Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
UnConfig - AWS Configの幻想との戦い#secjaws #secjaws14
Search
fnifni
August 28, 2019
Technology
1k
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
UnConfig - AWS Configの幻想との戦い#secjaws #secjaws14
AWS Config Streamから人為的な変更操作通知を抽出して、利用者情報を付加した内容をSlackに通知する概念実証コードを紹介しています。
fnifni
August 28, 2019
More Decks by fnifni
See All by fnifni
生成AIのガバナンスの全体像と現実解
fnifni
2
460
生成AIのガバナンスとこれから
fnifni
0
180
AWS re:Inforce 2024 に コミュニティから登壇してきた話
fnifni
0
58
COM224: How organizations are actually applying AWS security best practices
fnifni
0
78
BsidesTokyo2024_AWSセキュリティの ベストプラクティスに関する 利用実態調査のレポートの紹介
fnifni
0
92
re:Inforce2024-recap_英語力ゴミカスでもフル英語登壇を乗り切る成功メソッド
fnifni
0
140
信頼ルールはGoogle Drive共有の孫の手になるか?
fnifni
0
410
ゼロトラスト導入支援ってどんなことやってるの?
fnifni
0
94
ログの話
fnifni
0
76
Other Decks in Technology
See All in Technology
週末にループ・エンジニアリングの理解を深めるためのスライド
nagatsu
0
590
[AWS Summit Japan 2026]迷っているあなたへ_小さな一歩が、やがて自分を助けてくれる
sh_fk2
2
430
AIAU_UMEMOGU_ninomiya_slide
ninomiya_ii
0
280
製造現場での生成AIの活用、およびエージェントAIの実装のあり方、AVEVAの取り組み
iotcomjpadmin
0
180
AI 不只幫你寫 Code: 當專案從 300 暴增到 1500, 我們如何撐住 DevOps
appleboy
0
280
「軸足」は 固定しなくていい - 熱量と強みで描く、しなやかなキャリアの形
kakehashi
PRO
1
280
AIチャットの改善から見えた、良いAI体験とは / What Constitutes a Good AI Experience: Insights from Improving AI Chat
kubode
0
130
攻撃者がいなくてもAIエージェントはインシデントを起こす
nomizone
0
140
AWS Summit 2026で見えたSIerにとっての Amazon Quickの位置づけ
maf_0521
0
110
現場のトークンマネジメント
dak2
1
200
AIペネトレーションテスト・ セキュリティ検証「AgenticSec」紹介資料
laysakura
2
7.7k
FPC(フレキシブル)基板にZephyr実装してみた。
iotengineer22
0
180
Featured
See All Featured
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.8k
Abbi's Birthday
coloredviolet
3
8.3k
Pawsitive SEO: Lessons from My Dog (and Many Mistakes) on Thriving as a Consultant in the Age of AI
davidcarrasco
0
170
Deep Space Network (abreviated)
tonyrice
0
210
Darren the Foodie - Storyboard
khoart
PRO
3
3.4k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
21
1.5k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
55k
Principles of Awesome APIs and How to Build Them.
keavy
128
18k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
230
23k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
31
10k
SERP Conf. Vienna - Web Accessibility: Optimizing for Inclusivity and SEO
sarafernandez
2
1.5k
Jamie Indigo - Trashchat’s Guide to Black Boxes: Technical SEO Tactics for LLMs
techseoconnect
PRO
0
210
Transcript
UnConfig Until XXX turns into gold. At S-JAWS # 14
2019.08.28
͏Μ͜Μ;͙͌ AWS Configͷݬͱͷઓ͍ S-JAWS # 14 ʹͯ 2019.08.24
Who am I !? (͓લ୭Α?) • Hirokazu YoshidaˏCloud Native Inc.
Security Engineer • Community - Security-JAWS • Favorite AWS Service https://www.fnifni.net/
Attention • ຊηογϣϯɺݸਓͷݟղʹجͮ͘ͷͰ͢ • ॴଐ͢ΔاۀɺஂମͷҙݟΛද͢ΔͷͰ ͋Γ·ͤΜ
ͱ͍͏Θ͚Ͱ ຊ
AWS Config ༗ޮʹ͍ͯ͠·͔͢ʁ
࠷ߴͰ͢Ͷ
AWS Config ׆༻͍ͯ͠·͔͢ʁ
What is AWS Config ? • AWSϦιʔεͷΠϯϕϯτϦ/ߏཧͷͨΊͷϑϧϚ ωʔδυαʔϏε • AWSϦιʔεͷߏมߋΛϩΪϯά
• ߏใͷεφοϓγϣοτΛs3อ • ߏมߋͷηΩϡϦςΟੳɺτϥϒϧγϡʔ ςΟϯάɺίϯϓϥΠΞϯε४ڌΛ༰қʹ͢Δ https://aws.amazon.com/jp/blogs/news/webinar-bb-aws-config-2019/
AWS Config Features • Snapshot - ͋Δ࣌ͰͷConfiguration Itemͷू߹(s3อ) - Config
RulesͷఆλΠϛϯάͷҰͭ • History - ϦιʔελΠϓͷू߹ɻઃఆཤྺΛs3όέοτʹอଘ • Stream - Ϧιʔε࡞/มߋ/আʹ͍࡞͞ΕɺSNS௨Մ https://aws.amazon.com/jp/blogs/news/webinar-bb-aws-config-2019/
ߏཧ/ࠪܥͷ ༗ޮʹ͠ͳ͍खͳ͍
ࠓͷςʔϚ
AWS Configʹ๊͘ ͍ݬΛͿͬ͜Θ͢ˑ
ͱ͋Δ͓ ҆ఆͨ͠AWSڥ͕͋ΔͷͰ มߋΛݕ͍ͨ͠ͷͰ͢Α
๊͘ݬ1 StreamΛ௨ͯ͠ ϑΟϧλ͢Ε͍͍
๊͘ݬ2 SnapShotͷDiffΛऔΕ͍͍
What you can learn by doing it • དྷΔͷมߋ௨͚ͩͰͳ͍ -
Config SnapShot/Historyͷऔಘ௨ - Config RulesͷධՁ݁Ռ/NOT_APPLICABLE௨ • ͯ͢ͷมߋ௨͕དྷΔ - AWS͕ߦ͏ૢ࡞มߋͯ͢௨͞ΕΔ
AWS Changes Example • ELBͷεέʔϧin/out/retirementʹΔॾมߋ - NICআ/࡞ɺSecurity GroupͷAttach • ৽ػೳՃʹ͏EC2ͷଐੑՃ
- Capacity ReservationͷՃ • EC2ىಈ࣌ͷManagedInstanceInventory࡞
;͊ͬ ͏Μࠞͬ͜͡ͱΔΜ͚ʂ ͠Όʔͳ͍ɺϑΟϧλ͢Δ͔
an inconvenient fact • ໊݅ͰͷϑΟϧλʹݶք͕͋Δ • มߋใɺϦιʔεຖʹεΩʔϚ͕όϥόϥ - Resources໊ΛऔΔͷҰۤ࿑ •
ͦͦConfigͰऩू͞ΕΔใʹɺ มߋऀͷใهࡌ͞Εͳ͍
ͱ͋Δ͓ʢ࠶ܝʣ ҆ఆͨ͠AWSڥ͕͋ΔͷͰ (ਓҝతͳ)มߋΛݕ͍ͨ͠ ͷͰ͢Α
͋ɺ٧Μͩʁ
͍ͪΐͬͱͯ Config Timeline͕͋ͬͨΖ
Config TimeLine
͜ΕɺͲ͏ͬͯΜͶΜ
Ask an Expert (2 minutes) • Configuration ItemͷtimestampͱResources TypeΛΩʔʹɺCloudTrailΛLookupͯ͠ΔΜ Ͱ͢Α
cloudtrail lookup-events • աڈ90ͷCloudTrailΠϕϯτΛࢀরͰ͖Δ • ࣌ؒൣғͱ୯ҰଐੑͰߜΓࠐΈ AccessKeyId, EventId, EventName, EventSource,
Username, ReadOnly, ResourceName, ResourceType https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/ userguide/view-cloudtrail-events-cli.html
ΑΖ͍͠ ͳΒ࣮ͩ
manual-changes-detector-poc
Output
Link Destination
Use Case • ҆ఆͨ͠ڥͷϢʔβʔʹඥͮ͘มߋૢ࡞ Λݕग़͍ͨ͠ • TerraformCloudFormationͳͲίʔυͰͷ σϓϩΠΛӡ༻ϧʔϧͱ͍ͯ͠ΔڥͰɺͦ ΕҎ֎ͷϢʔβʔʹΑΔมߋΛݕग़͍ͨ͠
GithubͰެ։͍ͯ͠·͢
Attention • ֓೦࣮ূίʔυͰ͢ - ຊ൪ϫʔΫϩʔυͰɺঢ়گʹԠͨ͡վमௐΛ ඞཁͱ͠·͢(MIT LicenseͰ͢ɻ͝ར༻ܭըతʹ) • ݱ࣌ͷ60% -
ਵ࣌ߋ৽͠·͢ͷͰஆ͔͘ݟक͍ͬͯͩ͘͞ • Pull Requestେܴʂ
Summary • Config StreamΛ͑”߹Α͍͍͘ײ͡ʹ” มߋΛ͏͜ͱ͕Ͱ͖Δݬ • “Կ͔͋ͬͨΒ͑·͢"͔ΒҰาલ • ࠔͬͨ࣌ɺExpertʹฉ͘ͷख
Thank You !