Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュリティ強化のための自動化 / security-automation

Dacd98e0fcfc478b24f9cd7ec9208904?s=47 Manabu Sakai
December 12, 2017
Technology
3
10k

セキュリティ強化のための自動化 / security-automation

SRE-SET Automation Night

Dacd98e0fcfc478b24f9cd7ec9208904?s=128

Manabu Sakai

December 12, 2017
Tweet

More Decks by Manabu Sakai

See All by Manabu Sakai
アウトプットが切り拓いた自分のエンジニア人生 / Infra Study 2nd #8
Dacd98e0fcfc478b24f9cd7ec9208904?s=48 manabusakai
0
2.2k
GitHub Actions の self-hosted runner と Amazon EKS を使った Docker のビルドパイプライン / secure-docker-build-pipeline
Dacd98e0fcfc478b24f9cd7ec9208904?s=48 manabusakai
0
1.6k
SaaS における EKS のシングルテナントクラスタ戦略とスポットインスタンス活用術 / EKS single-tenant cluster strategy and Spot Instances
Dacd98e0fcfc478b24f9cd7ec9208904?s=48 manabusakai
0
6.1k
freee のエンジニアは障害から何を学び、どう改善しているのか? / What do freee engineers learn and improve from failures?
Dacd98e0fcfc478b24f9cd7ec9208904?s=48 manabusakai
8
16k
我々は Kubernetes の何を監視すればいいのか? / CloudNative Days Kansai 2019
Dacd98e0fcfc478b24f9cd7ec9208904?s=48 manabusakai
24
7.8k
CI/CD パイプラインを最速で組み立てるための 4 つのポイント / Four points to assemble the CI CD pipeline fastest
Dacd98e0fcfc478b24f9cd7ec9208904?s=48 manabusakai
9
3.2k
Kubernetes を使ってエンジニア組織の生産性を上げよう / kubernetes-and-engineer-productivity
Dacd98e0fcfc478b24f9cd7ec9208904?s=48 manabusakai
3
6.1k
freee のマイクロサービスを K8s + Go で組む! 短期プロジェクト成功の記録 / microservices-using-k8s-and-go
Dacd98e0fcfc478b24f9cd7ec9208904?s=48 manabusakai
4
9.3k
Kubernetes 入門者が 3 か月で本番導入するためにやったこと / kubernetes-beginner
Dacd98e0fcfc478b24f9cd7ec9208904?s=48 manabusakai
7
13k

Other Decks in Technology

See All in Technology
ソフトウェアライセンス 2022 / Software License 2022
A97eee01397705443a72a48ce29d3e19?s=48 cybozuinsideout
PRO
1
880
出張スクラムマスターとしての FEARLESS CHANGE な生き方
07c1e95591450e742911f01a9b12f256?s=48 naitosatoshi
1
1.2k
OPENLOGI Company Profile
5c588fdfe782f92fa6b081903edd82bb?s=48 hr01
0
250
1人目SETとして入社して2ヶ月の間におこなったこと
81e0ce50877c71b7825914c017e0dda2?s=48 tarappo
3
400
Microsoft Build 2022 Recap Party!! Azure のデータ & 分析サービス 注目アップデート / microsoft-build-2022-recap-azure-data-and-analytics
22ac00b36d2057e61ee1c06f0f5dc6cb?s=48 nakazax
0
240
マネージャーからみたスクラムと自己管理化
D14332b39b012820d44d362a3e2a8d98?s=48 shibe23
0
950
#JP_Stripes Sapporo Stripeの活用例を色々ご紹介します!
74cec195bfb6cb5165256d88cb7fcf0f?s=48 miu_crescent
0
100
JFrog 最新情報 - JFrog DevOps プラットフォームの今までとこれから / jfrog-update-for-devopskaigi-2022
567600e04dbcb14d6bd8f120e6625a27?s=48 tsuyo
0
140
サイボウズの アジャイル・クオリティ / Agile Quality at Cybozu
A97eee01397705443a72a48ce29d3e19?s=48 cybozuinsideout
PRO
4
1.8k
アーキテクチャを明文化して開発に臨んだ話
903c7dbf16067d22e7b03ead7d8acdc5?s=48 akihiyo76
0
240
Scrum Fest Osaka 2022 フルリモート下でのチームビルディング
478bd912a17b65fa0ab8c1d81912b9b1?s=48 moritamasami
2
960
suppress-ts-errors を使って TypeScriptの型チェックを漸進的に強化する / Introducing-suppress-ts-errors
0a16f7b8629f2facca2a1e80a73c5423?s=48 kawamataryo
2
110

Featured

See All Featured
Put a Button on it: Removing Barriers to Going Fast.
Bfd6b681ec6e8c9bef82ff0521c364f7?s=48 kastner
56
2.3k
GitHub's CSS Performance
64827b31aef81498662e8af4bd6d5157?s=48 jonrohan
1020
420k
Designing for humans not robots
D36d2c1821af9249b69ff7f5ed60529b?s=48 tammielis
241
23k
Debugging Ruby Performance
D47656e20ff5e42f125fc5ea0fd636c6?s=48 tmm1
65
10k
Docker and Python
Ecdea9b9714877b86cee08458f085481?s=48 trallard
27
1.6k
Documentation Writing (for coders)
61857dafbd287b3027c4dcea9008ad3c?s=48 carmenhchung
48
2.5k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
F383c6a4dc55e331bbe2987b622cee6b?s=48 stephaniewalter
269
11k
Distributed Sagas: A Protocol for Coordinating Microservices
9128d500301ae51524e887bb680f471d?s=48 caitiem20
315
19k
jQuery: Nuts, Bolts and Bling
9cde37f47e4a800ea081ea42de8d749a?s=48 dougneiner
56
6.4k
Pencils Down: Stop Designing & Start Developing
79acae287842acf29084005533a7fb3b?s=48 hursman
112
9.8k
WebSockets: Embracing the real-time Web
E76911cbe088e5b850d966de3fc7435b?s=48 robhawkes
57
5.1k
Optimizing for Happiness
25c7c18223fb42a4c6ae1c8db6f50f9b?s=48 mojombo
365
63k

Transcript

  1. セキュリティ強化のための自動化 SRE-SET Automation Night

  2. 自己紹介 • 坂井 学(さかい まなぶ) • 2016 年に SRE エンジニアとして入社

    • 最近は Ruby / Go を書いています • 得意分野は AWS ◦ AWS 認定ソリューションアーキテクト - プロフェッショナル ◦ AWS 認定 DevOps エンジニア - プロフェッショナル

  3. 自己紹介 Twitter / GitHub @manabusakai

  4. スモールビジネスに携わる方が より創造的な活動にフォーカスできるよう

  5. freee が提供するサービス • 会計 freee • 人事労務 freee • 会社設立

    freee • 開業 freee • マイナンバー管理 freee お金 人 人

  6. “人やお金”に関わる情報漏洩は 絶対に起こしてはならない

  7. そのためには… • セキュリティパッチが出たらすぐに適用したい ◦ 場合によっては 1 分 1 秒を争うがすぐに適用できる? •

    外部からの怪しい攻撃は自動的に遮断したい ◦ 攻撃されてから気づくことの方が多い? 他にも様々なポイントがありますが今回は割愛します。

  8. CodeBuild を使った AMI 作成 • Context ◦ freee で運用している EC2

    は Golden AMI 方式 ◦ パッチを当てるには AMI を作り直して Auto Scaling で入れ替え ◦ Ansible + Packer でコード管理

  9. CodeBuild を使った AMI 作成 • Before ◦ SRE が手動で Packer

    を実行して AMI を作成 ◦ AMI の種類が多いのですべて作り直すには時間がかかる ◦ 脆弱性が発見されると手分けしてやっていた…

  10. CodeBuild を使った AMI 作成 1 コマンドを 流すだけ 数に応じて並 列化 ref:

    https://blog.manabusakai.com/2017/07/create-ami-with-codebuild/

  11. CodeBuild を使った AMI 作成 • After ◦ 面倒で時間のかかる作業を完全に自動化 ◦ ビルドを並列化することで時間短縮

    ◦ 本番環境に迅速にパッチを適用できるようになった

  12. AWS WAF を使った攻撃の自動遮断 • Before ◦ DoS 攻撃やリスト型攻撃の検知が後手に回る ◦ 攻撃側の

    IP アドレスが頻繁に変わるので、 Security Group や Network ACL の遮断では限界がある ◦ 深夜や早朝など手薄な時間帯ができてしまう

  13. DoS 攻撃は 自動的に遮断 サーバの負荷 は上がらない AWS WAF を使った攻撃の自動遮断 ref: https://blog.manabusakai.com/2017/07/aws-waf-rate-based-rule/

  14. AWS WAF を使った攻撃の自動遮断 • After ◦ DoS 攻撃やリスト型攻撃を自動的に遮断できる ◦ 自動的に遮断してくれるので余裕を持って調査できる

    ◦ ALB で遮断するので Web サーバの負荷が上がらない

  15. まとめ • アイデア次第でセキュリティ強化も自動化できる時代 • freee の SRE はユーザーに本質的な価値を届けるために、 安心して使えるインフラ環境を目指しています!