͷྫ EC2Λִ͠ɺඞཁͳσʔλΛൈ͖ग़͢ ΫϦʔϯͳEC2ʹσϓϩΠ ҧ๏ߦҝͷϦεΫ AWSΞΧϯτɺΠϯελϯεͷఀࢭ ࣾձతͳ৴༻Լ
ૌু
ڴҖੳ w ᘳͳηΩϡϦςΟରࡦଘࡏ͠ͳ͍ w ݸʑͷγεςϜ๊͕͑ΔϦεΫΛચ͍ग़͢ w ༏ઌ͕ߴ͍ͷ͔ΒରԠ
·ͱΊᶃ ηΩϡϦςΟͷ3େཁ݅ ػີੑɺશੑɺՄ༻ੑ IAMॏཁ 3େཁ͕݅ଛͳΘΕΔՄೳੑ IAMϕετϓϥΫςΟεʹै͍ɺఆظతʹݟ͢ ূͷऔಘ AWS CloudTrailɺAWS
ConfigΛ༗ޮԽ AWSͷηΩϡϦςΟϢʔβͱAWS͕ڠྗͯ͠ରԠ
·ͱΊᶄ EC2ͷηΩϡϦςΟͷجຊ AWSͳΒͰͷରࡦ + ҰൠతͳηΩϡϦςΟ׳ߦ ϚωʔδυαʔϏεͷݕ౼ αʔόϨεΞʔΩςΫνϟͷݕ౼ Ϣʔβʔͷ୲ൣғΛॖখ͠ɺָΛ͢Δ ᘳͳηΩϡϦςΟରࡦଘࡏ͠ͳ͍
None