Upgrade to Pro — share decks privately, control downloads, hide ads and more …

UnConfig - AWS Configの幻想との戦い#secjaws #secjaws14

fnifni
August 28, 2019
Technology
0
900

UnConfig - AWS Configの幻想との戦い#secjaws #secjaws14

AWS Config Streamから人為的な変更操作通知を抽出して、利用者情報を付加した内容をSlackに通知する概念実証コードを紹介しています。

fnifni

August 28, 2019
Tweet

More Decks by fnifni

See All by fnifni
生成AIのガバナンスの全体像と現実解
fnifni
2
260
生成AIのガバナンスとこれから
fnifni
0
120
AWS re:Inforce 2024 に コミュニティから登壇してきた話
fnifni
0
30
COM224: How organizations are actually applying AWS security best practices
fnifni
0
40
BsidesTokyo2024_AWSセキュリティの ベストプラクティスに関する 利用実態調査のレポートの紹介
fnifni
0
31
re:Inforce2024-recap_英語力ゴミカスでもフル英語登壇を乗り切る成功メソッド
fnifni
0
110
信頼ルールはGoogle Drive共有の孫の手になるか?
fnifni
0
240
ゼロトラスト導入支援ってどんなことやってるの?
fnifni
0
55
ログの話
fnifni
0
56

Other Decks in Technology

See All in Technology
Skip Skip Run Run Run ♫
temoki
0
320
あなたの興味は信頼性?それとも生産性? SREとしてのキャリアに悩むみなさまに伝えたい選択肢
jacopen
5
2.1k
15年入社者に聞く! これまでのCAのキャリアとこれから
kurochan
1
130
オーティファイ会社紹介資料 / Autify Company Deck
autifyhq
10
120k
HCP Terraformで実現するPlatform Engineering/nikkei-tech-talk-29
nikkei_engineer_recruiting
0
200
メンバーがオーナーシップを発揮しやすいチームづくり
ham0215
2
340
デザインシステムを始めるために取り組んだこと - TechTrain x ゆめみ ここを意識してほしい!リファクタリング勉強会
kajitack
2
290
TypeScriptでモジュラーモノリスやってみた
diggymo
0
110
SREKaigi.pdf
_awache
2
3.1k
AIアプリケーション開発でAzure AI Searchを使いこなすためには
isidaitc
1
260
企業テックブログにおける執筆ネタの考え方・見つけ方・広げ方 / How to Think of, Find, and Expand Writing Topics for Corporate Tech Blogs
honyanya
0
680
Japan AWS Jr. Championsがお届けするre:Invent2024のハイライト ~ラスベガスで見てきた景色~
fukuchiiinu
0
1.1k

Featured

See All Featured
For a Future-Friendly Web
brad_frost
176
9.5k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
3k
The Pragmatic Product Professional
lauravandoore
32
6.4k
Rails Girls Zürich Keynote
gr2m
94
13k
Agile that works and the tools we love
rasmusluckow
328
21k
Stop Working from a Prison Cell
hatefulcrawdad
267
20k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
160
15k
Building Applications with DynamoDB
mza
93
6.2k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
59k
jQuery: Nuts, Bolts and Bling
dougneiner
63
7.6k
RailsConf 2023
tenderlove
29
980

Transcript

  1. UnConfig Until XXX turns into gold. At S-JAWS # 14

    2019.08.28

  2. ͏Μ͜Μ;͙͌ AWS Configͷݬ૝ͱͷઓ͍ S-JAWS # 14 ʹͯ 2019.08.24

  3. Who am I !? (͓લ୭Α?) • Hirokazu YoshidaˏCloud Native Inc.


    Security Engineer • Community
 - Security-JAWS • Favorite AWS Service https://www.fnifni.net/

  4. Attention • ຊηογϣϯ͸ɺݸਓͷݟղʹجͮ͘΋ͷͰ͢ • ॴଐ͢ΔاۀɺஂମͷҙݟΛ୅ද͢Δ΋ͷͰ͸ ͋Γ·ͤΜ

  5. ͱ͍͏Θ͚Ͱ ຊ୊

  6. AWS Config ༗ޮʹ͍ͯ͠·͔͢ʁ

  7. ࠷ߴͰ͢Ͷ

  8. AWS Config ׆༻͍ͯ͠·͔͢ʁ

  9. What is AWS Config ? • AWSϦιʔεͷΠϯϕϯτϦ/ߏ੒؅ཧͷͨΊͷϑϧϚ ωʔδυαʔϏε • AWSϦιʔεͷߏ੒มߋΛϩΪϯά

    • ߏ੒৘ใͷεφοϓγϣοτΛs3อ؅ • ߏ੒มߋͷ௥੻΍ηΩϡϦςΟ෼ੳɺτϥϒϧγϡʔ ςΟϯάɺίϯϓϥΠΞϯε४ڌΛ༰қʹ͢Δ https://aws.amazon.com/jp/blogs/news/webinar-bb-aws-config-2019/

  10. AWS Config Features • Snapshot
 - ͋Δ࣌఺ͰͷConfiguration Itemͷू߹(s3อ؅)
 - Config

    Rulesͷ൑ఆλΠϛϯάͷҰͭ • History
 - ϦιʔελΠϓͷू߹ɻઃఆཤྺΛs3όέοτʹอଘ • Stream
 - Ϧιʔε࡞੒/มߋ/࡟আʹ൐͍࡞੒͞ΕɺSNS΁௨஌Մ https://aws.amazon.com/jp/blogs/news/webinar-bb-aws-config-2019/

  11. ߏ੒؅ཧ/؂ࠪܥͷ੕ ༗ޮʹ͠ͳ͍ख͸ͳ͍

  12. ࠓ೔ͷςʔϚ

  13. AWS Configʹ๊͘ ؁͍ݬ૝ΛͿͬ͜Θ͢ˑ

  14. ͱ͋Δ͓୊ ҆ఆͨ͠AWS؀ڥ͕͋ΔͷͰ มߋΛݕ஌͍ͨ͠ͷͰ͢Α

  15. ๊͘ݬ૝1 StreamΛ௨஌ͯ͠ ϑΟϧλ͢Ε͹͍͍

  16. ๊͘ݬ૝2 SnapShotͷDiffΛऔΕ͹͍͍

  17. What you can learn by doing it • དྷΔͷ͸มߋ௨஌͚ͩͰ͸ͳ͍
 -

    Config SnapShot/Historyͷऔಘ௨஌
 - Config RulesͷධՁ݁Ռ/NOT_APPLICABLE௨஌ • ͢΂ͯͷมߋ௨஌͕དྷΔ
 - AWS͕ߦ͏ૢ࡞΋มߋ͸͢΂ͯ௨஌͞ΕΔ

  18. AWS Changes Example • ELBͷεέʔϧin/out/retirementʹ܎Δॾมߋ
 - NIC࡟আ/࡞੒ɺSecurity GroupͷAttach • ৽ػೳ௥Ճʹ൐͏EC2ͷଐੑ௥Ճ


    - Capacity Reservationͷ௥Ճ • EC2ىಈ࣌ͷManagedInstanceInventory࡞੒

  19. ;͊ͬ ͏Μࠞͬ͜͡ͱΔ΍Μ͚ʂ ͠Όʔͳ͍ɺϑΟϧλ͢Δ͔

  20. an inconvenient fact • ໊݅ͰͷϑΟϧλʹ͸ݶք͕͋Δ • มߋ৘ใ͸ɺϦιʔεຖʹεΩʔϚ͕όϥόϥ
 - Resources໊ΛऔΔͷ΋Ұۤ࿑ •

    ͦ΋ͦ΋ConfigͰऩू͞ΕΔ৘ใʹ͸ɺ
 มߋऀͷ৘ใ͸هࡌ͞Εͳ͍

  21. ͱ͋Δ͓୊ʢ࠶ܝʣ ҆ఆͨ͠AWS؀ڥ͕͋ΔͷͰ (ਓҝతͳ)มߋΛݕ஌͍ͨ͠ ͷͰ͢Α

  22. ͋ɺ٧Μͩʁ

  23. ͍΍ͪΐͬͱ଴ͯ Config Timeline͕͋ͬͨΖ

  24. Config TimeLine

  25. ͜ΕɺͲ͏΍ͬͯΜͶΜ

  26. Ask an Expert (2 minutes) • Configuration ItemͷtimestampͱResources TypeΛΩʔʹɺCloudTrailΛLookupͯ͠ΔΜ Ͱ͢Α

  27. cloudtrail lookup-events • աڈ90೔ͷCloudTrailΠϕϯτΛࢀরͰ͖Δ • ࣌ؒൣғͱ୯ҰଐੑͰߜΓࠐΈ
 AccessKeyId, EventId, EventName, EventSource,

    Username, ReadOnly, ResourceName, ResourceType https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/ userguide/view-cloudtrail-events-cli.html

  28. ΑΖ͍͠ ͳΒ͹࣮૷ͩ

  29. manual-changes-detector-poc

  30. Output

  31. Link Destination

  32. Use Case • ҆ఆͨ͠؀ڥ΁ͷϢʔβʔʹඥͮ͘มߋૢ࡞ Λݕग़͍ͨ͠ • Terraform΍CloudFormationͳͲίʔυͰͷ σϓϩΠΛӡ༻ϧʔϧͱ͍ͯ͠Δ؀ڥͰɺͦ ΕҎ֎ͷϢʔβʔʹΑΔมߋΛݕग़͍ͨ͠

  33. GithubͰެ։͍ͯ͠·͢

  34. Attention • ֓೦࣮ূίʔυͰ͢
 - ຊ൪ϫʔΫϩʔυͰ͸ɺঢ়گʹԠͨ͡վम΍ௐ੔Λ
 ඞཁͱ͠·͢(MIT LicenseͰ͢ɻ͝ར༻͸ܭըతʹ) • ݱ࣌఺ͷ׬੒౓͸60%
 -

    ਵ࣌ߋ৽͠·͢ͷͰஆ͔͘ݟक͍ͬͯͩ͘͞ • Pull Requestେ׻ܴʂ

  35. Summary • Config StreamΛ࢖͑͹”౎߹Α͍͍͘ײ͡ʹ”
 มߋΛ௥͏͜ͱ͕Ͱ͖Δ͸ݬ૝ • “Կ͔͋ͬͨΒ௥͑·͢"͔ΒҰาલ΁ • ࠔͬͨ࣌͸ɺExpertʹฉ͘ͷ΋ख

  36. Thank You !