Upgrade to Pro — share decks privately, control downloads, hide ads and more …

『Sysdigで始めてみる [偉い人] < “弊社のセキュリティ大丈夫?” ← “大丈夫!” ...

Kazuhiro Hashimoto
September 04, 2024
0
1.9k

『Sysdigで始めてみる [偉い人] < “弊社のセキュリティ大丈夫?” ← “大丈夫!” > [現場] なセキュリティ対策』

Kazuhiro Hashimoto

September 04, 2024
Tweet

Featured

See All Featured
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.9k
Why Our Code Smells
bkeepers
PRO
335
57k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
1.9k
Speed Design
sergeychernyshev
25
670
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.7k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
48
2.2k
The Cost Of JavaScript in 2023
addyosmani
45
7k
Designing for Performance
lara
604
68k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
26
1.9k
VelocityConf: Rendering Performance Case Studies
addyosmani
326
24k

Transcript

  1. 実例から学ぶ セキュリティ監視 〜Sysdigで始めてみる [偉い人] < “弊社のセキュリティ大丈夫?” “大丈夫!” > [現場] なセキュリティ対策〜

  2. 自己紹介 • 経歴 ◦ 2002〜2014 SIer ネットワークエンジニア ◦ 2015〜2024 ゲーム会社

    サーバインフラ/SREチームリード ◦ 2024/07〜 本業 タイミー プラットフォームエンジニアリンググループ ◦ & 今年〜 副業フリーランス 複数企業支援 ← ここの立ち位置でのお話 • 技術領域・役割 ◦ SRE、プラットフォームエンジニアリング ◦ クラウド(AWS / GCP)、IaC ◦ プロダクト・セキュリティ

  3. ある日のやりとり 利用: https://hi0a.com/demo/-js/js-talk-line/

  4. 『セキュリティ』難しいですよね。 • 広い • 深い • 重い

  5. 『セキュリティ』難しいですよね。 • 広い • 深い • 重い ※この資料では”インフラ寄り”の部分です コード(フロントエンド) コード(バックエンド)

    ランタイム クラウド PC等開発環境 このへん

  6. やっていくしかない • クラウド知識 • インフラ知識 • 認証(IAM)

  7. ここで何を言えると良い? - インフラ変更管理・レビューを厳格に行っています - 資産台帳管理と定期的な棚卸しを行っています - 外部通信をプロキシにより制限しています - セキュリティ診断をして定期的に是正しています -

    ウィルススキャンをサーバにインストールしています - … etc. (でも、今この瞬間のセキュリティは不安なんだよなぁ...)

  8. 最近の”クラウドネイティブ”を前提にすると • 100% 完璧な防御の構築は無理 ◦ 侵入をされないシステムはない ◦ 侵入されたらどう気づく か?を前提にした監視 •

    100% 完璧な状態の維持は無理 ◦ 人はミスをする ◦ 人のミスにどう気づく か?を前提にした監視 • “素早いシステム開発”だとなおさら [厳格さ = 大変さ] に 侵入されないシステム → 侵入されてもダメージコントロールが可能なシステム

  9. ふたたび。ここで何を言えると良い?

  10. これをやっていくには? いろいろあって どこから手をつけたら いいんだろう イチから作るの大変そう

  11. Sysdigを中心にやってみる。が、色んな機能が... 引用: https://sysdig.jp

  12. Sysdigで出来るセキュリティ対策(取り急ぎ版) どんどん機能強化がされていたり・様々な機能があるので取り急ぎできると良いものをpick-upしています

  13. runtime脅威検知の雰囲気 (&マルウェア) ★万が一侵入されたときに気づく ※ 以下、添付している画像は Sysdig Secure評価アカウントの画面イメージを使用しています

  14. - Cloud Audit Logベースでの検知 - SystemCall(Agent)での検知 - Saasサービス(Github, Okta)での検知

  15. None
  16. None
  17. None
  18. None

  19. 脆弱性・マルウェア検知の雰囲気 ★侵入されないための堅固さの維持

  20. None
  21. None

  22. IAM(CIEM)の雰囲気 ★侵入されないための堅固さの維持・人のミス(設定ミス・誤った操作)に気づく

  23. None
  24. None

  25. benchmarkの雰囲気 ★侵入されないための堅固さの維持・人のミス(設定ミス・誤った操作)に気づく

  26. None

  27. GuardDuty, Security Command Center? - AWS, GCP等のクラウドセキュリティ機能との棲み分けは? - マルチクラウドだとSysdigに寄せつつ併用もアリ -

    各クラウドのセットアップやクセの把握が大変な場面も - なので、同じUI/UX(Sysdig)で監視を集約 するのが良いことも - ただ、Sysdigだけで全部完結といかないところも - アノマリ検知 はクラウド固有のセキュリティ監視が強い場合も - 監視はFalsePositiveとの戦い - falco ruleやregoによるPolicy as Codeを実装しやすい点はsysdig優位 ※個人の感想を多く含みます

  28. おまけ(残り時間でできるだけ説明) false positiveとの戦いについて • Cloud, Workload(syscall), SaaS ◦ Falco Rule’s

    Exception • Benchmark ◦ Rego
  29. None
  30. None

  31. まとめ • セキュリティは時間とともに劣化していくもの ◦ 鉄壁防御のシステムがなければ ◦ ミスしない人・組織もない ◦ 侵入される前提で監視をする 必要性

    • どのように監視するの?どこから手をつければいいの? ◦ 自分たちで仕組みを作っていくのも大変 ◦ 仕組みづくりで力尽きてセキュリティ運用回せていないかも? ◦ 全力でツールに頼ってセキュリティ監視を回せるようにする のもオススメ • セキュリティ大丈夫!と言い切れない不安解消の参考になれば幸いです