セキュリティ強化のための自動化 / security-automation

Transcript

1. 1.

   セキュリティ強化のための自動化 SRE-SET Automation Night

2. 2.

   自己紹介 • 坂井 学（さかい まなぶ） • 2016 年に SRE エンジニアとして入社

   • 最近は Ruby / Go を書いています • 得意分野は AWS ◦ AWS 認定ソリューションアーキテクト - プロフェッショナル ◦ AWS 認定 DevOps エンジニア - プロフェッショナル
3. 3.

   自己紹介 Twitter / GitHub @manabusakai

4. 4.

   スモールビジネスに携わる方が より創造的な活動にフォーカスできるよう

5. 5.

   freee が提供するサービス • 会計 freee • 人事労務 freee • 会社設立

   freee • 開業 freee • マイナンバー管理 freee お金 人 人
6. 6.

   “人やお金”に関わる情報漏洩は 絶対に起こしてはならない

7. 7.

   そのためには… • セキュリティパッチが出たらすぐに適用したい ◦ 場合によっては 1 分 1 秒を争うがすぐに適用できる？ •

   外部からの怪しい攻撃は自動的に遮断したい ◦ 攻撃されてから気づくことの方が多い？ 他にも様々なポイントがありますが今回は割愛します。
8. 8.

   CodeBuild を使った AMI 作成 • Context ◦ freee で運用している EC2

   は Golden AMI 方式 ◦ パッチを当てるには AMI を作り直して Auto Scaling で入れ替え ◦ Ansible + Packer でコード管理
9. 9.

   CodeBuild を使った AMI 作成 • Before ◦ SRE が手動で Packer

   を実行して AMI を作成 ◦ AMI の種類が多いのですべて作り直すには時間がかかる ◦ 脆弱性が発見されると手分けしてやっていた…
10. 10.

    CodeBuild を使った AMI 作成 1 コマンドを 流すだけ 数に応じて並 列化 ref:

    https://blog.manabusakai.com/2017/07/create-ami-with-codebuild/
11. 11.

    CodeBuild を使った AMI 作成 • After ◦ 面倒で時間のかかる作業を完全に自動化 ◦ ビルドを並列化することで時間短縮

    ◦ 本番環境に迅速にパッチを適用できるようになった
12. 12.

    AWS WAF を使った攻撃の自動遮断 • Before ◦ DoS 攻撃やリスト型攻撃の検知が後手に回る ◦ 攻撃側の

    IP アドレスが頻繁に変わるので、 Security Group や Network ACL の遮断では限界がある ◦ 深夜や早朝など手薄な時間帯ができてしまう
13. 13.

    DoS 攻撃は 自動的に遮断 サーバの負荷 は上がらない AWS WAF を使った攻撃の自動遮断 ref: https://blog.manabusakai.com/2017/07/aws-waf-rate-based-rule/

14. 14.

    AWS WAF を使った攻撃の自動遮断 • After ◦ DoS 攻撃やリスト型攻撃を自動的に遮断できる ◦ 自動的に遮断してくれるので余裕を持って調査できる

    ◦ ALB で遮断するので Web サーバの負荷が上がらない
15. 15.

    まとめ • アイデア次第でセキュリティ強化も自動化できる時代 • freee の SRE はユーザーに本質的な価値を届けるために、 安心して使えるインフラ環境を目指しています！