Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュリティ強化のための自動化 / security-automation

Dacd98e0fcfc478b24f9cd7ec9208904?s=47 Manabu Sakai
December 12, 2017
Technology
3
8.2k

セキュリティ強化のための自動化 / security-automation

SRE-SET Automation Night

Dacd98e0fcfc478b24f9cd7ec9208904?s=128

Manabu Sakai

December 12, 2017
Tweet

More Decks by Manabu Sakai

See All by Manabu Sakai
Dacd98e0fcfc478b24f9cd7ec9208904?s=48 manabusakai
0
1.4k
Dacd98e0fcfc478b24f9cd7ec9208904?s=48 manabusakai
0
4.2k
Dacd98e0fcfc478b24f9cd7ec9208904?s=48 manabusakai
8
13k
Dacd98e0fcfc478b24f9cd7ec9208904?s=48 manabusakai
24
7.5k
Dacd98e0fcfc478b24f9cd7ec9208904?s=48 manabusakai
9
2.9k
Dacd98e0fcfc478b24f9cd7ec9208904?s=48 manabusakai
3
5.6k
Dacd98e0fcfc478b24f9cd7ec9208904?s=48 manabusakai
4
7.5k
Dacd98e0fcfc478b24f9cd7ec9208904?s=48 manabusakai
7
11k
Dacd98e0fcfc478b24f9cd7ec9208904?s=48 manabusakai
2
6.1k

Other Decks in Technology

See All in Technology
Ac5b39a4b12e8ca2d6e25b9e7cc142ae?s=48 djain2405
1
120
D8e79ab09f15e69d600c00131bf7d2a9?s=48 yfutamura
0
410
E53046bb9794560f541fcf2cf0b9d526?s=48 sayokomiura
0
320
Cd931bc05e7cee46b9a950a63e47ba4c?s=48 you
0
130
Bf7fe621f4fe1615c228ef8a79b87282?s=48 shirayanagiryuji
0
230
396bc484aa53948c58c8fa847ad91372?s=48 riki_hiraoka
0
230
8fb8810e5e06a997bc13831b9b51007f?s=48 keinuma
0
250
D8e79ab09f15e69d600c00131bf7d2a9?s=48 yfutamura
0
400
D8e79ab09f15e69d600c00131bf7d2a9?s=48 yfutamura
0
620
A84b3c763c9c543069b7c02551e2720e?s=48 yuyamada
0
510
F89f6a80305746253d4bedb128b2f445?s=48 mats16
0
370
428a01206a4fc4073b2cd6a0cc4edaef?s=48 arihh
1
330

Featured

See All Featured
F57e2136eb9895eb95ff5dc8a1c02677?s=48 zakiwarfel
88
3.4k
9cde37f47e4a800ea081ea42de8d749a?s=48 dougneiner
120
8k
2f5463832ccb768ccb4a1ca3607c27ef?s=48 jacobian
257
20k
88bc30284c6a424b63a92aad27d0ba36?s=48 jnunemaker
PRO
40
4.7k
B3ace07412a5178ea778e7eec161fc0a?s=48 jcasabona
8
610
4394ceb8b277f35ee3da7030384efb5d?s=48 davidbonilla
71
3.6k
7edec06b5435e0dac07a353b2cc26253?s=48 geeforr
333
29k
C86443373fbfe92996aa882d0d7a59f8?s=48 imathis
479
150k
766b9746b59e6f09e280cd33cf4ed419?s=48 skipperchong
8
830
D8fc2580cfaca035f666d9e4ee79a7f7?s=48 mongodb
23
3.9k
C157b16234f1e75e8eac3698c1d4414a?s=48 ddemaree
273
31k
F68cb25ae3e5c2106997454b13b7737d?s=48 brad_frost
158
6.5k

Transcript

  1. セキュリティ強化のための自動化 SRE-SET Automation Night

  2. 自己紹介 • 坂井 学(さかい まなぶ) • 2016 年に SRE エンジニアとして入社

    • 最近は Ruby / Go を書いています • 得意分野は AWS ◦ AWS 認定ソリューションアーキテクト - プロフェッショナル ◦ AWS 認定 DevOps エンジニア - プロフェッショナル

  3. 自己紹介 Twitter / GitHub @manabusakai

  4. スモールビジネスに携わる方が より創造的な活動にフォーカスできるよう

  5. freee が提供するサービス • 会計 freee • 人事労務 freee • 会社設立

    freee • 開業 freee • マイナンバー管理 freee お金 人 人

  6. “人やお金”に関わる情報漏洩は 絶対に起こしてはならない

  7. そのためには… • セキュリティパッチが出たらすぐに適用したい ◦ 場合によっては 1 分 1 秒を争うがすぐに適用できる? •

    外部からの怪しい攻撃は自動的に遮断したい ◦ 攻撃されてから気づくことの方が多い? 他にも様々なポイントがありますが今回は割愛します。

  8. CodeBuild を使った AMI 作成 • Context ◦ freee で運用している EC2

    は Golden AMI 方式 ◦ パッチを当てるには AMI を作り直して Auto Scaling で入れ替え ◦ Ansible + Packer でコード管理

  9. CodeBuild を使った AMI 作成 • Before ◦ SRE が手動で Packer

    を実行して AMI を作成 ◦ AMI の種類が多いのですべて作り直すには時間がかかる ◦ 脆弱性が発見されると手分けしてやっていた…

  10. CodeBuild を使った AMI 作成 1 コマンドを 流すだけ 数に応じて並 列化 ref:

    https://blog.manabusakai.com/2017/07/create-ami-with-codebuild/

  11. CodeBuild を使った AMI 作成 • After ◦ 面倒で時間のかかる作業を完全に自動化 ◦ ビルドを並列化することで時間短縮

    ◦ 本番環境に迅速にパッチを適用できるようになった

  12. AWS WAF を使った攻撃の自動遮断 • Before ◦ DoS 攻撃やリスト型攻撃の検知が後手に回る ◦ 攻撃側の

    IP アドレスが頻繁に変わるので、 Security Group や Network ACL の遮断では限界がある ◦ 深夜や早朝など手薄な時間帯ができてしまう

  13. DoS 攻撃は 自動的に遮断 サーバの負荷 は上がらない AWS WAF を使った攻撃の自動遮断 ref: https://blog.manabusakai.com/2017/07/aws-waf-rate-based-rule/

  14. AWS WAF を使った攻撃の自動遮断 • After ◦ DoS 攻撃やリスト型攻撃を自動的に遮断できる ◦ 自動的に遮断してくれるので余裕を持って調査できる

    ◦ ALB で遮断するので Web サーバの負荷が上がらない

  15. まとめ • アイデア次第でセキュリティ強化も自動化できる時代 • freee の SRE はユーザーに本質的な価値を届けるために、 安心して使えるインフラ環境を目指しています!