Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS環境にTenableしたら わらわら問題がでた話

Avatar for hiyanger hiyanger
November 18, 2023
Technology
0
210

AWS環境にTenableしたら わらわら問題がでた話

2023 11/21 Cloud Security Day 2023
https://increments.connpass.com/event/298906/

Avatar for hiyanger

hiyanger

November 18, 2023
Tweet

More Decks by hiyanger

See All by hiyanger
Terraform やるなら公式スタイルガイドを読もう 〜重要項目 10選〜
Avatar for hiyanger hiyanger
14
3.7k
(Amazon Bedrock 基礎)生成 AI の活用に導くシステム構築の基本とセキュリティの実装
Avatar for hiyanger hiyanger
4
100
CIer に在籍した 3年間 でやったこと
Avatar for hiyanger hiyanger
2
240
これからクラウドエンジニアになるために本当に必要なスキル 5選
Avatar for hiyanger hiyanger
1
740
クラウド食堂とは?
Avatar for hiyanger hiyanger
0
360
Amazon ECS とマイクロサービスから考えるシステム構成
Avatar for hiyanger hiyanger
2
1.3k
全身全霊で取り組んだ 2024 Qiita アドベントカレンダー
Avatar for hiyanger hiyanger
0
91
Terraform で作る Amazon ECS の CI/CD パイプライン
Avatar for hiyanger hiyanger
1
380
【AWS】EC2 基本アーキテクチャ(ハンズオン付き)
Avatar for hiyanger hiyanger
0
190

Other Decks in Technology

See All in Technology
日本Rubyの会: これまでとこれから
Avatar for Koji SHIMADA snoozer05
PRO
6
250
20251203_AIxIoTビジネス共創ラボ_第4回勉強会_BP山崎.pdf
Avatar for AIxIoTビジネス共創ラボ iotcomjpadmin
0
140
Microsoft Agent Frameworkの可観測性
Avatar for tomokusaba tomokusaba
1
120
業務の煩悩を祓うAI活用術108選 / AI 108 Usages
Avatar for 株式会社スマートバンク smartbank
9
14k
AgentCore BrowserとClaude Codeスキルを活用した 『初手AI』を実現する業務自動化AIエージェント基盤
Avatar for Hirokatsu Endo ruzia
7
1.6k
Strands AgentsとNova 2 SonicでS2Sを実践してみた
Avatar for Yuuki Yamashita yama3133
1
1.9k
Connection-based OAuthから学ぶOAuth for AI Agents
Avatar for GMO Flatt Security flatt_security
0
390
AWS運用を効率化する!AWS Organizationsを軸にした一元管理の実践/nikkei-tech-talk-202512
Avatar for 日本経済新聞社 エンジニア採用事務局 nikkei_engineer_recruiting
0
170
Agentic AIが変革するAWSの開発・運用・セキュリティ ~Frontier Agentsを試してみた~ / Agentic AI transforms AWS development, operations, and security I tried Frontier Agents
Avatar for Yuji Oshima yuj1osm
0
100
Amazon Bedrock Knowledge Bases × メタデータ活用で実現する検証可能な RAG 設計
Avatar for Tomoaki tomoaki25
6
2.4k
202512_AIoT.pdf
Avatar for AIxIoTビジネス共創ラボ iotcomjpadmin
0
150
AI with TiDD
Avatar for Shiraji shiraji
1
300

Featured

See All Featured
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
Avatar for Addy Osmani addyosmani
9
1k
Everyday Curiosity
Avatar for Cassini Nazir cassininazir
0
110
Exploring anti-patterns in Rails
Avatar for Elle Meredith aemeredith
2
210
Abbi's Birthday
Avatar for Violet Bock coloredviolet
0
3.9k
More Than Pixels: Becoming A User Experience Designer
Avatar for Michelle Schulp Hunt marktimemedia
2
260
jQuery: Nuts, Bolts and Bling
Avatar for Doug Neiner dougneiner
65
8.3k
Design in an AI World
Avatar for tapps tapps
0
100
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
55
12k
Game over? The fight for quality and originality in the time of robots
Avatar for Wayne Barker wayneb77
1
67
Site-Speed That Sticks
Avatar for Harry Roberts csswizardry
13
1k
The Curse of the Amulet
Avatar for Matthew Lei leimatthew05
0
4.8k
The SEO identity crisis: Don't let AI make you average
Avatar for Varn varn
0
39

Transcript

  1. AWS環境にTenableしたら わらわら問題がでた話

  2. プロフィール 名前:檜山 準(ひやま じゅん) 所属:I◯◯◯ お仕事:クラウドエンジニア(設計、構築、運用保守) https://twitter.com/hiyanger https://qiita.com/hiyanger https://zenn.dev/hiyanger 最近よく使う技術:AWS、IaC、CI/CD 

    出身:栃木県 よかったら フォローしてね!

  3. もくじ Tenableとは 既存システムにTenableかけたらどうなったか 診断結果の対策

  4. Tenableってなんですか?

  5. Tenableとは 脆弱性診断ツールです。AWSに流せばわら わら脆弱性を洗い出してくれます。 外部から診断する方法か、内部で専用の EC2をたててそこから診断する方法があり ます。

  6. 診断してみたww

  7. 診断結果 診断の対象は2019年ごろに構築したAWS上の分析基盤システムです。 分析基盤なのでかなりセキュアなシステムです。 IAM ・不要なアクセスキーが残っている ・ポリシーのユーザー/ロール直当て ・アクセスアナライザー無効 Config CloudTrail ・使われていたが、

     初期導入ツールで  設定されたものだけだった ・そもそも動いてなかった KMS マスターキーがローテされてない CloudWatch ・APIコールの通知 ・IAMポリシーの変更通知 ・ネットワーク系のモニタ通知

  8. 診断結果 診断の対象は2019年ごろに構築したAWS上の分析基盤システムです。 分析基盤なのでかなりセキュアなシステムです。 IAM ・不要なアクセスキーが残っている ・ポリシーのユーザー/ロール直当て ・アクセスアナライザー無効 Config CloudTrail ・使われていたが、

     初期導入ツールで  設定されたものだけだった ・そもそも動いてなかった KMS マスターキーがローテされてない CloudWatch ・APIコールの通知 ・IAMポリシーの変更通知 ・ネットワーク系のモニタ通知 刷新!

  9. 対処します

  10. 監査ログ用 別AWSアカウント cron cron cron config S3アクセスログ TrailとConfigのバックアップを強固に あ Trail

    ・CloudWatchへの出力 ・S3へ出力しアクセスログも取得、  さらに監査用ログとして別アカウントS3へコピー Config ・S3へ出力 ・監査用ログとして別アカウントS3へコピー ・ConfigのSNS通知はうるさくなりすぎるので  やらない方向に倒した ※別アカウントへのコピーはちょっとアナログだけど、  EC2からS3コマンドをcronで流している。  ここはLambdaとEventBridgeでもできるはず。たぶん。

  11. IAM Access Analyzer 有効化 ポチッとして名前いいれるだけです。超簡単。 お金 かかりません。やらない損です。やりましょう。 何ができるのか ポリシーにおける外部からのアクセスが できるようになりえるものを検知してくれます。

  12. Thanks!! 古いシステムだとやっぱり考慮もれとかでいろいろやれ てないことが多いです。 Tenableは脆弱性診断という意味ではもちろん、システ ムを見直すきっかけとして良いので、構築してから時間 たってるシステムはぜひ見直ししましょう。 本資料 https://speakerdeck.com/hiyanger/cloud-security-da y-2023-awshuan-jing-nitenablesitara-warawarawen-ti -gadetahua

    https://twitter.com/hiyanger https://qiita.com/hiyanger https://zenn.dev/hiyanger