Pro Yearly is on sale from $80 to $50! »

セキュリティ強化のための自動化 / security-automation

Dacd98e0fcfc478b24f9cd7ec9208904?s=47 Manabu Sakai
December 12, 2017
Technology
3
7.2k

セキュリティ強化のための自動化 / security-automation

SRE-SET Automation Night

Dacd98e0fcfc478b24f9cd7ec9208904?s=128

Manabu Sakai

December 12, 2017
Tweet

More Decks by Manabu Sakai

See All by Manabu Sakai
Dacd98e0fcfc478b24f9cd7ec9208904?s=48 manabusakai
0
1.2k
Dacd98e0fcfc478b24f9cd7ec9208904?s=48 manabusakai
0
2.7k
Dacd98e0fcfc478b24f9cd7ec9208904?s=48 manabusakai
8
12k
Dacd98e0fcfc478b24f9cd7ec9208904?s=48 manabusakai
24
7.4k
Dacd98e0fcfc478b24f9cd7ec9208904?s=48 manabusakai
9
2.7k
Dacd98e0fcfc478b24f9cd7ec9208904?s=48 manabusakai
3
5.4k
Dacd98e0fcfc478b24f9cd7ec9208904?s=48 manabusakai
4
6.4k
Dacd98e0fcfc478b24f9cd7ec9208904?s=48 manabusakai
7
10k
Dacd98e0fcfc478b24f9cd7ec9208904?s=48 manabusakai
2
5.1k

Other Decks in Technology

See All in Technology
Eebedc2ee7ff95ffb9d9102c6d4a065c?s=48 line_devday2020
0
170
Eebedc2ee7ff95ffb9d9102c6d4a065c?s=48 line_devday2020
0
200
Eebedc2ee7ff95ffb9d9102c6d4a065c?s=48 line_devday2020
0
110
38f77168b7c5802adc9cc3a5cfcf031b?s=48 niharika28
0
270
Eebedc2ee7ff95ffb9d9102c6d4a065c?s=48 line_devday2020
1
330
Cc568a0b1284645f9fb927b2343eb87e?s=48 youtalk
0
400
40301c0affdf359eaca771713e22b71a?s=48 harshbothra
0
410
Eebedc2ee7ff95ffb9d9102c6d4a065c?s=48 line_devday2020
0
130
14fc669973dea92bf6fd5ede6f4e016b?s=48 seizecare
0
110
Eebedc2ee7ff95ffb9d9102c6d4a065c?s=48 line_devday2020
0
300
Eebedc2ee7ff95ffb9d9102c6d4a065c?s=48 line_devday2020
0
190
Eebedc2ee7ff95ffb9d9102c6d4a065c?s=48 line_devday2020
0
180

Featured

See All Featured
E190023b66e2b8aa73a842b106920c93?s=48 zenorocha
296
39k
06f8b41980eb4c577fa40c41d5030c19?s=48 keathley
16
580
766b9746b59e6f09e280cd33cf4ed419?s=48 skipperchong
6
600
D67fff74178013024d833b3eec6cf27f?s=48 lynnandtonic
268
16k
C44e1f7e22c3f23cff7bc130871047ef?s=48 eileencodes
113
25k
5f2da528927a2ec9ba4fec2069cbc958?s=48 kneath
218
15k
E13c31390e0369fcd5972292ce0e7b92?s=48 jnunemaker
PRO
40
4.5k
8081b26e05bb4354f7d65ffc34cbbd67?s=48 chriscoyier
498
130k
Ecdea9b9714877b86cee08458f085481?s=48 trallard
11
520
E14f55d3f939977cecbf51b64ff6f861?s=48 keithpitt
401
20k
79acae287842acf29084005533a7fb3b?s=48 hursman
105
9.2k
39488f9d172ab92fd352f2cd7b73258d?s=48 mza
80
4k

Transcript

  1. セキュリティ強化のための自動化 SRE-SET Automation Night

  2. 自己紹介 • 坂井 学(さかい まなぶ) • 2016 年に SRE エンジニアとして入社

    • 最近は Ruby / Go を書いています • 得意分野は AWS ◦ AWS 認定ソリューションアーキテクト - プロフェッショナル ◦ AWS 認定 DevOps エンジニア - プロフェッショナル

  3. 自己紹介 Twitter / GitHub @manabusakai

  4. スモールビジネスに携わる方が より創造的な活動にフォーカスできるよう

  5. freee が提供するサービス • 会計 freee • 人事労務 freee • 会社設立

    freee • 開業 freee • マイナンバー管理 freee お金 人 人

  6. “人やお金”に関わる情報漏洩は 絶対に起こしてはならない

  7. そのためには… • セキュリティパッチが出たらすぐに適用したい ◦ 場合によっては 1 分 1 秒を争うがすぐに適用できる? •

    外部からの怪しい攻撃は自動的に遮断したい ◦ 攻撃されてから気づくことの方が多い? 他にも様々なポイントがありますが今回は割愛します。

  8. CodeBuild を使った AMI 作成 • Context ◦ freee で運用している EC2

    は Golden AMI 方式 ◦ パッチを当てるには AMI を作り直して Auto Scaling で入れ替え ◦ Ansible + Packer でコード管理

  9. CodeBuild を使った AMI 作成 • Before ◦ SRE が手動で Packer

    を実行して AMI を作成 ◦ AMI の種類が多いのですべて作り直すには時間がかかる ◦ 脆弱性が発見されると手分けしてやっていた…

  10. CodeBuild を使った AMI 作成 1 コマンドを 流すだけ 数に応じて並 列化 ref:

    https://blog.manabusakai.com/2017/07/create-ami-with-codebuild/

  11. CodeBuild を使った AMI 作成 • After ◦ 面倒で時間のかかる作業を完全に自動化 ◦ ビルドを並列化することで時間短縮

    ◦ 本番環境に迅速にパッチを適用できるようになった

  12. AWS WAF を使った攻撃の自動遮断 • Before ◦ DoS 攻撃やリスト型攻撃の検知が後手に回る ◦ 攻撃側の

    IP アドレスが頻繁に変わるので、 Security Group や Network ACL の遮断では限界がある ◦ 深夜や早朝など手薄な時間帯ができてしまう

  13. DoS 攻撃は 自動的に遮断 サーバの負荷 は上がらない AWS WAF を使った攻撃の自動遮断 ref: https://blog.manabusakai.com/2017/07/aws-waf-rate-based-rule/

  14. AWS WAF を使った攻撃の自動遮断 • After ◦ DoS 攻撃やリスト型攻撃を自動的に遮断できる ◦ 自動的に遮断してくれるので余裕を持って調査できる

    ◦ ALB で遮断するので Web サーバの負荷が上がらない

  15. まとめ • アイデア次第でセキュリティ強化も自動化できる時代 • freee の SRE はユーザーに本質的な価値を届けるために、 安心して使えるインフラ環境を目指しています!