Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS環境にTenableしたら わらわら問題がでた話
Search
hiyanger
November 18, 2023
Technology
0
210
AWS環境にTenableしたら わらわら問題がでた話
2023 11/21 Cloud Security Day 2023
https://increments.connpass.com/event/298906/
hiyanger
November 18, 2023
Tweet
Share
More Decks by hiyanger
See All by hiyanger
Terraform やるなら公式スタイルガイドを読もう 〜重要項目 10選〜
hiyanger
14
3.4k
(Amazon Bedrock 基礎)生成 AI の活用に導くシステム構築の基本とセキュリティの実装
hiyanger
4
92
CIer に在籍した 3年間 でやったこと
hiyanger
2
200
これからクラウドエンジニアになるために本当に必要なスキル 5選
hiyanger
1
710
クラウド食堂とは?
hiyanger
0
330
Amazon ECS とマイクロサービスから考えるシステム構成
hiyanger
2
1.1k
全身全霊で取り組んだ 2024 Qiita アドベントカレンダー
hiyanger
0
78
Terraform で作る Amazon ECS の CI/CD パイプライン
hiyanger
1
340
【AWS】EC2 基本アーキテクチャ(ハンズオン付き)
hiyanger
0
130
Other Decks in Technology
See All in Technology
DMMの検索システムをSolrからElasticCloudに移行した話
hmaa_ryo
0
180
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
14
82k
入院医療費算定業務をAIで支援する:包括医療費支払い制度とDPCコーディング (公開版)
hagino3000
0
120
OSSで50の競合と戦うためにやったこと
yamadashy
3
1k
SOTA競争から人間を超える画像認識へ
shinya7y
0
610
ゼロコード計装導入後のカスタム計装でさらに可観測性を高めよう
sansantech
PRO
1
540
個人でデジタル庁の デザインシステムをVue.jsで 作っている話
nishiharatsubasa
3
5.2k
ストレージエンジニアの仕事と、近年の計算機について / 第58回 情報科学若手の会
pfn
PRO
4
890
Okta Identity Governanceで実現する最小権限の原則
demaecan
0
190
What's new in OpenShift 4.20
redhatlivestreaming
0
350
webpack依存からの脱却!快適フロントエンド開発をViteで実現する #vuefes
bengo4com
4
3.6k
dbtとAIエージェントを組み合わせて見えたデータ調査の新しい形
10xinc
6
1.4k
Featured
See All Featured
Raft: Consensus for Rubyists
vanstee
140
7.2k
Statistics for Hackers
jakevdp
799
220k
How GitHub (no longer) Works
holman
315
140k
It's Worth the Effort
3n
187
28k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.5k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
9
1k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
4k
Producing Creativity
orderedlist
PRO
348
40k
The World Runs on Bad Software
bkeepers
PRO
72
11k
StorybookのUI Testing Handbookを読んだ
zakiyama
31
6.2k
Making the Leap to Tech Lead
cromwellryan
135
9.6k
Typedesign – Prime Four
hannesfritz
42
2.8k
Transcript
AWS環境にTenableしたら わらわら問題がでた話
プロフィール 名前:檜山 準(ひやま じゅん) 所属:I◯◯◯ お仕事:クラウドエンジニア(設計、構築、運用保守) https://twitter.com/hiyanger https://qiita.com/hiyanger https://zenn.dev/hiyanger 最近よく使う技術:AWS、IaC、CI/CD
出身:栃木県 よかったら フォローしてね!
もくじ Tenableとは 既存システムにTenableかけたらどうなったか 診断結果の対策
Tenableってなんですか?
Tenableとは 脆弱性診断ツールです。AWSに流せばわら わら脆弱性を洗い出してくれます。 外部から診断する方法か、内部で専用の EC2をたててそこから診断する方法があり ます。
診断してみたww
診断結果 診断の対象は2019年ごろに構築したAWS上の分析基盤システムです。 分析基盤なのでかなりセキュアなシステムです。 IAM ・不要なアクセスキーが残っている ・ポリシーのユーザー/ロール直当て ・アクセスアナライザー無効 Config CloudTrail ・使われていたが、
初期導入ツールで 設定されたものだけだった ・そもそも動いてなかった KMS マスターキーがローテされてない CloudWatch ・APIコールの通知 ・IAMポリシーの変更通知 ・ネットワーク系のモニタ通知
診断結果 診断の対象は2019年ごろに構築したAWS上の分析基盤システムです。 分析基盤なのでかなりセキュアなシステムです。 IAM ・不要なアクセスキーが残っている ・ポリシーのユーザー/ロール直当て ・アクセスアナライザー無効 Config CloudTrail ・使われていたが、
初期導入ツールで 設定されたものだけだった ・そもそも動いてなかった KMS マスターキーがローテされてない CloudWatch ・APIコールの通知 ・IAMポリシーの変更通知 ・ネットワーク系のモニタ通知 刷新!
対処します
監査ログ用 別AWSアカウント cron cron cron config S3アクセスログ TrailとConfigのバックアップを強固に あ Trail
・CloudWatchへの出力 ・S3へ出力しアクセスログも取得、 さらに監査用ログとして別アカウントS3へコピー Config ・S3へ出力 ・監査用ログとして別アカウントS3へコピー ・ConfigのSNS通知はうるさくなりすぎるので やらない方向に倒した ※別アカウントへのコピーはちょっとアナログだけど、 EC2からS3コマンドをcronで流している。 ここはLambdaとEventBridgeでもできるはず。たぶん。
IAM Access Analyzer 有効化 ポチッとして名前いいれるだけです。超簡単。 お金 かかりません。やらない損です。やりましょう。 何ができるのか ポリシーにおける外部からのアクセスが できるようになりえるものを検知してくれます。
Thanks!! 古いシステムだとやっぱり考慮もれとかでいろいろやれ てないことが多いです。 Tenableは脆弱性診断という意味ではもちろん、システ ムを見直すきっかけとして良いので、構築してから時間 たってるシステムはぜひ見直ししましょう。 本資料 https://speakerdeck.com/hiyanger/cloud-security-da y-2023-awshuan-jing-nitenablesitara-warawarawen-ti -gadetahua
https://twitter.com/hiyanger https://qiita.com/hiyanger https://zenn.dev/hiyanger