Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS環境にTenableしたら わらわら問題がでた話

hiyanger
November 18, 2023
Technology
0
110

AWS環境にTenableしたら わらわら問題がでた話

2023 11/21 Cloud Security Day 2023
https://increments.connpass.com/event/298906/

hiyanger

November 18, 2023
Tweet

More Decks by hiyanger

See All by hiyanger
Terraform CI/CD パイプラインにおける AWS CodeCommit の代替手段
hiyanger
1
240
AWS 構成図を S3 にアップするだけで Terraform のコードを git push / pull request から terraform plan まで自動で動作するシステム
hiyanger
9
2.4k
テックブログのレベルを上げるために 抑えておくべき3つのポイント
hiyanger
0
85
もくもく会はなぜ良いのか?
hiyanger
0
67
AWS Codeシリーズ Terraformパイプライン 勉強会/ハンズオン
hiyanger
0
110
AWS Codeシリーズで構築したTerraformパイプラインのユーザー側IAM
hiyanger
0
140
AWS Codeシリーズを使った TerraformのCICDパイプラインの作り方
hiyanger
1
560
Codeシリーズで作るTerraformのCICDパイプラインの概要
hiyanger
2
330
技術領域や裁量を飛躍させる転職
hiyanger
0
53

Other Decks in Technology

See All in Technology
マルチモーダル / AI Agent / LLMOps 3つの技術トレンドで理解するLLMの今後の展望
hirosatogamo
37
12k
TypeScriptの次なる大進化なるか!? 条件型を返り値とする関数の型推論
uhyo
2
1.6k
OCI Vault 概要
oracle4engineer
PRO
0
9.7k
The Rise of LLMOps
asei
7
1.4k
社内で最大の技術的負債のリファクタリングに取り組んだお話し
kidooonn
1
550
データプロダクトの定義からはじめる、データコントラクト駆動なデータ基盤
chanyou0311
2
300
Shopifyアプリ開発における Shopifyの機能活用
sonatard
4
250
元旅行会社の情シス部員が教えるおすすめなre:Inventへの行き方 / What is the most efficient way to re:Invent
naospon
2
340
Application Development WG Intro at AppDeveloperCon
salaboy
0
180
Adopting Jetpack Compose in Your Existing Project - GDG DevFest Bangkok 2024
akexorcist
0
100
ノーコードデータ分析ツールで体験する時系列データ分析超入門
negi111111
0
410
SREが投資するAIOps ~ペアーズにおけるLLM for Developerへの取り組み~
takumiogawa
1
150

Featured

See All Featured
Rails Girls Zürich Keynote
gr2m
94
13k
GraphQLとの向き合い方2022年版
quramy
43
13k
Mobile First: as difficult as doing things right
swwweet
222
8.9k
Adopting Sorbet at Scale
ufuk
73
9.1k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
The Pragmatic Product Professional
lauravandoore
31
6.3k
Building Applications with DynamoDB
mza
90
6.1k
Designing for humans not robots
tammielis
250
25k
Agile that works and the tools we love
rasmusluckow
327
21k
Typedesign – Prime Four
hannesfritz
40
2.4k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
246
1.3M
RailsConf 2023
tenderlove
29
900

Transcript

  1. AWS環境にTenableしたら わらわら問題がでた話

  2. プロフィール 名前:檜山 準(ひやま じゅん) 所属:I◯◯◯ お仕事:クラウドエンジニア(設計、構築、運用保守) https://twitter.com/hiyanger https://qiita.com/hiyanger https://zenn.dev/hiyanger 最近よく使う技術:AWS、IaC、CI/CD 

    出身:栃木県 よかったら フォローしてね!

  3. もくじ Tenableとは 既存システムにTenableかけたらどうなったか 診断結果の対策

  4. Tenableってなんですか?

  5. Tenableとは 脆弱性診断ツールです。AWSに流せばわら わら脆弱性を洗い出してくれます。 外部から診断する方法か、内部で専用の EC2をたててそこから診断する方法があり ます。

  6. 診断してみたww

  7. 診断結果 診断の対象は2019年ごろに構築したAWS上の分析基盤システムです。 分析基盤なのでかなりセキュアなシステムです。 IAM ・不要なアクセスキーが残っている ・ポリシーのユーザー/ロール直当て ・アクセスアナライザー無効 Config CloudTrail ・使われていたが、

     初期導入ツールで  設定されたものだけだった ・そもそも動いてなかった KMS マスターキーがローテされてない CloudWatch ・APIコールの通知 ・IAMポリシーの変更通知 ・ネットワーク系のモニタ通知

  8. 診断結果 診断の対象は2019年ごろに構築したAWS上の分析基盤システムです。 分析基盤なのでかなりセキュアなシステムです。 IAM ・不要なアクセスキーが残っている ・ポリシーのユーザー/ロール直当て ・アクセスアナライザー無効 Config CloudTrail ・使われていたが、

     初期導入ツールで  設定されたものだけだった ・そもそも動いてなかった KMS マスターキーがローテされてない CloudWatch ・APIコールの通知 ・IAMポリシーの変更通知 ・ネットワーク系のモニタ通知 刷新!

  9. 対処します

  10. 監査ログ用 別AWSアカウント cron cron cron config S3アクセスログ TrailとConfigのバックアップを強固に あ Trail

    ・CloudWatchへの出力 ・S3へ出力しアクセスログも取得、  さらに監査用ログとして別アカウントS3へコピー Config ・S3へ出力 ・監査用ログとして別アカウントS3へコピー ・ConfigのSNS通知はうるさくなりすぎるので  やらない方向に倒した ※別アカウントへのコピーはちょっとアナログだけど、  EC2からS3コマンドをcronで流している。  ここはLambdaとEventBridgeでもできるはず。たぶん。

  11. IAM Access Analyzer 有効化 ポチッとして名前いいれるだけです。超簡単。 お金 かかりません。やらない損です。やりましょう。 何ができるのか ポリシーにおける外部からのアクセスが できるようになりえるものを検知してくれます。

  12. Thanks!! 古いシステムだとやっぱり考慮もれとかでいろいろやれ てないことが多いです。 Tenableは脆弱性診断という意味ではもちろん、システ ムを見直すきっかけとして良いので、構築してから時間 たってるシステムはぜひ見直ししましょう。 本資料 https://speakerdeck.com/hiyanger/cloud-security-da y-2023-awshuan-jing-nitenablesitara-warawarawen-ti -gadetahua

    https://twitter.com/hiyanger https://qiita.com/hiyanger https://zenn.dev/hiyanger