Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS環境にTenableしたら わらわら問題がでた話
Search
hiyanger
November 18, 2023
Technology
0
100
AWS環境にTenableしたら わらわら問題がでた話
2023 11/21 Cloud Security Day 2023
https://increments.connpass.com/event/298906/
hiyanger
November 18, 2023
Tweet
Share
More Decks by hiyanger
See All by hiyanger
テックブログのレベルを上げるために 抑えておくべき3つのポイント
hiyanger
0
69
もくもく会はなぜ良いのか?
hiyanger
0
54
AWS Codeシリーズ Terraformパイプライン 勉強会/ハンズオン
hiyanger
0
88
AWS Codeシリーズで構築したTerraformパイプラインのユーザー側IAM
hiyanger
0
130
AWS Codeシリーズを使った TerraformのCICDパイプラインの作り方
hiyanger
1
510
Codeシリーズで作るTerraformのCICDパイプラインの概要
hiyanger
2
320
技術領域や裁量を飛躍させる転職
hiyanger
0
46
IaC(CloudFormaitonでログ運用と監視システムを作ってみて)
hiyanger
0
92
CloudFormationとTerraformを 比較してみた
hiyanger
1
720
Other Decks in Technology
See All in Technology
受託開発でもアジャイル開発できました / Agile in Contract Development
takaking22
16
6.5k
GPSデバイスを使った簡易位置案内システムの構築をしてみた話。/jawsfesta2024
kwada
0
190
コード✕AIーソフトウェア開発者のための生成AI実践入門~
yuhattor
4
930
Amazon CloudWatchで小さく始めるWebサービスのオブザーバビリティ / How to start Observability for Web Sevices with Amazon CloudWatch
sms_tech
3
150
太田博三(@usagisan2020)
otanet
0
110
KubeVirt Networking ONIC 2024
orimanabu
4
710
Automated Tests Now and Future @ SQiP Workshop Special Lecture 2024
teyamagu
PRO
2
380
ReSTIRの数理と実装 (rtcamp10)
yumcyawiz
0
110
入社半年(合計1年)でGoogle Cloud 認定を全冠した秘訣🤫
risatube
1
260
Castor - Le Task Runner PHP qui simplifie votre Workflow
lyrixx
1
350
LINE-ChatGPT 倫理問題を整理する全力肯定彼氏くん [LuC4]に訪れたサービス開始以来の最大の危機
o_ob
2
280
Grafana エコシステムの活用事例 on ABEMA
tetsuya28
5
680
Featured
See All Featured
A Tale of Four Properties
chriscoyier
156
22k
Building Your Own Lightsaber
phodgson
102
6k
A Modern Web Designer's Workflow
chriscoyier
692
190k
Designing the Hi-DPI Web
ddemaree
280
34k
GitHub's CSS Performance
jonrohan
1030
450k
Practical Orchestrator
shlominoach
186
10k
Embracing the Ebb and Flow
colly
84
4.4k
Music & Morning Musume
bryan
46
6.1k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
126
18k
RailsConf 2023
tenderlove
28
850
Making Projects Easy
brettharned
115
5.9k
How to Ace a Technical Interview
jacobian
275
23k
Transcript
AWS環境にTenableしたら わらわら問題がでた話
プロフィール 名前:檜山 準(ひやま じゅん) 所属:I◯◯◯ お仕事:クラウドエンジニア(設計、構築、運用保守) https://twitter.com/hiyanger https://qiita.com/hiyanger https://zenn.dev/hiyanger 最近よく使う技術:AWS、IaC、CI/CD
出身:栃木県 よかったら フォローしてね!
もくじ Tenableとは 既存システムにTenableかけたらどうなったか 診断結果の対策
Tenableってなんですか?
Tenableとは 脆弱性診断ツールです。AWSに流せばわら わら脆弱性を洗い出してくれます。 外部から診断する方法か、内部で専用の EC2をたててそこから診断する方法があり ます。
診断してみたww
診断結果 診断の対象は2019年ごろに構築したAWS上の分析基盤システムです。 分析基盤なのでかなりセキュアなシステムです。 IAM ・不要なアクセスキーが残っている ・ポリシーのユーザー/ロール直当て ・アクセスアナライザー無効 Config CloudTrail ・使われていたが、
初期導入ツールで 設定されたものだけだった ・そもそも動いてなかった KMS マスターキーがローテされてない CloudWatch ・APIコールの通知 ・IAMポリシーの変更通知 ・ネットワーク系のモニタ通知
診断結果 診断の対象は2019年ごろに構築したAWS上の分析基盤システムです。 分析基盤なのでかなりセキュアなシステムです。 IAM ・不要なアクセスキーが残っている ・ポリシーのユーザー/ロール直当て ・アクセスアナライザー無効 Config CloudTrail ・使われていたが、
初期導入ツールで 設定されたものだけだった ・そもそも動いてなかった KMS マスターキーがローテされてない CloudWatch ・APIコールの通知 ・IAMポリシーの変更通知 ・ネットワーク系のモニタ通知 刷新!
対処します
監査ログ用 別AWSアカウント cron cron cron config S3アクセスログ TrailとConfigのバックアップを強固に あ Trail
・CloudWatchへの出力 ・S3へ出力しアクセスログも取得、 さらに監査用ログとして別アカウントS3へコピー Config ・S3へ出力 ・監査用ログとして別アカウントS3へコピー ・ConfigのSNS通知はうるさくなりすぎるので やらない方向に倒した ※別アカウントへのコピーはちょっとアナログだけど、 EC2からS3コマンドをcronで流している。 ここはLambdaとEventBridgeでもできるはず。たぶん。
IAM Access Analyzer 有効化 ポチッとして名前いいれるだけです。超簡単。 お金 かかりません。やらない損です。やりましょう。 何ができるのか ポリシーにおける外部からのアクセスが できるようになりえるものを検知してくれます。
Thanks!! 古いシステムだとやっぱり考慮もれとかでいろいろやれ てないことが多いです。 Tenableは脆弱性診断という意味ではもちろん、システ ムを見直すきっかけとして良いので、構築してから時間 たってるシステムはぜひ見直ししましょう。 本資料 https://speakerdeck.com/hiyanger/cloud-security-da y-2023-awshuan-jing-nitenablesitara-warawarawen-ti -gadetahua
https://twitter.com/hiyanger https://qiita.com/hiyanger https://zenn.dev/hiyanger