$30 off During Our Annual Pro Sale. View Details »

AWS のマネージドサービスを使ったセキュリティ強化のための自動化 / aws-security-automation

Manabu Sakai
March 10, 2018
Technology
11
15k

AWS のマネージドサービスを使ったセキュリティ強化のための自動化 / aws-security-automation

JAWS DAYS 2018 の発表資料です。 #jawsdays #jawsug

Manabu Sakai

March 10, 2018
Tweet

More Decks by Manabu Sakai

See All by Manabu Sakai
アウトプットが切り拓いた自分のエンジニア人生 / Infra Study 2nd #8
manabusakai
0
19k
GitHub Actions の self-hosted runner と Amazon EKS を使った Docker のビルドパイプライン / secure-docker-build-pipeline
manabusakai
0
1.9k
SaaS における EKS のシングルテナントクラスタ戦略とスポットインスタンス活用術 / EKS single-tenant cluster strategy and Spot Instances
manabusakai
0
6.6k
freee のエンジニアは障害から何を学び、どう改善しているのか? / What do freee engineers learn and improve from failures?
manabusakai
8
18k
我々は Kubernetes の何を監視すればいいのか? / CloudNative Days Kansai 2019
manabusakai
24
8.2k
CI/CD パイプラインを最速で組み立てるための 4 つのポイント / Four points to assemble the CI CD pipeline fastest
manabusakai
9
3.4k
Kubernetes を使ってエンジニア組織の生産性を上げよう / kubernetes-and-engineer-productivity
manabusakai
3
6.7k
freee のマイクロサービスを K8s + Go で組む! 短期プロジェクト成功の記録 / microservices-using-k8s-and-go
manabusakai
4
9.7k
Kubernetes 入門者が 3 か月で本番導入するためにやったこと / kubernetes-beginner
manabusakai
7
14k

Other Decks in Technology

See All in Technology
Oracle Cloud Infrastructure データベース・クラウド:各バージョンのサポート期間
oracle4engineer
PRO
6
5.2k
開発生産性大幅アップ!Postman VS Code拡張機能
nagix
0
150
ココナラでエンジニアマネージャーをやってみた!
coconala_engineer
1
130
エンタープライズSaaSへの挑戦〜顧客の事業を成長させるプロダクトマネジメントとは?〜 / pmconf2023
route06
2
940
つくばチャレンジ2023EX with PLATEAU@つくばセンター広場課題コース
tsukubachallenge
0
680
VS CodeとPostmanを活用した効率的なAPI開発 / Efficient API development using VS Code and Postman
yokawasa
3
330
「極意本」サンプルコードをクラウド上で動かそう
upura
1
820
APIシナリオテストツールとしてのrunn / 4 API testing tools
k1low
1
440
分散ストレージはすごいぞ
sat
PRO
1
340
LLMを活用した爆速アウトプットのすゝめ / bakusoku-outputs-with-llm
yuya4
8
4.1k
Generative A.I. + Law - A Year in Review
danielkatz
PRO
0
120
DMMプラットフォームにおける GKE を利用した プラットフォームエンジニアリングへの 取り組み
pospome
1
180

Featured

See All Featured
4 Signs Your Business is Dying
shpigford
172
21k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
16
1.5k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
17
1.4k
How STYLIGHT went responsive
nonsquared
89
4.5k
Fashionably flexible responsive web design (full day workshop)
malarkey
396
64k
Done Done
chrislema
178
15k
Making Projects Easy
brettharned
105
5.2k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
240
20k
Automating Front-end Workflow
addyosmani
1354
200k
It's Worth the Effort
3n
180
27k
Why Our Code Smells
bkeepers
PRO
329
56k
Optimising Largest Contentful Paint
csswizardry
6
2k

Transcript

  1. AWS のマネージドサービスを使った
    セキュリティ強化のための自動化
    +"84%":4
    ࡔҪֶ!NBOBCVTBLBJ

    View Slide

  2. #jd2018_c

    View Slide

  3. ͜ͷηογϣϯͷΰʔϧ
    w "84͕ఏڙ͢ΔηΩϡϦςΟؔ࿈ͷϚωʔδυαʔϏεΛ
    ஌ͬͯ΋Β͏
    w ηΩϡϦςΟڧԽͷͨΊͷΞΠσΞΛ࣋ͬͯؼͬͯ΋Β͏

    View Slide

  4. ࡔҪֶ!NBOBCVTBLBJ
    w GSFFFגࣜձࣾ43&ΤϯδχΞݸਓࣄۀओ
    w ݸਓࣄۀͰ͸ελʔτΞοϓ΁ͷٕज़ࢧԉΛߦ͏
    w ಘҙ෼໺"84ʢࣗಈԽपΓʣ
    w ϒϩά͸ͬͨΓΤϯδχΞͷඋ๨࿥

    View Slide

  5. freee をご存知の方は挙手を

    お願いします✋

    View Slide

  6. GSFFFͷαʔϏε
    w ձܭGSFFF
    w ਃࠂGSFFF
    w ਓࣄ࿑຿GSFFF
    w ϚΠφϯόʔ؅ཧGSFFF
    w ձࣾઃཱGSFFF
    w ։ۀGSFFF

    View Slide

  7. GSFFFͷαʔϏε
    w ϛογϣϯ͸ʮεϞʔϧϏδωεʹܞΘΔ͢΂ͯͷਓ͕૑
    ଄తͳ׆ಈʹϑΥʔΧεͰ͖ΔΑ͏ʯ
    w όοΫΦϑΟεʹؔΘΔ#UP#Ϋϥ΢υαʔϏεΛఏڙ
    w ձܭGSFFF͸ສࣄۀॴҎ্ʹ͓࢖͍͍͖ͨͩɺ

    Ϋϥ΢υձܭιϑτͷγΣΞ/P

    View Slide

  8. GSFFFͷαʔϏε
    w ձܭGSFFF
    w ਃࠂGSFFF
    w ਓࣄ࿑຿GSFFF
    w ϚΠφϯόʔ؅ཧGSFFF
    w ձࣾઃཱGSFFF
    w ։ۀGSFFF
    ͓ۚ


    ͓ۚ

    View Slide

  9. お金や人に関わる情報漏洩は
    絶対に起こしてはいけない

    View Slide

  10. ͦͷͨΊʹ͸ʜ
    w 04΍ϛυϧ΢ΣΞͷमਖ਼ύον͸͙͢ʹద༻͍ͨ͠
    w %P4߈ܸ΍Ϧετܕ߈ܸ͸ࣗಈతʹϒϩοΫ͍ͨ͠
    w "84্Ͱͷෆ৹ͳΞΫςΟϏςΟʹؾ͖͍ͮͨ
    w σʔλ͕վ͟ΜͰ͖ͳ͍Α͏ʹ͍ͨ͠
    w FUD

    View Slide

  11. 挙げればキリがない

    View Slide

  12. 一方でエンジニアのリソースは

    限られている

    View Slide

  13. そうだ、
    自動化だ

    View Slide

  14. w "84ʹ͸ηΩϡϦςΟڧԽʹ࢖͑ΔϚωʔδυαʔϏε͕
    ਺ଟ͘ఏڙ͞Ε͍ͯΔ
    w 8"' 4IJFME (VBSE%VUZ .BDJF *OTQFDUPS FUDʜ
    w ΞΠσΞͱϓϩάϥϛϯάͰࣗಈԽͷ࢓૊ΈΛ࡞Δ
    w ͦͯ͠ɺΤϯδχΞ͸Ϣʔβʔʹͱͬͯຊ࣭తʹՁ஋ͷ͋
    Δ͜ͱʹϑΥʔΧε͢Δ

    View Slide

  15. 今回は freee で実践している

    自動化を 3 つご紹介します

    View Slide

  16. CodeBuild を使った
    AMI 作成の自動化

    View Slide

  17. w GSFFFͰӡ༻͍ͯ͠Δ&$͸(PMEFO".*ํࣜ
    w 04ͷجຊઃఆ΍ϛυϧ΢ΣΞͷΠϯετʔϧ͕ࡁΜͩ
    ".*Λ͋Β͔͡Ί࡞͓ͬͯ͘
    w ΞϓϦέʔγϣϯ͸ىಈ࣌ʹ࠷৽ͷ΋ͷΛऔಘ͢Δ
    w मਖ਼ύονΛ౰ͯΔʹ͸".*Λ࡞Γ௚͢
    w "OTJCMFͱ1BDLFSͰίʔυԽ͞Ε͍ͯΔ

    View Slide

  18. ࣗಈԽ͢Δલ͸ʜ
    w 43&͕खݩͷϚγϯͰAQBDLFSCVJMEAͯ͠".*Λ࡞੒
    w ".*ͷछྨ͕૿͑ͯ͘Δͱ࡞Γ௚͠ʹ͕͔͔࣌ؒΔΑ͏ʹ
    ͳ͖ͬͯͨ
    w ۓٸ౓ͷߴ͍मਖ਼ύον͕ϦϦʔε͞ΕΔͱɺ

    ΄͔ͷ࡞ۀΛࢭΊͯશһͰख෼͚ͯ͠΍͍ͬͯͨ

    View Slide

  19. ボトルネックは↓ここ

    View Slide

  20. $PEF#VJMEͱ͸
    w $PEF#VJME͸ϑϧϚωʔδυͷϏϧυαʔϏε
    w Ϗϧυ͝ͱʹݸผͷ%PDLFSίϯςφ͕ىಈ͠ɺ

    ෳ਺ͷϏϧυΛಉ࣌ʹ࣮ߦͰ͖Δ
    w 1BDLFS͸(PͰॻ͔ΕͨπʔϧͳͷͰ%PDLFSͰ΋ಈ͘
    w AQBDLFSCVJMEAΛ$PEF#VJMEʹ΍ΒͤΕ͹ָͰ͖Δʂ

    View Slide

  21. 1 コマンドで完了!

    View Slide

  22. ࣗಈԽͷ࢓૊Έ
    w 3VCZͰγϯϓϧͳϥούʔίϚϯυΛॻ͍ͨ
    w ΤϯδχΞ͕΍Δ͜ͱΛίϚϯυΛ࣮ߦ͢Δ͚ͩ
    w $PEF#VJME͸CVJMETQFDZNMʹԊͬͯ".*Λ࡞੒
    w ϏϧυΛಉ࣮࣌ߦ͢Δ͜ͱͰτʔλϧͷ࣌ؒ୹ॖ

    View Slide

  23. AWS WAF を使った
    攻撃の自動ブロック

    View Slide

  24. ࣗಈԽ͢Δલ͸ʜ
    w %P4߈ܸ΍Ϧετܕ߈ܸͷݕ஌͕ޙखʹճΔ
    w ߈ܸݩͷ*1ΞυϨε͕සൟʹมΘΔͷͰɺ

    4FDVSJUZ(SPVQ΍/FUXPSL"$-Ͱ͸๷͖͗Εͳ͍
    w OHJOYͰ߈ܸݩͷ*1ΞυϨεΛϒϩοΫ͕ͨ͠ɺ

    ݁ہ8FCαʔόʹෛՙ͕͔͔Δ
    w ਂ໷΍ૣேͳͲखബͳ࣌ؒଳ͕Ͱ͖ͯ͠·͏

    View Slide

  25. "848"'ͱ͸
    w "848"'͸ϑϧϚωʔδυͷ8"'αʔϏε
    w $MPVE'SPOUͱ"-#ʹઃఆͰ͖Δ
    w 42-J΍944ͱ͍ͬͨ੬ऑੑΛૂͬͨ߈ܸɺ

    *1ΞυϨεϚονϯά΍(FP*1ͰϒϩοΫͰ͖Δ
    w ߈ܸͷॳಈ͸"848"'ʹϒϩοΫͤ͞Δʂ

    View Slide

  26. 攻撃者には 403 を返す

    View Slide

  27. ࣗಈԽͷ࢓૊Έ
    w "848"'ͷ3BUFCBTFEϧʔϧΛ׆༻
    w ಛఆͷ63-ʹ/෼ؒʹ/ճͷϦΫΤετ͕͋Δͱൃ
    ಈʢ/ͷ਺ࣈ͸ඇެ։ʣ
    w ࣗಈతʹϒϩοΫͯ͘͠ΕΔͷͰ༨༟Λ࣋ͬͯௐࠪͰ͖Δ
    w "-#ͰϒϩοΫ͢ΔͷͰ8FCαʔόʹෛՙ͕͔͔Βͳ͍

    View Slide

  28. GuardDuty を使った
    脅威検出と Slack 通知

    View Slide

  29. ࣗಈԽ͢Δલ͸ʜ
    w 4FDVSJUZ(SPVQͷมߋϛεʹؾ͚ͮΔΑ͏ʹ೔࣍Ͱࠩ෼Λ
    ݕग़͢Δ࢓૊ΈΛ࡞ͬͨ
    w ࣗલͰ͢΂ͯΛ࡞ΓࠐΉͷ͸େมʜ
    w ڴҖΛݕग़͢Δ࢓૊Έ͸ͦ΋ͦ΋ͳ͔ͬͨ
    w Կ͔͋ͬͨΒ$MPVE5SBJMΛ֬ೝ͍ͯͨ͠

    View Slide

  30. (VBSE%VUZͱ͸
    w (VBSE%VUZ͸ϑϧϚωʔδυͷڴҖݕग़αʔϏε
    w $MPVE5SBJMɺ71$ϑϩʔϩάɺ%/4ϩάΛऩूͯ͠ڴҖΛ
    ݕग़ͯ͘͠ΕΔ
    w ͨͱ͑͹&$ʹର͢ΔϙʔτεΩϟϯͳͲ͸ɺ

    ΄΅ϦΞϧλΠϜʹݕग़ͯ͘͠ΕΔ
    w ෆ৹ͳΞΫςΟϏςΟʹରͯ͠ϓϩΞΫςΟϒʹରԠͰ͖Δʂ

    View Slide

  31. ほぼリアルタイムに通知

    View Slide

  32. 重要度に応じて色やメンションの有無が変わる

    View Slide

  33. ࣗಈԽͷ࢓૊Έ
    w (VBSE%VUZ͸ڴҖΛݕग़ͯ͠΋௨஌͸ͯ͘͠Εͳ͍
    w ڴҖ͕ݕग़͞ΕΔͱ$MPVE8BUDI&WFOUT͔Β-BNCEBΛ
    ىಈͯ͠4MBDLͷ8FCIPPLΛୟ͘
    w ڴҖϨϕϧʹԠͯ͡ϝοηʔδͷ಺༰Λม͍͑ͯΔ
    w $SJUJDBMͷڴҖ͸!DIBOOFMͰϝϯγϣϯΛඈ͹͢

    View Slide

  34. ิ଍
    w GSFFFͰ͸ଞʹ΋༷ʑͳηΩϡϦςΟରࡦΛߦ͍ͬͯ·͢
    w ηΩϡϦςΟ͸ଟ૚๷ޚ͕ॏཁ
    w "84ͷϚωʔδυαʔϏεΛ׆༻ͭͭ͠ɺଞͷ؍఺͔Βͷ
    ରࡦ΋߹Θͤͯߦ͍·͠ΐ͏

    View Slide

  35. ·ͱΊ
    w ΞΠσΞ࣍ୈͰηΩϡϦςΟڧԽ΋ࣗಈԽͰ͖Δ࣌୅
    w "84ͷϚωʔδυαʔϏεΛ͏·͘׆༻͠·͠ΐ͏
    w GSFFFͷ43&͸Ϣʔβʔʹຊ࣭తͳՁ஋Λಧ͚ΔͨΊʹ

    ҆৺ͯ͠࢖͑ΔΠϯϑϥ؀ڥΛ໨ࢦ͍ͯ͠·͢ʂ

    View Slide

  36. @manabusakai

    View Slide

  37. ϨϑΝϨϯε
    w $PEF#VJMEΛ࢖ͬͯ".*࡞੒ͷ࣌ؒΛେ෯ʹ୹ॖͨ͠
    w "848"'ͷϨʔτϕʔεϧʔϧΛࢼͯ͠Έͨ
    w (VBSE%VUZ͕ݕग़ͨ͠ڴҖΛ͍͍ײ͡ʹ4MBDL΁௨஌͢Δ

    View Slide