AWS のマネージドサービスを使ったセキュリティ強化のための自動化 / aws-security-automation

AWS のマネージドサービスを使ったセキュリティ強化のための自動化 +"84%":4 ࡔҪֶ!NBOBCVTBLBJ

#jd2018_c

͜ͷηογϣϯͷΰʔϧ w "84͕ఏڙ͢ΔηΩϡϦςΟؔ࿈ͷϚωʔδυαʔϏεΛ ஌ͬͯ΋Β͏ w ηΩϡϦςΟڧԽͷͨΊͷΞΠσΞΛ࣋ͬͯؼͬͯ΋Β͏

ࡔҪֶ!NBOBCVTBLBJ w GSFFFגࣜձࣾ43&ΤϯδχΞݸਓࣄۀओ w ݸਓࣄۀͰ͸ελʔτΞοϓ΁ͷٕज़ࢧԉΛߦ͏ w ಘҙ෼໺"84ʢࣗಈԽपΓʣ w ϒϩά͸ͬͨΓΤϯδχΞͷඋ๨࿥

freee をご存知の方は挙手を  お願いします✋

GSFFFͷαʔϏε w ձܭGSFFF w ਃࠂGSFFF w ਓࣄ࿑຿GSFFF w ϚΠφϯόʔ؅ཧGSFFF w
ձࣾઃཱGSFFF w ։ۀGSFFF

GSFFFͷαʔϏε w ϛογϣϯ͸ʮεϞʔϧϏδωεʹܞΘΔ͢΂ͯͷਓ͕૑ ଄తͳ׆ಈʹϑΥʔΧεͰ͖ΔΑ͏ʯ w όοΫΦϑΟεʹؔΘΔ#UP#Ϋϥ΢υαʔϏεΛఏڙ w ձܭGSFFF͸ສࣄۀॴҎ্ʹ͓࢖͍͍͖ͨͩɺ  Ϋϥ΢υձܭιϑτͷγΣΞ/P

GSFFFͷαʔϏε w ձܭGSFFF w ਃࠂGSFFF w ਓࣄ࿑຿GSFFF w ϚΠφϯόʔ؅ཧGSFFF w
ձࣾઃཱGSFFF w ։ۀGSFFF ͓ۚ ਓ ਓ ͓ۚ

お金や人に関わる情報漏洩は絶対に起こしてはいけない

ͦͷͨΊʹ͸ʜ w 04΍ϛυϧ΢ΣΞͷमਖ਼ύον͸͙͢ʹద༻͍ͨ͠ w %P4߈ܸ΍Ϧετܕ߈ܸ͸ࣗಈతʹϒϩοΫ͍ͨ͠ w "84্Ͱͷෆ৹ͳΞΫςΟϏςΟʹؾ͖͍ͮͨ w σʔλ͕վ͟ΜͰ͖ͳ͍Α͏ʹ͍ͨ͠ w
FUD

挙げればキリがない

一方でエンジニアのリソースは  限られている

そうだ、自動化だ

w "84ʹ͸ηΩϡϦςΟڧԽʹ࢖͑ΔϚωʔδυαʔϏε͕ ਺ଟ͘ఏڙ͞Ε͍ͯΔ w 8"' 4IJFME (VBSE%VUZ .BDJF *OTQFDUPS FUDʜ
w ΞΠσΞͱϓϩάϥϛϯάͰࣗಈԽͷ࢓૊ΈΛ࡞Δ w ͦͯ͠ɺΤϯδχΞ͸Ϣʔβʔʹͱͬͯຊ࣭తʹՁ஋ͷ͋ Δ͜ͱʹϑΥʔΧε͢Δ

今回は freee で実践している  自動化を 3 つご紹介します

CodeBuild を使った AMI 作成の自動化

w GSFFFͰӡ༻͍ͯ͠Δ&$͸(PMEFO".*ํࣜ w 04ͷجຊઃఆ΍ϛυϧ΢ΣΞͷΠϯετʔϧ͕ࡁΜͩ ".*Λ͋Β͔͡Ί࡞͓ͬͯ͘ w ΞϓϦέʔγϣϯ͸ىಈ࣌ʹ࠷৽ͷ΋ͷΛऔಘ͢Δ w मਖ਼ύονΛ౰ͯΔʹ͸".*Λ࡞Γ௚͢ w
"OTJCMFͱ1BDLFSͰίʔυԽ͞Ε͍ͯΔ

ࣗಈԽ͢Δલ͸ʜ w 43&͕खݩͷϚγϯͰAQBDLFSCVJMEAͯ͠".*Λ࡞੒ w ".*ͷछྨ͕૿͑ͯ͘Δͱ࡞Γ௚͠ʹ͕͔͔࣌ؒΔΑ͏ʹ ͳ͖ͬͯͨ w ۓٸ౓ͷߴ͍मਖ਼ύον͕ϦϦʔε͞ΕΔͱɺ  ΄͔ͷ࡞ۀΛࢭΊͯશһͰख෼͚ͯ͠΍͍ͬͯͨ

ボトルネックは↓ここ

$PEF#VJMEͱ͸ w $PEF#VJME͸ϑϧϚωʔδυͷϏϧυαʔϏε w Ϗϧυ͝ͱʹݸผͷ%PDLFSίϯςφ͕ىಈ͠ɺ  ෳ਺ͷϏϧυΛಉ࣌ʹ࣮ߦͰ͖Δ w 1BDLFS͸(PͰॻ͔ΕͨπʔϧͳͷͰ%PDLFSͰ΋ಈ͘ w AQBDLFSCVJMEAΛ$PEF#VJMEʹ΍ΒͤΕ͹ָͰ͖Δʂ

1 コマンドで完了！

ࣗಈԽͷ࢓૊Έ w 3VCZͰγϯϓϧͳϥούʔίϚϯυΛॻ͍ͨ w ΤϯδχΞ͕΍Δ͜ͱΛίϚϯυΛ࣮ߦ͢Δ͚ͩ w $PEF#VJME͸CVJMETQFDZNMʹԊͬͯ".*Λ࡞੒ w ϏϧυΛಉ࣮࣌ߦ͢Δ͜ͱͰτʔλϧͷ࣌ؒ୹ॖ

AWS WAF を使った攻撃の自動ブロック

ࣗಈԽ͢Δલ͸ʜ w %P4߈ܸ΍Ϧετܕ߈ܸͷݕ஌͕ޙखʹճΔ w ߈ܸݩͷ*1ΞυϨε͕සൟʹมΘΔͷͰɺ  4FDVSJUZ(SPVQ΍/FUXPSL"$-Ͱ͸๷͖͗Εͳ͍ w OHJOYͰ߈ܸݩͷ*1ΞυϨεΛϒϩοΫ͕ͨ͠ɺ  ݁ہ8FCαʔόʹෛՙ͕͔͔Δ w
ਂ໷΍ૣேͳͲखബͳ࣌ؒଳ͕Ͱ͖ͯ͠·͏

"848"'ͱ͸ w "848"'͸ϑϧϚωʔδυͷ8"'αʔϏε w $MPVE'SPOUͱ"-#ʹઃఆͰ͖Δ w 42-J΍944ͱ͍ͬͨ੬ऑੑΛૂͬͨ߈ܸɺ  *1ΞυϨεϚονϯά΍(FP*1ͰϒϩοΫͰ͖Δ w ߈ܸͷॳಈ͸"848"'ʹϒϩοΫͤ͞Δʂ

攻撃者には 403 を返す

ࣗಈԽͷ࢓૊Έ w "848"'ͷ3BUFCBTFEϧʔϧΛ׆༻ w ಛఆͷ63-ʹ/෼ؒʹ/ճͷϦΫΤετ͕͋Δͱൃ ಈʢ/ͷ਺ࣈ͸ඇެ։ʣ w ࣗಈతʹϒϩοΫͯ͘͠ΕΔͷͰ༨༟Λ࣋ͬͯௐࠪͰ͖Δ w "-#ͰϒϩοΫ͢ΔͷͰ8FCαʔόʹෛՙ͕͔͔Βͳ͍

GuardDuty を使った脅威検出と Slack 通知

ࣗಈԽ͢Δલ͸ʜ w 4FDVSJUZ(SPVQͷมߋϛεʹؾ͚ͮΔΑ͏ʹ೔࣍Ͱࠩ෼Λ ݕग़͢Δ࢓૊ΈΛ࡞ͬͨ w ࣗલͰ͢΂ͯΛ࡞ΓࠐΉͷ͸େมʜ w ڴҖΛݕग़͢Δ࢓૊Έ͸ͦ΋ͦ΋ͳ͔ͬͨ w Կ͔͋ͬͨΒ$MPVE5SBJMΛ֬ೝ͍ͯͨ͠

(VBSE%VUZͱ͸ w (VBSE%VUZ͸ϑϧϚωʔδυͷڴҖݕग़αʔϏε w $MPVE5SBJMɺ71$ϑϩʔϩάɺ%/4ϩάΛऩूͯ͠ڴҖΛ ݕग़ͯ͘͠ΕΔ w ͨͱ͑͹&$ʹର͢ΔϙʔτεΩϟϯͳͲ͸ɺ  ΄΅ϦΞϧλΠϜʹݕग़ͯ͘͠ΕΔ w
ෆ৹ͳΞΫςΟϏςΟʹରͯ͠ϓϩΞΫςΟϒʹରԠͰ͖Δʂ

ほぼリアルタイムに通知

重要度に応じて色やメンションの有無が変わる

ࣗಈԽͷ࢓૊Έ w (VBSE%VUZ͸ڴҖΛݕग़ͯ͠΋௨஌͸ͯ͘͠Εͳ͍ w ڴҖ͕ݕग़͞ΕΔͱ$MPVE8BUDI&WFOUT͔Β-BNCEBΛ ىಈͯ͠4MBDLͷ8FCIPPLΛୟ͘ w ڴҖϨϕϧʹԠͯ͡ϝοηʔδͷ಺༰Λม͍͑ͯΔ w $SJUJDBMͷڴҖ͸!DIBOOFMͰϝϯγϣϯΛඈ͹͢

ิ଍ w GSFFFͰ͸ଞʹ΋༷ʑͳηΩϡϦςΟରࡦΛߦ͍ͬͯ·͢ w ηΩϡϦςΟ͸ଟ૚๷ޚ͕ॏཁ w "84ͷϚωʔδυαʔϏεΛ׆༻ͭͭ͠ɺଞͷ؍఺͔Βͷ ରࡦ΋߹Θͤͯߦ͍·͠ΐ͏

·ͱΊ w ΞΠσΞ࣍ୈͰηΩϡϦςΟڧԽ΋ࣗಈԽͰ͖Δ࣌୅ w "84ͷϚωʔδυαʔϏεΛ͏·͘׆༻͠·͠ΐ͏ w GSFFFͷ43&͸Ϣʔβʔʹຊ࣭తͳՁ஋Λಧ͚ΔͨΊʹ  ҆৺ͯ͠࢖͑ΔΠϯϑϥ؀ڥΛ໨ࢦ͍ͯ͠·͢ʂ

@manabusakai

ϨϑΝϨϯε w $PEF#VJMEΛ࢖ͬͯ".*࡞੒ͷ࣌ؒΛେ෯ʹ୹ॖͨ͠ w "848"'ͷϨʔτϕʔεϧʔϧΛࢼͯ͠Έͨ w (VBSE%VUZ͕ݕग़ͨ͠ڴҖΛ͍͍ײ͡ʹ4MBDL΁௨஌͢Δ

AWS のマネージドサービスを使ったセキュリティ強化のための自動化 / aws-security-automation

AWS のマネージドサービスを使ったセキュリティ強化のための自動化 / aws-security-automation

More Decks by Manabu Sakai

Other Decks in Technology

Featured

Transcript