Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュリティ強化のための自動化 / security-automation

Avatar for Manabu Sakai Manabu Sakai
December 12, 2017
Technology
3
12k

セキュリティ強化のための自動化 / security-automation

SRE-SET Automation Night

Avatar for Manabu Sakai

Manabu Sakai

December 12, 2017
Tweet

More Decks by Manabu Sakai

See All by Manabu Sakai
アウトプットが切り拓いた自分のエンジニア人生 / Infra Study 2nd #8
Avatar for Manabu Sakai manabusakai
0
29k
GitHub Actions の self-hosted runner と Amazon EKS を使った Docker のビルドパイプライン / secure-docker-build-pipeline
Avatar for Manabu Sakai manabusakai
0
2.2k
SaaS における EKS のシングルテナントクラスタ戦略とスポットインスタンス活用術 / EKS single-tenant cluster strategy and Spot Instances
Avatar for Manabu Sakai manabusakai
0
7.9k
freee のエンジニアは障害から何を学び、どう改善しているのか? / What do freee engineers learn and improve from failures?
Avatar for Manabu Sakai manabusakai
8
20k
我々は Kubernetes の何を監視すればいいのか? / CloudNative Days Kansai 2019
Avatar for Manabu Sakai manabusakai
25
8.9k
CI/CD パイプラインを最速で組み立てるための 4 つのポイント / Four points to assemble the CI CD pipeline fastest
Avatar for Manabu Sakai manabusakai
9
3.8k
Kubernetes を使ってエンジニア組織の生産性を上げよう / kubernetes-and-engineer-productivity
Avatar for Manabu Sakai manabusakai
3
7.7k
freee のマイクロサービスを K8s + Go で組む! 短期プロジェクト成功の記録 / microservices-using-k8s-and-go
Avatar for Manabu Sakai manabusakai
4
11k
Kubernetes 入門者が 3 か月で本番導入するためにやったこと / kubernetes-beginner
Avatar for Manabu Sakai manabusakai
7
15k

Other Decks in Technology

See All in Technology
みんなだいすきALB、NLBの 仕組みから最新機能まで総おさらい / Mastering ALB & NLB: Internal Mechanics and Latest Innovations
Avatar for 株式会社カミナシ kaminashi
0
170
ZOZOにおけるAI活用の現在 ~開発組織全体での取り組みと試行錯誤~
Avatar for ZOZO Developers zozotech
PRO
3
2.1k
MySQLのJSON機能の活用術
Avatar for mikoma ikomachi226
0
130
エンジニアとマネジメントの距離/Engineering and Management
Avatar for 小田中育生 ikuodanaka
3
700
All About Sansan – for New Global Engineers
Avatar for Sansan, Inc. sansan33
PRO
1
1.3k
【インシデント入門】サイバー攻撃を受けた現場って何してるの?
Avatar for Shumei Ito shumei_ito
0
1.3k
予期せぬコストの急増を障害のように扱う――「コスト版ポストモーテム」の導入とその後の改善
Avatar for Masahiro Yoshizawa muziyoshiz
0
500
15 years with Rails and DDD (AI Edition)
Avatar for Andrzej Krzywda andrzejkrzywda
0
130
全員が「作り手」になる。職能の壁を溶かすプロトタイプ開発。
Avatar for hokuto hokuo
1
660
AI時代、1年目エンジニアの悩み
Avatar for JINYOUNG KIM jin4
1
130
ドキュメントからはじめる未来のソフトウェア
Avatar for PKSHA Technology pkshadeck
5
2.2k
AIと新時代を切り拓く。これからのSREとメルカリIBISの挑戦
Avatar for ktykogm 0gm
0
440

Featured

See All Featured
Avoiding the “Bad Training, Faster” Trap in the Age of AI
Avatar for Mike Taylor tmiket
0
67
Optimizing for Happiness
Avatar for Tom Preston-Werner mojombo
379
71k
Measuring Dark Social's Impact On Conversion and Attribution
Avatar for Stephen Akadiri stephenakadiri
1
110
DBのスキルで生き残る技術 - AI時代におけるテーブル設計の勘所
Avatar for soudai sone soudai
PRO
61
49k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
55
3.2k
Bridging the Design Gap: How Collaborative Modelling removes blockers to flow between stakeholders and teams @FastFlow conf
Avatar for Kenny Baas-Schwegler baasie
0
440
Conquering PDFs: document understanding beyond plain text
Avatar for Ines Montani inesmontani
PRO
4
2.3k
Fireside Chat
Avatar for paigeccino paigeccino
41
3.8k
Building Experiences: Design Systems, User Experience, and Full Site Editing
Avatar for Michelle Schulp Hunt marktimemedia
0
400
Navigating Weather and Climate Data
Avatar for Ryan Abernathey rabernat
0
85
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
Avatar for Sara Fernández Carmona sarafernandez
0
110
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
32
2k

Transcript

  1. セキュリティ強化のための自動化 SRE-SET Automation Night

  2. 自己紹介 • 坂井 学(さかい まなぶ) • 2016 年に SRE エンジニアとして入社

    • 最近は Ruby / Go を書いています • 得意分野は AWS ◦ AWS 認定ソリューションアーキテクト - プロフェッショナル ◦ AWS 認定 DevOps エンジニア - プロフェッショナル

  3. 自己紹介 Twitter / GitHub @manabusakai

  4. スモールビジネスに携わる方が より創造的な活動にフォーカスできるよう

  5. freee が提供するサービス • 会計 freee • 人事労務 freee • 会社設立

    freee • 開業 freee • マイナンバー管理 freee お金 人 人

  6. “人やお金”に関わる情報漏洩は 絶対に起こしてはならない

  7. そのためには… • セキュリティパッチが出たらすぐに適用したい ◦ 場合によっては 1 分 1 秒を争うがすぐに適用できる? •

    外部からの怪しい攻撃は自動的に遮断したい ◦ 攻撃されてから気づくことの方が多い? 他にも様々なポイントがありますが今回は割愛します。

  8. CodeBuild を使った AMI 作成 • Context ◦ freee で運用している EC2

    は Golden AMI 方式 ◦ パッチを当てるには AMI を作り直して Auto Scaling で入れ替え ◦ Ansible + Packer でコード管理

  9. CodeBuild を使った AMI 作成 • Before ◦ SRE が手動で Packer

    を実行して AMI を作成 ◦ AMI の種類が多いのですべて作り直すには時間がかかる ◦ 脆弱性が発見されると手分けしてやっていた…

  10. CodeBuild を使った AMI 作成 1 コマンドを 流すだけ 数に応じて並 列化 ref:

    https://blog.manabusakai.com/2017/07/create-ami-with-codebuild/

  11. CodeBuild を使った AMI 作成 • After ◦ 面倒で時間のかかる作業を完全に自動化 ◦ ビルドを並列化することで時間短縮

    ◦ 本番環境に迅速にパッチを適用できるようになった

  12. AWS WAF を使った攻撃の自動遮断 • Before ◦ DoS 攻撃やリスト型攻撃の検知が後手に回る ◦ 攻撃側の

    IP アドレスが頻繁に変わるので、 Security Group や Network ACL の遮断では限界がある ◦ 深夜や早朝など手薄な時間帯ができてしまう

  13. DoS 攻撃は 自動的に遮断 サーバの負荷 は上がらない AWS WAF を使った攻撃の自動遮断 ref: https://blog.manabusakai.com/2017/07/aws-waf-rate-based-rule/

  14. AWS WAF を使った攻撃の自動遮断 • After ◦ DoS 攻撃やリスト型攻撃を自動的に遮断できる ◦ 自動的に遮断してくれるので余裕を持って調査できる

    ◦ ALB で遮断するので Web サーバの負荷が上がらない

  15. まとめ • アイデア次第でセキュリティ強化も自動化できる時代 • freee の SRE はユーザーに本質的な価値を届けるために、 安心して使えるインフラ環境を目指しています!