$30 off During Our Annual Pro Sale. View Details »

knockrd / kichijojipm23

FUJIWARA Shunichiro
July 21, 2020
Technology
1
190

knockrd / kichijojipm23

FUJIWARA Shunichiro

July 21, 2020
Tweet

More Decks by FUJIWARA Shunichiro

See All by FUJIWARA Shunichiro
ISUCON運営を支えるAmazon ECSとAurora Serverless v2 / AWS Dev Day 2022 Japan
fujiwara3
5
790
1年間のポストモーテム運用とそこから生まれたツール sre-advisor / SRE NEXT 2022
fujiwara3
6
9.2k
気軽に始めるGraviton2マネージドサービスによるコスト最適化 / Amazon Game Tech Night #23
fujiwara3
4
1.6k
Amazon Auroraを活用したソーシャルゲームの複数ワールドデータ統合 / AWS Dev Day Online Japan
fujiwara3
10
5k
GitHub Actionsに「強い」AWSの権限を渡したい / AWS credentials on Actions
fujiwara3
7
12k
ecspresso exec
fujiwara3
0
770
シングルバイナリにこだわる - AWS Lambda編 / Nature Bath vol.6
fujiwara3
4
2k
がんばらないスポットインスタンス運用 / Spot-instance-Matsuri
fujiwara3
1
2.9k
Webサービスを1日10回デプロイするための取り組み / SRE NEXT 2020
fujiwara3
22
25k

Other Decks in Technology

See All in Technology
ユーザー数100万人規模の事業成長を止めずに、レガシーコードと戦う / JJUG CCC 2022 Fall
visional_engineering_and_design
2
290
ユーザー理解は、自組織理解から!インナーリサーチのススメ / SDC_okusa
recruitengineers
PRO
0
280
XP入門と私 / Introduction_of_extream_programming_and_I
fatsushi
2
540
M365 Security Review
c0d3xpl0it
0
120
システム開発の基礎〜システム開発の全体像を捉えるV字モデル
haru860
5
1.1k
Reactのトレンドよくわからん
oukayuka
11
6k
Sports Analyst Meetup #13 (2022/11/26)
keisuke198619
0
250
Advice for Ruby beginners
sinsoku
2
200
Securing CI/CD Systems Through eBPF (recap)
whywaita
PRO
0
550
Oracle Content Management サービス概要 (2022年12月版)
oracle4engineer
PRO
0
620
金融システムにおけるクラウドネイティブなアーキテクチャ設計とその構築
tetsun
0
140
OracleのCloud Native 戦略/ソリューションの特徴 / oracle-cloud-native-strategy-overview
oracle4engineer
PRO
1
190

Featured

See All Featured
Music & Morning Musume
bryan
36
4.5k
Building Your Own Lightsaber
phodgson
96
4.8k
Building Better People: How to give real-time feedback that sticks.
wjessup
344
17k
Clear Off the Table
cherdarchuk
79
290k
The World Runs on Bad Software
bkeepers
PRO
59
5.6k
Making Projects Easy
brettharned
101
4.7k
Adopting Sorbet at Scale
ufuk
65
7.8k
Git: the NoSQL Database
bkeepers
PRO
417
60k
We Have a Design System, Now What?
morganepeng
37
5.8k
jQuery: Nuts, Bolts and Bling
dougneiner
57
6.6k
What the flash - Photography Introduction
edds
64
10k
Principles of Awesome APIs and How to Build Them.
keavy
116
15k

Transcript

  1. knockrd @fujiwara 2020.07.21 ٢঵ࣉ.pm23

  2. ࣗݾ঺հ @fujiwara github.com/fujiwara

  3. ʮࠓ೥ͷલ൒ͷ׆ಈΛৼΓฦΔʯ

  4. ςϨϫʔΫ VPN ͕ ͳ͍ͱͩΊʁ

  5. VPN ૿ڧରԠ

  6. ͳͥ VPN ͕ඞཁ͔ 1. ࣾ಺ωοτϫʔΫͷαʔόʹΞΫηε͢ΔͨΊ • ࢓ํͳ͍ • Ͱ΋ฐࣾʹ͸΋͏΄΅ଘࡏ͠ͳ͍ (AWS,

    G Suite...) 2. ֎෦ͷαʔό͕઀ଓݩIPΞυϨεΛ੍ݶ͍ͯ͠Δ • Θ͔Δ • Ͱ΋ਏ͍ɻͰ͖Ε͹΍Ί͍ͨ

  7. IP ΞυϨε੍ݶͷͳʹ͕ਏ͍͔ ڌ఺͕͍ͬͺ͍͋Δ (ΦϑΟε͝ͱʹIPΞυϨε) ૿͑ͨΓݮͬͨΓ͢Δ (ͦͷͨͼʹ௥Ճ࡟আ໘౗) ݹ͍ΞυϨεΛফ͠๨ΕΔ (ଘࡏࣗମ๨Ε͍ͯΔ) IPΞυϨεͰ੍ݶͯ͠Δ͔ΒͬͯϢϧϢϧʹ͕ͪ͠ (ଞͷೝূΛαϘΔ)

    ϦϞʔτϫʔΫͰ͸ VPN ͕ඞཁ !!!

  8. IP ΞυϨε੍ݶҎ֎ͷೝূΛֻ͚Ε͹… • github.com/oauth2-proxy/oauth2-proxy • github.com/sorah/nginx_omniauth_adapter • github.com/shogo82148/go-nginx-oauth2-adapter • AWS

    ALB طଘΞϓϦέʔγϣϯʹखΛೖΕͣʹ OAuth(OIDC)ೝূΛ௥ՃͰ͖Δɻ࠷ߴศར

  9. ΍ΉΛಘͣIPΞυϨε੍ݶΛ͍ͨ͠৔໘ ϒϥ΢βҎ֎͔ΒΞΫηε͍ͨ͠Ϣʔεέʔε͕͋Δ CLI, ϒϥ΢βͰ͸ͳ͍ήʔϜͷΫϥΠΞϯτͳͲ ϒϥ΢βͰ͸ͳ͍ͨΊOAuth(OIDC)ೝূͰ͖ͳ͍ ฐࣾͰͷྫ • ։ൃதήʔϜͷσόοάAPI • αʔόϝϯςφϯεதʹಈ࡞֬ೝ

  10. ͭ͘Γ·ͨ͠ knockrd github.com/fujiwara/knockrd

  11. github.com/fujiwara/knockrd ϒϥ΢βͰΞΫηεͨ͠IPΞυϨε͔Βͷ઀ଓΛ ҰఆظؒڐՄ͢ΔͨΊͷιϑτ΢ΣΞ (໊લ͸ port knocking ͔ΒΠϯεύΠΞ) 1. /allow ΛͳΜΒ͔ͷํ๏(OAuthͱ͔)Ͱอޢ

    2. POST /allow → IPΞυϨεΛ DynamoDB ʹه࿥ ͜ͷઌ͸͍͔ͭ͘ͷํ๏Ͱ…

  12. nginx auth_request ͱ૊Έ߹ΘͤΔ 1. /allow ΛͳΜΒ͔ͷํ๏(OAuthͱ͔)Ͱอޢ 2. POST /allow →

    IPΞυϨεΛ DynamoDB ʹه࿥ 3. ଞͷ URL ͷΞΫηεͰ͸ nginx auth_request ͕ GET /auth 4. DynamoDB ʹ͋ΔIPΞυϨεͳΒ 200 OK 5. ͳ͔ͬͨΓ Expire ͢Δͱ 401 Unauthorized
  13. None

  14. AWS WAFv2 / SecurityGroupͱ૊Έ߹ΘͤΔ 1. /allow ΛͳΜΒ͔ͷํ๏(OAuthͱ͔)Ͱอޢ 2. POST /allow

    → IPΞυϨεΛ DynamoDB ʹه࿥ 3. DynamoDB Stream ͔Β Lambda ͕ىಈ 4. WAF IP Set / Security Group ʹ IPΞυϨεΛొ࿥ 5. Disallow / Expire ͢Δͱ Lambda ͕ىಈ 6. WAF IP Set / Security Group ͔Β IPΞυϨεΛ࡟আ
  15. None

  16. ༻๏ɾ༻ྔΛक͓ͬͯ࢖͍͍ͩ͘͞ ಛఆͷIPΞυϨεΛҰఆ࣌ؒ(ઃఆՄೳ)͚ͩڐՄͰ͖Δ ࣌ݶͰࣗಈ࡟আɻ์ஔͯ͠΋ةݥ͕ӬଓԽͮ͠Β͍ ϓϩόΠμͰNAT͞Ε͍ͯΔͱͦͷIPΞυϨεΛ࢖͍ͬͯΔͷ͸ ࣗ෼͚ͩ͡Όͳ͍Մೳੑ͕͋ΔͷͰ஫ҙ (͋Δఔ౓ͷ஌͕ࣝ͋ΔΤϯδχΞ޲͚) ϒϥ΢β͚ͩͰΞΫηε͢Δ΋ͷ͸ૉ௚ʹ oauth2-proxy ͱ͔Ͱ github.com/fujiwara/knockrd