Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Security JAWS #6

Security JAWS #6

95380c99a4842dc9bb89828f63c83ce4?s=128

Nobuhiro Makita

August 24, 2017
Tweet

Transcript

  1. None
  2. • 名前 • 牧⽥ 延⼤ • 所属 • F5ネットワークスジャパン •

    SEマネージャー (エンタープライズSE および パートナーSE) • 略歴 • ⾦融系インフラSE • R&D、プログラマ(HDLC, PPP, 802.1x, RADIUS, SOAP, HTTP,..) • プリセールス
  3. None
  4. はヒネって

  5. セキュアなS3アクセス

  6. None
  7. • • Private Subnet Public Subnet Internet gateway Amazon S3

    bucket NAT App Internet
  8. 2015. 春

  9. None
  10. • • Private Subnet Amazon S3 bucket endpoints App

  11. 2017. 夏

  12. • • • • • •

  13. • • Private Subnet Public Subnet Internet gateway Amazon S3

    bucket App Internet BIG-IP eth2 eth1
  14. • • • • • • • • • •

  15. • meets

  16. • • HTTP リクエスト Internet Amazon S3 iRules (TCL) iRulesLX

    (node.js) API call RPC HTTP リクエスト
  17. Internet gateway Public Subnet Amazon S3 bucket Internet App BIG-IP

    Private Subnet http://bigip.local/s3buket/document.pdf IAM S3 pre-sign url request AWSAccessKeyId=IAMAccessKEY &Expires=1234567890&Signatur e=XXXXXXXXXXXX https://s3.amazonaws.com/s3buket/document.pdf? AWSAccessKeyId=IAMAccessKEY&Expires=1234567 890&Signature=XXXXXXXXXXXX PDF インターナルなURLに HTTPアクセス(署名なし) IAMユーザで時限署名 URLをリクエスト 署名付きURLを発⾏ HTTPSで、S3のFQDNに、 署名付きURLでアクセス バケットからドキュメント をレスポンス
  18. • • • • • • • • • •

  19. ちょっとデモ

  20. • • • NAT VPC エンドポイント BIG-IP IAM認証& pre-signed URL

    ▲ アプリで実装 ▲ アプリで実装 • BIG-IPで巻取り 経路の暗号化 ▲ アプリで実装考慮 • 閉域接続 • HTTPS対応 APIセキュリティ ▲ 別途考慮 ▲ 別途考慮 • WAFあり パフォーマンス ▲ 考慮が必要 • 基本的に考慮不要 • キャッシュあり 値段 • 安い • 安い ▲ ちょい⾼い
  21. F5 アップデート

  22. 写真撮影無しでお願います (◍•ᴗ•◍)♡ ✧*。オネガイ

  23. New • •

  24. • • Elastic Load Balancer App App App App Elastic

    Load Balancer Amazon CloudWatch Amazon SNS Amazon S3 Elastic Load Balancer App App App App Amazon CloudWatch Amazon SNS Amazon S3 エンハンス New Availability Zone Availability Zone Auto Scaling group Auto Scaling group Availability Zone Availability Zone Auto Scaling group Auto Scaling group
  25. None
  26. None