Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュリティ強化のための自動化 / security-automation

Manabu Sakai
December 12, 2017

セキュリティ強化のための自動化 / security-automation

SRE-SET Automation Night

Manabu Sakai

December 12, 2017
Tweet

More Decks by Manabu Sakai

Other Decks in Technology

Transcript

  1. セキュリティ強化のための自動化
    SRE-SET Automation Night

    View Slide

  2. 自己紹介
    ● 坂井 学(さかい まなぶ)
    ● 2016 年に SRE エンジニアとして入社
    ● 最近は Ruby / Go を書いています
    ● 得意分野は AWS
    ○ AWS 認定ソリューションアーキテクト - プロフェッショナル
    ○ AWS 認定 DevOps エンジニア - プロフェッショナル

    View Slide

  3. 自己紹介
    Twitter / GitHub
    @manabusakai

    View Slide

  4. スモールビジネスに携わる方が
    より創造的な活動にフォーカスできるよう

    View Slide

  5. freee が提供するサービス
    ● 会計 freee
    ● 人事労務 freee
    ● 会社設立 freee
    ● 開業 freee
    ● マイナンバー管理 freee
    お金


    View Slide

  6. “人やお金”に関わる情報漏洩は
    絶対に起こしてはならない

    View Slide

  7. そのためには…
    ● セキュリティパッチが出たらすぐに適用したい
    ○ 場合によっては 1 分 1 秒を争うがすぐに適用できる?
    ● 外部からの怪しい攻撃は自動的に遮断したい
    ○ 攻撃されてから気づくことの方が多い?
    他にも様々なポイントがありますが今回は割愛します。

    View Slide

  8. CodeBuild を使った AMI 作成
    ● Context
    ○ freee で運用している EC2 は Golden AMI 方式
    ○ パッチを当てるには AMI を作り直して Auto Scaling で入れ替え
    ○ Ansible + Packer でコード管理

    View Slide

  9. CodeBuild を使った AMI 作成
    ● Before
    ○ SRE が手動で Packer を実行して AMI を作成
    ○ AMI の種類が多いのですべて作り直すには時間がかかる
    ○ 脆弱性が発見されると手分けしてやっていた…

    View Slide

  10. CodeBuild を使った AMI 作成
    1 コマンドを
    流すだけ
    数に応じて並
    列化
    ref: https://blog.manabusakai.com/2017/07/create-ami-with-codebuild/

    View Slide

  11. CodeBuild を使った AMI 作成
    ● After
    ○ 面倒で時間のかかる作業を完全に自動化
    ○ ビルドを並列化することで時間短縮
    ○ 本番環境に迅速にパッチを適用できるようになった

    View Slide

  12. AWS WAF を使った攻撃の自動遮断
    ● Before
    ○ DoS 攻撃やリスト型攻撃の検知が後手に回る
    ○ 攻撃側の IP アドレスが頻繁に変わるので、
    Security Group や Network ACL の遮断では限界がある
    ○ 深夜や早朝など手薄な時間帯ができてしまう

    View Slide

  13. DoS 攻撃は
    自動的に遮断 サーバの負荷
    は上がらない
    AWS WAF を使った攻撃の自動遮断
    ref: https://blog.manabusakai.com/2017/07/aws-waf-rate-based-rule/

    View Slide

  14. AWS WAF を使った攻撃の自動遮断
    ● After
    ○ DoS 攻撃やリスト型攻撃を自動的に遮断できる
    ○ 自動的に遮断してくれるので余裕を持って調査できる
    ○ ALB で遮断するので Web サーバの負荷が上がらない

    View Slide

  15. まとめ
    ● アイデア次第でセキュリティ強化も自動化できる時代
    ● freee の SRE はユーザーに本質的な価値を届けるために、
    安心して使えるインフラ環境を目指しています!

    View Slide