Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS のマネージドサービスを使ったセキュリティ強化のための自動化 / aws-security-automation

Manabu Sakai
March 10, 2018
Technology
11
14k

AWS のマネージドサービスを使ったセキュリティ強化のための自動化 / aws-security-automation

JAWS DAYS 2018 の発表資料です。 #jawsdays #jawsug

Manabu Sakai

March 10, 2018
Tweet

More Decks by Manabu Sakai

See All by Manabu Sakai
アウトプットが切り拓いた自分のエンジニア人生 / Infra Study 2nd #8
manabusakai
0
4.8k
GitHub Actions の self-hosted runner と Amazon EKS を使った Docker のビルドパイプライン / secure-docker-build-pipeline
manabusakai
0
1.7k
SaaS における EKS のシングルテナントクラスタ戦略とスポットインスタンス活用術 / EKS single-tenant cluster strategy and Spot Instances
manabusakai
0
6.3k
freee のエンジニアは障害から何を学び、どう改善しているのか? / What do freee engineers learn and improve from failures?
manabusakai
8
16k
我々は Kubernetes の何を監視すればいいのか? / CloudNative Days Kansai 2019
manabusakai
24
8k
CI/CD パイプラインを最速で組み立てるための 4 つのポイント / Four points to assemble the CI CD pipeline fastest
manabusakai
9
3.3k
Kubernetes を使ってエンジニア組織の生産性を上げよう / kubernetes-and-engineer-productivity
manabusakai
3
6.3k
freee のマイクロサービスを K8s + Go で組む! 短期プロジェクト成功の記録 / microservices-using-k8s-and-go
manabusakai
4
9.4k
Kubernetes 入門者が 3 か月で本番導入するためにやったこと / kubernetes-beginner
manabusakai
7
13k

Other Decks in Technology

See All in Technology
Periodic Multi-Agent Path Planning
hziwara
0
120
USB PD で迎える AC アダプター大統一時代
puhitaku
2
1.9k
Google Cloud Workflows: API automation, patterns and best practices
glaforge
0
100
CUEとKubernetesカスタムオペレータを用いた新しいネットワークコントローラをつくってみた
hrk091
1
290
DNS権威サーバのクラウドサービス向けに行われた攻撃および対策 / DNS Pseudo-Random Subdomain Attack and mitigations
kazeburo
5
1.3k
メドレー エンジニア採用資料/ Medley Engineer Guide
medley
3
5.1k
💰年度末予算消化祭💰 Large Memory Instance で 画像分類してみた
__allllllllez__
0
110
OpenShift.Run2023_create-aro-with-terraform
ishiitaiki20fixer
1
320
OCI技術資料 : ロード・バランサー 詳細 / Load Balancer 200
ocise
2
7.2k
目指せCoverage100%! AutoScale環境におけるSavings Plans購入戦略 / JAWS-UG_SRE_Coverage
taishin
0
510
NGINXENG JP#2 - 1-NGINX-エンジニアリング勉強会-きょうの見どころ
hiropo20
0
110
AWS Cloud Forensics & Incident Response
e11i0t_4lders0n
0
400

Featured

See All Featured
5 minutes of I Can Smell Your CMS
philhawksworth
198
18k
The Brand Is Dead. Long Live the Brand.
mthomps
48
2.9k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
182
15k
Unsuck your backbone
ammeep
659
56k
Streamline your AJAX requests with AmplifyJS and jQuery
dougneiner
128
8.8k
Side Projects
sachag
451
37k
Principles of Awesome APIs and How to Build Them.
keavy
117
15k
StorybookのUI Testing Handbookを読んだ
zakiyama
8
3.2k
Imperfection Machines: The Place of Print at Facebook
scottboms
254
12k
The Power of CSS Pseudo Elements
geoffreycrofte
52
4.3k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
657
120k
From Idea to $5000 a Month in 5 Months
shpigford
374
44k

Transcript

  1. AWS のマネージドサービスを使った セキュリティ強化のための自動化 +"84%":4 ࡔҪֶ!NBOBCVTBLBJ

  2. #jd2018_c

  3. ͜ͷηογϣϯͷΰʔϧ w "84͕ఏڙ͢ΔηΩϡϦςΟؔ࿈ͷϚωʔδυαʔϏεΛ ஌ͬͯ΋Β͏ w ηΩϡϦςΟڧԽͷͨΊͷΞΠσΞΛ࣋ͬͯؼͬͯ΋Β͏

  4. ࡔҪֶ!NBOBCVTBLBJ w GSFFFגࣜձࣾ43&ΤϯδχΞݸਓࣄۀओ w ݸਓࣄۀͰ͸ελʔτΞοϓ΁ͷٕज़ࢧԉΛߦ͏ w ಘҙ෼໺"84ʢࣗಈԽपΓʣ w ϒϩά͸ͬͨΓΤϯδχΞͷඋ๨࿥

  5. freee をご存知の方は挙手を
 お願いします✋

  6. GSFFFͷαʔϏε w ձܭGSFFF w ਃࠂGSFFF w ਓࣄ࿑຿GSFFF w ϚΠφϯόʔ؅ཧGSFFF w

    ձࣾઃཱGSFFF w ։ۀGSFFF

  7. GSFFFͷαʔϏε w ϛογϣϯ͸ʮεϞʔϧϏδωεʹܞΘΔ͢΂ͯͷਓ͕૑ ଄తͳ׆ಈʹϑΥʔΧεͰ͖ΔΑ͏ʯ w όοΫΦϑΟεʹؔΘΔ#UP#Ϋϥ΢υαʔϏεΛఏڙ w ձܭGSFFF͸ສࣄۀॴҎ্ʹ͓࢖͍͍͖ͨͩɺ
 Ϋϥ΢υձܭιϑτͷγΣΞ/P

  8. GSFFFͷαʔϏε w ձܭGSFFF w ਃࠂGSFFF w ਓࣄ࿑຿GSFFF w ϚΠφϯόʔ؅ཧGSFFF w

    ձࣾઃཱGSFFF w ։ۀGSFFF ͓ۚ ਓ ਓ ͓ۚ

  9. お金や人に関わる情報漏洩は 絶対に起こしてはいけない

  10. ͦͷͨΊʹ͸ʜ w 04΍ϛυϧ΢ΣΞͷमਖ਼ύον͸͙͢ʹద༻͍ͨ͠ w %P4߈ܸ΍Ϧετܕ߈ܸ͸ࣗಈతʹϒϩοΫ͍ͨ͠ w "84্Ͱͷෆ৹ͳΞΫςΟϏςΟʹؾ͖͍ͮͨ w σʔλ͕վ͟ΜͰ͖ͳ͍Α͏ʹ͍ͨ͠ w

    FUD

  11. 挙げればキリがない

  12. 一方でエンジニアのリソースは
 限られている

  13. そうだ、 自動化だ

  14. w "84ʹ͸ηΩϡϦςΟڧԽʹ࢖͑ΔϚωʔδυαʔϏε͕ ਺ଟ͘ఏڙ͞Ε͍ͯΔ w 8"' 4IJFME (VBSE%VUZ .BDJF *OTQFDUPS FUDʜ

    w ΞΠσΞͱϓϩάϥϛϯάͰࣗಈԽͷ࢓૊ΈΛ࡞Δ w ͦͯ͠ɺΤϯδχΞ͸Ϣʔβʔʹͱͬͯຊ࣭తʹՁ஋ͷ͋ Δ͜ͱʹϑΥʔΧε͢Δ

  15. 今回は freee で実践している
 自動化を 3 つご紹介します

  16. CodeBuild を使った AMI 作成の自動化

  17. w GSFFFͰӡ༻͍ͯ͠Δ&$͸(PMEFO".*ํࣜ w 04ͷجຊઃఆ΍ϛυϧ΢ΣΞͷΠϯετʔϧ͕ࡁΜͩ ".*Λ͋Β͔͡Ί࡞͓ͬͯ͘ w ΞϓϦέʔγϣϯ͸ىಈ࣌ʹ࠷৽ͷ΋ͷΛऔಘ͢Δ w मਖ਼ύονΛ౰ͯΔʹ͸".*Λ࡞Γ௚͢ w

    "OTJCMFͱ1BDLFSͰίʔυԽ͞Ε͍ͯΔ

  18. ࣗಈԽ͢Δલ͸ʜ w 43&͕खݩͷϚγϯͰAQBDLFSCVJMEAͯ͠".*Λ࡞੒ w ".*ͷछྨ͕૿͑ͯ͘Δͱ࡞Γ௚͠ʹ͕͔͔࣌ؒΔΑ͏ʹ ͳ͖ͬͯͨ w ۓٸ౓ͷߴ͍मਖ਼ύον͕ϦϦʔε͞ΕΔͱɺ
 ΄͔ͷ࡞ۀΛࢭΊͯશһͰख෼͚ͯ͠΍͍ͬͯͨ

  19. ボトルネックは↓ここ

  20. $PEF#VJMEͱ͸ w $PEF#VJME͸ϑϧϚωʔδυͷϏϧυαʔϏε w Ϗϧυ͝ͱʹݸผͷ%PDLFSίϯςφ͕ىಈ͠ɺ
 ෳ਺ͷϏϧυΛಉ࣌ʹ࣮ߦͰ͖Δ w 1BDLFS͸(PͰॻ͔ΕͨπʔϧͳͷͰ%PDLFSͰ΋ಈ͘ w AQBDLFSCVJMEAΛ$PEF#VJMEʹ΍ΒͤΕ͹ָͰ͖Δʂ

  21. 1 コマンドで完了!

  22. ࣗಈԽͷ࢓૊Έ w 3VCZͰγϯϓϧͳϥούʔίϚϯυΛॻ͍ͨ w ΤϯδχΞ͕΍Δ͜ͱΛίϚϯυΛ࣮ߦ͢Δ͚ͩ w $PEF#VJME͸CVJMETQFDZNMʹԊͬͯ".*Λ࡞੒ w ϏϧυΛಉ࣮࣌ߦ͢Δ͜ͱͰτʔλϧͷ࣌ؒ୹ॖ

  23. AWS WAF を使った 攻撃の自動ブロック

  24. ࣗಈԽ͢Δલ͸ʜ w %P4߈ܸ΍Ϧετܕ߈ܸͷݕ஌͕ޙखʹճΔ w ߈ܸݩͷ*1ΞυϨε͕සൟʹมΘΔͷͰɺ
 4FDVSJUZ(SPVQ΍/FUXPSL"$-Ͱ͸๷͖͗Εͳ͍ w OHJOYͰ߈ܸݩͷ*1ΞυϨεΛϒϩοΫ͕ͨ͠ɺ
 ݁ہ8FCαʔόʹෛՙ͕͔͔Δ w

    ਂ໷΍ૣேͳͲखബͳ࣌ؒଳ͕Ͱ͖ͯ͠·͏

  25. "848"'ͱ͸ w "848"'͸ϑϧϚωʔδυͷ8"'αʔϏε w $MPVE'SPOUͱ"-#ʹઃఆͰ͖Δ w 42-J΍944ͱ͍ͬͨ੬ऑੑΛૂͬͨ߈ܸɺ
 *1ΞυϨεϚονϯά΍(FP*1ͰϒϩοΫͰ͖Δ w ߈ܸͷॳಈ͸"848"'ʹϒϩοΫͤ͞Δʂ

  26. 攻撃者には 403 を返す

  27. ࣗಈԽͷ࢓૊Έ w "848"'ͷ3BUFCBTFEϧʔϧΛ׆༻ w ಛఆͷ63-ʹ/෼ؒʹ/ճͷϦΫΤετ͕͋Δͱൃ ಈʢ/ͷ਺ࣈ͸ඇެ։ʣ w ࣗಈతʹϒϩοΫͯ͘͠ΕΔͷͰ༨༟Λ࣋ͬͯௐࠪͰ͖Δ w "-#ͰϒϩοΫ͢ΔͷͰ8FCαʔόʹෛՙ͕͔͔Βͳ͍

  28. GuardDuty を使った 脅威検出と Slack 通知

  29. ࣗಈԽ͢Δલ͸ʜ w 4FDVSJUZ(SPVQͷมߋϛεʹؾ͚ͮΔΑ͏ʹ೔࣍Ͱࠩ෼Λ ݕग़͢Δ࢓૊ΈΛ࡞ͬͨ w ࣗલͰ͢΂ͯΛ࡞ΓࠐΉͷ͸େมʜ w ڴҖΛݕग़͢Δ࢓૊Έ͸ͦ΋ͦ΋ͳ͔ͬͨ w Կ͔͋ͬͨΒ$MPVE5SBJMΛ֬ೝ͍ͯͨ͠

  30. (VBSE%VUZͱ͸ w (VBSE%VUZ͸ϑϧϚωʔδυͷڴҖݕग़αʔϏε w $MPVE5SBJMɺ71$ϑϩʔϩάɺ%/4ϩάΛऩूͯ͠ڴҖΛ ݕग़ͯ͘͠ΕΔ w ͨͱ͑͹&$ʹର͢ΔϙʔτεΩϟϯͳͲ͸ɺ
 ΄΅ϦΞϧλΠϜʹݕग़ͯ͘͠ΕΔ w

    ෆ৹ͳΞΫςΟϏςΟʹରͯ͠ϓϩΞΫςΟϒʹରԠͰ͖Δʂ

  31. ほぼリアルタイムに通知

  32. 重要度に応じて色やメンションの有無が変わる

  33. ࣗಈԽͷ࢓૊Έ w (VBSE%VUZ͸ڴҖΛݕग़ͯ͠΋௨஌͸ͯ͘͠Εͳ͍ w ڴҖ͕ݕग़͞ΕΔͱ$MPVE8BUDI&WFOUT͔Β-BNCEBΛ ىಈͯ͠4MBDLͷ8FCIPPLΛୟ͘ w ڴҖϨϕϧʹԠͯ͡ϝοηʔδͷ಺༰Λม͍͑ͯΔ w $SJUJDBMͷڴҖ͸!DIBOOFMͰϝϯγϣϯΛඈ͹͢

  34. ิ଍ w GSFFFͰ͸ଞʹ΋༷ʑͳηΩϡϦςΟରࡦΛߦ͍ͬͯ·͢ w ηΩϡϦςΟ͸ଟ૚๷ޚ͕ॏཁ w "84ͷϚωʔδυαʔϏεΛ׆༻ͭͭ͠ɺଞͷ؍఺͔Βͷ ରࡦ΋߹Θͤͯߦ͍·͠ΐ͏

  35. ·ͱΊ w ΞΠσΞ࣍ୈͰηΩϡϦςΟڧԽ΋ࣗಈԽͰ͖Δ࣌୅ w "84ͷϚωʔδυαʔϏεΛ͏·͘׆༻͠·͠ΐ͏ w GSFFFͷ43&͸Ϣʔβʔʹຊ࣭తͳՁ஋Λಧ͚ΔͨΊʹ
 ҆৺ͯ͠࢖͑ΔΠϯϑϥ؀ڥΛ໨ࢦ͍ͯ͠·͢ʂ

  36. @manabusakai

  37. ϨϑΝϨϯε w $PEF#VJMEΛ࢖ͬͯ".*࡞੒ͷ࣌ؒΛେ෯ʹ୹ॖͨ͠ w "848"'ͷϨʔτϕʔεϧʔϧΛࢼͯ͠Έͨ w (VBSE%VUZ͕ݕग़ͨ͠ڴҖΛ͍͍ײ͡ʹ4MBDL΁௨஌͢Δ