Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュリティ強化のための自動化 / security-automation

Manabu Sakai
December 12, 2017
Technology
3
10k

セキュリティ強化のための自動化 / security-automation

SRE-SET Automation Night

Manabu Sakai

December 12, 2017
Tweet

More Decks by Manabu Sakai

See All by Manabu Sakai
アウトプットが切り拓いた自分のエンジニア人生 / Infra Study 2nd #8
manabusakai
0
15k
GitHub Actions の self-hosted runner と Amazon EKS を使った Docker のビルドパイプライン / secure-docker-build-pipeline
manabusakai
0
1.8k
SaaS における EKS のシングルテナントクラスタ戦略とスポットインスタンス活用術 / EKS single-tenant cluster strategy and Spot Instances
manabusakai
0
6.4k
freee のエンジニアは障害から何を学び、どう改善しているのか? / What do freee engineers learn and improve from failures?
manabusakai
8
17k
我々は Kubernetes の何を監視すればいいのか? / CloudNative Days Kansai 2019
manabusakai
24
8k
CI/CD パイプラインを最速で組み立てるための 4 つのポイント / Four points to assemble the CI CD pipeline fastest
manabusakai
9
3.3k
Kubernetes を使ってエンジニア組織の生産性を上げよう / kubernetes-and-engineer-productivity
manabusakai
3
6.5k
freee のマイクロサービスを K8s + Go で組む! 短期プロジェクト成功の記録 / microservices-using-k8s-and-go
manabusakai
4
9.5k
Kubernetes 入門者が 3 か月で本番導入するためにやったこと / kubernetes-beginner
manabusakai
7
13k

Other Decks in Technology

See All in Technology
バクラクのAI-OCR機能の体験を支える良質なデータセット作成の仕組み / data-centric-ai-bakuraku-dataset
yuya4
1
550
社内にアクセシビリティ改善を広める際に意識したこと
benevolent0505
0
310
Transit Gatewayを使わなければならない場面を改めて考えてみる #dx_osarai
non97
0
3.3k
copilot-cli(Fargate)でRailsを運用するためのTips / JAWS-UG Okayama 2023
interu
1
360
IaCのCI/CDを考えよう / JAWS-UG_Okayama_IaC_CICD
taishin
1
190
Redditで遊ぼう #TokyoR 106
bob3bob3
0
100
ウォンテッドリーの5年間に渡る推薦システムの変遷
hakubishin3
0
1.1k
NestJS をかじってみた / MIERUNE BBQ #01 / #mierune
tacck
0
320
到着予想時間(ETA)サービスの特徴量のニアリアルタイム化
mot_techtalk
0
110
何故、UseCaseは1メソッドなのか
okuzawats
2
420
OCI Data Integration技術情報 / ocidi_technical_jp
oracle4engineer
PRO
0
460
APIによるレガシーシステムの改善
techtekt
0
200

Featured

See All Featured
Side Projects
sachag
450
39k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
25
5.3k
Principles of Awesome APIs and How to Build Them.
keavy
119
16k
WebSockets: Embracing the real-time Web
robhawkes
58
6.2k
Stop Working from a Prison Cell
hatefulcrawdad
264
18k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
110
17k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
35
9.7k
RailsConf 2023
tenderlove
0
110
GraphQLの誤解/rethinking-graphql
sonatard
41
8.3k
Web development in the modern age
philhawksworth
197
9.7k
Six Lessons from altMBA
skipperchong
16
2.5k
What the flash - Photography Introduction
edds
64
10k

Transcript

  1. セキュリティ強化のための自動化
    SRE-SET Automation Night

    View Slide

  2. 自己紹介
    ● 坂井 学(さかい まなぶ)
    ● 2016 年に SRE エンジニアとして入社
    ● 最近は Ruby / Go を書いています
    ● 得意分野は AWS
    ○ AWS 認定ソリューションアーキテクト - プロフェッショナル
    ○ AWS 認定 DevOps エンジニア - プロフェッショナル

    View Slide

  3. 自己紹介
    Twitter / GitHub
    @manabusakai

    View Slide

  4. スモールビジネスに携わる方が
    より創造的な活動にフォーカスできるよう

    View Slide

  5. freee が提供するサービス
    ● 会計 freee
    ● 人事労務 freee
    ● 会社設立 freee
    ● 開業 freee
    ● マイナンバー管理 freee
    お金


    View Slide

  6. “人やお金”に関わる情報漏洩は
    絶対に起こしてはならない

    View Slide

  7. そのためには…
    ● セキュリティパッチが出たらすぐに適用したい
    ○ 場合によっては 1 分 1 秒を争うがすぐに適用できる?
    ● 外部からの怪しい攻撃は自動的に遮断したい
    ○ 攻撃されてから気づくことの方が多い?
    他にも様々なポイントがありますが今回は割愛します。

    View Slide

  8. CodeBuild を使った AMI 作成
    ● Context
    ○ freee で運用している EC2 は Golden AMI 方式
    ○ パッチを当てるには AMI を作り直して Auto Scaling で入れ替え
    ○ Ansible + Packer でコード管理

    View Slide

  9. CodeBuild を使った AMI 作成
    ● Before
    ○ SRE が手動で Packer を実行して AMI を作成
    ○ AMI の種類が多いのですべて作り直すには時間がかかる
    ○ 脆弱性が発見されると手分けしてやっていた…

    View Slide

  10. CodeBuild を使った AMI 作成
    1 コマンドを
    流すだけ
    数に応じて並
    列化
    ref: https://blog.manabusakai.com/2017/07/create-ami-with-codebuild/

    View Slide

  11. CodeBuild を使った AMI 作成
    ● After
    ○ 面倒で時間のかかる作業を完全に自動化
    ○ ビルドを並列化することで時間短縮
    ○ 本番環境に迅速にパッチを適用できるようになった

    View Slide

  12. AWS WAF を使った攻撃の自動遮断
    ● Before
    ○ DoS 攻撃やリスト型攻撃の検知が後手に回る
    ○ 攻撃側の IP アドレスが頻繁に変わるので、
    Security Group や Network ACL の遮断では限界がある
    ○ 深夜や早朝など手薄な時間帯ができてしまう

    View Slide

  13. DoS 攻撃は
    自動的に遮断 サーバの負荷
    は上がらない
    AWS WAF を使った攻撃の自動遮断
    ref: https://blog.manabusakai.com/2017/07/aws-waf-rate-based-rule/

    View Slide

  14. AWS WAF を使った攻撃の自動遮断
    ● After
    ○ DoS 攻撃やリスト型攻撃を自動的に遮断できる
    ○ 自動的に遮断してくれるので余裕を持って調査できる
    ○ ALB で遮断するので Web サーバの負荷が上がらない

    View Slide

  15. まとめ
    ● アイデア次第でセキュリティ強化も自動化できる時代
    ● freee の SRE はユーザーに本質的な価値を届けるために、
    安心して使えるインフラ環境を目指しています!

    View Slide