Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュアに デプロイしょう / Ship securely

kanamsasa
February 12, 2023
Technology
6
1.4k

セキュアに デプロイしょう / Ship securely

とあるAWS SAとSecurity-JAWS#01 ~ほんと、退屈しないわねこのセキュリティは!~
https://s-jaws.doorkeeper.jp/events/149297

の資料です

kanamsasa

February 12, 2023
Tweet

More Decks by kanamsasa

See All by kanamsasa
ミニステージ: Feature Flag、その後に / After Feature Flag
kanamasa
0
50
Spring と AWS サービスを活用して実現する安全なデプロイメント / How to launch safely using Spring and AWS services
kanamasa
4
250
はこだてデベロッパーカンファレンス 開発者のためのAWS の始め方 / how to start AWS for developer
kanamasa
0
420
Amazon CodeCatalyst のサーバーレス Blueprint 探訪 / Serverless Blueprint in Amazon CodeCatalyst
kanamasa
0
220
カオスエンジニアリングはじめの一歩のためのAWS FIS入門@Chaos Night / AWS FIS for starting chaos engineering
kanamasa
0
160
Java アプリとAWS の良い関係 - AWS でJava アプリを実行する一番簡単な方法教えます / AWS for Javarista
kanamasa
3
3.7k

Other Decks in Technology

See All in Technology
Virtual Threads - 導入の背景と、効果的な使い方 -
skrb
2
270
高速な深層学習モデルアーキテクチャ2023
yu4u
2
1.5k
Spotify API を使ったアイマス楽曲の楽しみ方
takemikami
0
100
Microsoft Build 2023 ふりかえり - IoT と AI 周りを中心に
mode86
0
140
[春のDojo祭り'23] いまからでも遅くない!データベース超入門 ハンズオン編
leekwangsoo1995
2
340
WOFFの紹介
mmclsntr
0
120
Impressions of the Ruby Kaigi
suzukahr
1
5.3k
C# の async/await は実際にどうやって動いているか
nenonaninu
4
11k
ジェネレーティブAIとの共創
yuyakakizaki08
1
440
データマイニングと機械学習 - ニューラルネットワーク
trycycle
0
120
Autonomous Database - Dedicated 技術詳細 / adb-d_technical_detail_jp
oracle4engineer
PRO
1
2.7k
Por que testes de unidade não são suficientes para seus microsserviços
rponte
1
1.2k

Featured

See All Featured
Designing for Performance
lara
601
65k
Code Review Best Practice
trishagee
53
12k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
123
29k
Six Lessons from altMBA
skipperchong
16
2.5k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
13
1.4k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
16
1.3k
How to Ace a Technical Interview
jacobian
271
22k
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
dotmariusz
101
6.3k
KATA
mclloyd
13
10k
The Mythical Team-Month
searls
211
41k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
658
120k
Intergalactic Javascript Robots from Outer Space
tanoku
263
26k

Transcript

  1. © 2023, Amazon Web Services, Inc. or its affiliates.
    © 2023, Amazon Web Services, Inc. or its affiliates.
    Masao Kanamori
    Solutions Architect, DevAx
    Amazon Web Services Japan G.K
    セキュアにデプロイしよう
    開発者のためのセキュリティテスト自動化

    View Slide

  2. © 2023, Amazon Web Services, Inc. or its affiliates.
    自己紹介
    • 金森 政雄
    Ø 所属/役職 :
    DevAx(Developer Acceleration) チーム
    ソリューションアーキテクト
    Ø 好きなサービス
    Amazon Elastic
    Container Service
    AWS Step Functions AWS Fault Injection
    Simulator

    View Slide

  3. © 2023, Amazon Web Services, Inc. or its affiliates.
    シフトレフトとは...
    セキュリティへの関⼼をソフトウェア開発ライフサイクルの
    可能な限り早い段階に移すこと

    View Slide

  4. © 2023, Amazon Web Services, Inc. or its affiliates.
    セキュリティに対する注意のタイミング

    View Slide

  5. © 2023, Amazon Web Services, Inc. or its affiliates.
    シフトレフトは開発者の仕事
    を増やすのでは?
    • セキュリティ問題の早期解消は
    運用メンバーのストレスを減少させる
    • 早期に修正するほどコストは安い [1]
    • 市場投入までの時間を短縮し、
    ターンアラウンドタイムを短縮する
    • 多くのプロセスは自動化できる
    1
    https://ntrs.nasa.gov/citations/20100036670

    View Slide

  6. © 2023, Amazon Web Services, Inc. or its affiliates.
    © 2023, Amazon Web Services, Inc. or its affiliates.
    シフトレフトは
    どのように実装されるか

    View Slide

  7. © 2023, Amazon Web Services, Inc. or its affiliates.
    シークレット検出
    漏洩防止
    セキュアなコーディングプラクティス
    動的コード解析
    脆弱性テスト
    ペネトレーションテスト
    静的コード解析
    使用するライブラリの
    コンプライアンス
    コンプライアンスチェック
    環境設定
    秘匿情報と鍵の管理
    セキュアなネットワーク設計
    Well-Architected
    アーキテクチャのガードレール
    コンプライアンス
    脆弱性評価
    シークレット管理
    セキュリティ監視の有効化
    コンプライアンスチェックの
    有効化
    脆弱性評価
    ペネトレーションテスト
    コンプライアンスチェック
    行動異常
    脅威モデリング

    View Slide

  8. © 2023, Amazon Web Services, Inc. or its affiliates.
    シークレット検出
    漏洩防止
    セキュアなコーディングプラクティス
    動的コード解析
    脆弱性テスト
    ペネトレーションテスト
    静的コード解析
    使用するライブラリの
    コンプライアンス
    コンプライアンスチェック
    環境設定
    秘匿情報と鍵の管理
    セキュアなネットワーク設計
    Well-Architected
    アーキテクチャのガードレール
    コンプライアンス
    脆弱性評価
    シークレット管理
    セキュリティ監視の有効化
    コンプライアンスチェックの
    有効化
    脆弱性評価
    ペネトレーションテスト
    コンプライアンスチェック
    行動異常
    脅威モデリング

    View Slide

  9. © 2023, Amazon Web Services, Inc. or its affiliates.
    シフトレフト ̶ リリースパイプラインとの統合
    開発 (IDE) コミット ビルド テスト
    デプロイ
    (ステージン
    グ)
    デプロイ
    (Prod)
    監視
    AWS Cloud9
    AWS IDE Toolkits
    セキュリティ
    テスト一式
    AWS
    CodeCommit
    AWS
    CodeBuild
    AWS CodeBuild
    + サードパーティ
    AWS
    CodeDeploy
    AWS
    CodeDeploy
    AWS
    X-Ray
    Amazon
    CloudWatch
    AWS CodePipeline

    View Slide

  10. © 2023, Amazon Web Services, Inc. or its affiliates.
    開発
    (IDE)
    コミット
    ビルド前
    (SCA、
    SAST)
    ビルド
    ビルド後
    (DAST)
    テスト
    デプロイ
    (ステージン
    グ)
    デプロイ
    (Prod)
    監視
    AWS Cloud9
    AWS IDE ツールキット
    AWS
    CodeCommit
    AWS
    CodeBuild
    AWS CodeBuild
    + サードパーティ
    AWS
    CodeDeploy
    AWS
    CodeDeploy
    AWS
    X-Ray
    Amazon
    CloudWatch
    AWS CodePipeline
    AWS
    CodeBuild
    AWS
    CodeBuild
    AWS
    codeGuru
    OWASP ZAP
    Talisman
    Amazon
    Detective
    AWS
    Config
    インフラ
    スキャン
    コンプラ
    イアンス
    スキャン
    WAF
    承認
    ・Pre-commit フック
    ・IDE セキュリティ
    プラグイン
    シフトレフト ̶ リリースパイプラインとの統合

    View Slide

  11. © 2023, Amazon Web Services, Inc. or its affiliates.
    今日作るもの: 自動化されたセキュリティテスト
    AWS CodePipeline
    Staging Environment
    CI/CD Application Security Infra
    AWS CodeBuild
    (SAST)
    AWS CodeCommit
    (Source Repository)
    AWS ECS
    (Staging Deployment)
    Amazon ECR
    (Image Repository)
    Amazon EC2
    (OWASP ZAP)
    AWS CodeBuild
    (License Analysis)
    AWS CodeBuild
    (SCA)
    AWS CodeBuild
    (Docker build)
    AWS CodeBuild
    (DAST)
    1b
    1a
    1c
    3
    Amazon ECS
    (SonarQube)
    2
    4 5
    6 7
    8

    View Slide

  12. © 2023, Amazon Web Services, Inc. or its affiliates.
    © 2023, Amazon Web Services, Inc. or its affiliates.
    開発者のための
    セキュリティプロセスとツール紹介
    12

    View Slide

  13. © 2023, Amazon Web Services, Inc. or its affiliates.
    脅威モデリング
    PLAN ステージ

    View Slide

  14. © 2023, Amazon Web Services, Inc. or its affiliates.
    脅威モデリングとは
    • コードを記述する前に、潜在的なセキュリティ問題をある程度特定するための
    設計時のアクティビティです
    • 以下のような情報を定義します[2] :
    • アセット、アクター、エントリポイント、コンポーネント、
    および信頼レベル
    • 脅威のリスト
    • 脅威ごとの軽減策
    • リスクマトリックスの作成と確認
    • これは、データフロー図、マインドマップ、または単に表形式で表現できます
    • また、よりターゲットを絞ったセキュリティテストを実施するために
    専⾨家 (テスターやセキュリティエンジニア) がアプリケーションを
    理解するのにも役⽴ちます
    https://aws.amazon.com/jp/blogs/news/how-to-approach-threat-modeling/

    View Slide

  15. © 2023, Amazon Web Services, Inc. or its affiliates.
    脅威モデリングとは (続き)
    https://en.wikipedia.org/wiki/STRIDE_%28security%29
    https://catalog.workshops.aws/threatmodel
    脅威モデリングには多くの⽅法がありますが、最も成熟した⽅法の1つは STRIDE[3] [4]です。
    ⽬的は、開発前にセキュリティ要件を特定するために、脅威と緩和策をリストにまとめることです。
    脅威 ID アセット エントリポイント 攻撃サマリー テクニック
    TR-01 ユーザーアカ
    ウント
    ログインペー

    誰かのアカウントをハイジャックし、悪意
    のある活動を行うことができること。
    ブルートフォース攻撃
    パスワードダンプ
    セッションハイジャック
    フィッシング
    脅威 ID 予防的/発見的コントロール
    TR-01 • 多要素認証
    • パスワードのライフサイクルとルール
    • セッション ID の安全な生成
    • セッションライフサイクル
    • セッションクッキーの安全なストレージ
    • 顧客への定期的なセキュリティリマインダー

    View Slide

  16. © 2023, Amazon Web Services, Inc. or its affiliates.
    機密データ検出
    漏洩防止
    セキュアなコーディングプラクティス
    CODE ステージ

    View Slide

  17. © 2023, Amazon Web Services, Inc. or its affiliates.
    IDE セキュリティプラグイン
    • IDE プラグインは、開発者へ迅速に実行可能な対応策を提供します
    • コーディングの段階から潜在的リスクを防止するのに便利です
    • 通常、正規表現ベースのアプローチが用いられます
    • 迅速なフィードバックのために設計されており、他のフェーズでのアプローチと組
    み合わせて利用する必要があります。

    View Slide

  18. © 2023, Amazon Web Services, Inc. or its affiliates.
    ソースコントロールでのセキュリティ- Git Hook
    • アクセスキー、アクセストークン、SSH キーなどの機密情報は、
    偶発的な git コミットにより誤って漏洩することがよくあります
    • Pre-Commit フックは、開発者のマシンまたはクラウド IDE に
    インストールし、機密データをフィルタリングします
    • 通常、正規表現ベースのアプローチが⽤いられます
    Talisman GitHound

    View Slide

  19. © 2023, Amazon Web Services, Inc. or its affiliates.
    認証情報の安全な格納と使⽤
    • 設定ファイルに認証情報を格納せず安全なツールを使⽤してください
    • 漏洩は、システム悪⽤、情報漏洩、特権の昇格などの原因となります
    • 認証情報のローテーションも設定できます
    AWS
    Secrets Manager

    View Slide

  20. © 2023, Amazon Web Services, Inc. or its affiliates.
    静的コード解析
    使用するライブラリのコンプ
    ライアンス
    BUILD ステージ

    View Slide

  21. © 2023, Amazon Web Services, Inc. or its affiliates.
    静的アプリケーションセキュリティテスト (SAST)
    • 開発したコードにおけるセキュリティの脆弱性を分析します
    • 典型的な例 ̶ SQLインジェクション、XSS、不安全なライブラリなど
    • 誤検知の管理には⼈⼿での監視が必要になります
    Amazon CodeGuru

    View Slide

  22. © 2023, Amazon Web Services, Inc. or its affiliates.
    ソフトウェア構成解析 (SCA)
    • ソフトウェアの⼤部分はサードパーティのライブラリであり、多くのセ
    キュリティ脆弱性の由来となっています [5]
    • OSS ライブラリの⼊⼿は⾮常に簡単なものの、継続的な更新が必要です
    • pip、npm、bundler、go get、composer など
    • Software Composition Analysis (SCA) では、脆弱なサードパーティラ
    イブラリを識別するためのチェックを⾏います
    https://www.veracode.com/state-of-software-security-report

    View Slide

  23. © 2023, Amazon Web Services, Inc. or its affiliates.
    ライセンスチェック
    • 組織によっては、会社の知的財産を保護するために特定のライブラリを
    使⽤しないよう求められる場合があります
    • GNU (General Public License) のようなコピーレフトライセンスを⽤
    いる場合、アプリケーションも同ライセンスで配布する必要があります

    View Slide

  24. © 2023, Amazon Web Services, Inc. or its affiliates.
    動的アプリケーションセキュリティテスト (DAST)
    • ⾃動化ツールを使⽤したブラック/グレーボックスの
    セキュリティテスト
    • SAST だけでは結合的な結果を得られない場合があります
    • DAST は、デプロイメント固有の問題の特定に役⽴ちます
    • SAST と DAST の結果を⽐較して、誤検出を除外します
    OWASP ZAP

    View Slide

  25. © 2023, Amazon Web Services, Inc. or its affiliates.
    © 2023, Amazon Web Services, Inc. or its affiliates.
    ワークショップコンテンツはこちら
    https://catalog.workshops.aws/sec4devs/ja-JP
    25

    View Slide