Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS re:Inforce recap 2019

AWS re:Inforce recap 2019

AWS re:Inforce 2019 re:Cap イベントで話したスライドです

https://awsreinforce2019recap.splashthat.com/

Masayoshi Mizutani

July 30, 2019
Tweet

More Decks by Masayoshi Mizutani

Other Decks in Technology

Transcript

  1. AWS re:Inforce recap
    クックパッド株式会社
    技術部セキュリティグループ
    水谷 正慶
    2019.7.30 (Tue)

    View Slide

  2. 自己紹介
    •水谷 正慶 (@m_mizutani)
    •クックパッド株式会社
    ‣ 技術部セキュリティグループ グループ長
    ‣ セキュリティ監視基盤の設計・構築・運用を主に担当
    •AWS歴
    ‣ 現職に転職した1年半程前から

    View Slide

  3. View Slide

  4. View Slide

  5. AWS re:Inforce 2019
    @Boston

    View Slide

  6. View Slide

  7. Security as Code

    View Slide

  8. View Slide

  9. セキュリティ設定の自動修復
    ‣ 設定の変更をCloudWatch Eventsで検出
    ‣ ルールに沿っていない設定変更を検出した場合、自動
    的に修復する
    ‣ 例:S3バケットの暗号化

    View Slide

  10. View Slide

  11. IAM ポリシー作成の自動化
    •IAMのポリシーは雑にFullAccessなどにしがち
    ‣ ちゃんと制限されたポリシーを作成するのは大変
    •解決策
    ‣ 開発環境などでFullAccessで動かす
    ‣ CloudTrailでどのAPIがどこから呼ばれたのかを集計する
    ‣ APIから必要な権限を導出して自動でポリシーを作成する

    View Slide

  12. https://www.youtube.com/watch?v=w2FH12ZUgdY

    View Slide

  13. https://www.youtube.com/watch?v=w2FH12ZUgdY
    機械学習を使ったWAFルール更新
    •様々なデータソースから集めたログをS3に蓄積
    •定期的にSageMakerのジョブを実行して訓練
    •生成されたモデルを使ってWAFのblock対象を更新する

    View Slide

  14. Security as Codeの実現 by AWSサービス
    •自分たちの組織・ビジネスに必要な機能をマネージ
    ド・サービスの組み合わせで実現
    ‣ 組み合わせ次第と発想次第で様々な機能を実現
    ‣ セキュリティにまつわる仕事を自動化
    ‣ 開発やサービス提供の省力化・サポートを実現

    View Slide

  15. クックパッドでの事例

    View Slide

  16. セキュリティログの変換と転送
    •Lambdaでログのフォーマットを変換+Graylogへ転送

    View Slide

  17. セキュリティログの変換と転送
    •Lambdaでログのフォーマットを変換+Graylogへ転送
    •1日あたり約3億件のログを処理
    •料金は1日あたり約 $1.6
    •SNS 〜 Lambdaで転送するまで
    •内訳:Lambda $1 + Kinesis Data Stream $0.6
    •Kinesis Data Streamを挟むことで障害時のリトライが容易に
    •Lambdaの同時起動数限界までスケールアウト可能(通常は10
    ぐらい)

    View Slide

  18. AWS Security Hub のインテグレーション
    •Security Hub の Findings を S3 にエクスポート
    IUUQTHJUIVCDPNNNJ[VUBOJBXTTFDVSJUZIVCFYQPSUFS

    View Slide

  19. AWS Security Hub のインテグレーション
    IUUQTHJUIVCDPNNNJ[VUBOJBXTTFDVSJUZIVCFYQPSUFS
    •Lambdaで取得する際に少し長めの期間を指定して
    Findingsを取得
    •S3を挟むことでバックアップ 兼 冪等に処理可能
    •AWSで(今後サポートしてほしい)まだできていない
    機能も実現できる

    View Slide

  20. セキュリティアラートの自動分析
    •アラート発生時に分析・対応を
    サポートしてくれるフレーム
    ワーク
    ‣ 出現したIPアドレス、ドメイン
    名、ユーザの調査
    ‣ 調査した結果をもとにリスクを
    自動判定
    ‣ 判定結果を元に通知や対応

    View Slide

  21. セキュリティアラートの自動分析
    •アラート発生時に分析・対応を
    サポートしてくれるフレーム
    ワーク
    ‣ 出現したIPアドレス、ドメイン
    名、ユーザの調査
    ‣ 調査した結果をもとにリスクを
    自動判定
    ‣ 判定結果を元に通知や対応
    •実行部分がすべてLambdaでスケールアウト可能
    •Pluggableな機能拡張
    •1日1000件アラートが発生した場合、コストは約 $0.3/日
    •詳しくは後日弊社技術ブログで公開予定
    •https://techlife.cookpad.com/

    View Slide

  22. View Slide