SRE-SET Automation Night
セキュリティ強化のための自動化SRE-SET Automation Night
View Slide
自己紹介● 坂井 学(さかい まなぶ)● 2016 年に SRE エンジニアとして入社● 最近は Ruby / Go を書いています● 得意分野は AWS○ AWS 認定ソリューションアーキテクト - プロフェッショナル○ AWS 認定 DevOps エンジニア - プロフェッショナル
自己紹介Twitter / GitHub@manabusakai
スモールビジネスに携わる方がより創造的な活動にフォーカスできるよう
freee が提供するサービス● 会計 freee● 人事労務 freee● 会社設立 freee● 開業 freee● マイナンバー管理 freeeお金人人
“人やお金”に関わる情報漏洩は絶対に起こしてはならない
そのためには…● セキュリティパッチが出たらすぐに適用したい○ 場合によっては 1 分 1 秒を争うがすぐに適用できる?● 外部からの怪しい攻撃は自動的に遮断したい○ 攻撃されてから気づくことの方が多い?他にも様々なポイントがありますが今回は割愛します。
CodeBuild を使った AMI 作成● Context○ freee で運用している EC2 は Golden AMI 方式○ パッチを当てるには AMI を作り直して Auto Scaling で入れ替え○ Ansible + Packer でコード管理
CodeBuild を使った AMI 作成● Before○ SRE が手動で Packer を実行して AMI を作成○ AMI の種類が多いのですべて作り直すには時間がかかる○ 脆弱性が発見されると手分けしてやっていた…
CodeBuild を使った AMI 作成1 コマンドを流すだけ数に応じて並列化ref: https://blog.manabusakai.com/2017/07/create-ami-with-codebuild/
CodeBuild を使った AMI 作成● After○ 面倒で時間のかかる作業を完全に自動化○ ビルドを並列化することで時間短縮○ 本番環境に迅速にパッチを適用できるようになった
AWS WAF を使った攻撃の自動遮断● Before○ DoS 攻撃やリスト型攻撃の検知が後手に回る○ 攻撃側の IP アドレスが頻繁に変わるので、Security Group や Network ACL の遮断では限界がある○ 深夜や早朝など手薄な時間帯ができてしまう
DoS 攻撃は自動的に遮断 サーバの負荷は上がらないAWS WAF を使った攻撃の自動遮断ref: https://blog.manabusakai.com/2017/07/aws-waf-rate-based-rule/
AWS WAF を使った攻撃の自動遮断● After○ DoS 攻撃やリスト型攻撃を自動的に遮断できる○ 自動的に遮断してくれるので余裕を持って調査できる○ ALB で遮断するので Web サーバの負荷が上がらない
まとめ● アイデア次第でセキュリティ強化も自動化できる時代● freee の SRE はユーザーに本質的な価値を届けるために、安心して使えるインフラ環境を目指しています!