Slide 1

Slide 1 text

AWS re:Inforce recap クックパッド株式会社 技術部セキュリティグループ 水谷 正慶 2019.7.30 (Tue)

Slide 2

Slide 2 text

自己紹介 •水谷 正慶 (@m_mizutani) •クックパッド株式会社 ‣ 技術部セキュリティグループ グループ長 ‣ セキュリティ監視基盤の設計・構築・運用を主に担当 •AWS歴 ‣ 現職に転職した1年半程前から

Slide 3

Slide 3 text

No content

Slide 4

Slide 4 text

No content

Slide 5

Slide 5 text

AWS re:Inforce 2019 @Boston

Slide 6

Slide 6 text

No content

Slide 7

Slide 7 text

Security as Code

Slide 8

Slide 8 text

No content

Slide 9

Slide 9 text

セキュリティ設定の自動修復 ‣ 設定の変更をCloudWatch Eventsで検出 ‣ ルールに沿っていない設定変更を検出した場合、自動 的に修復する ‣ 例:S3バケットの暗号化

Slide 10

Slide 10 text

No content

Slide 11

Slide 11 text

IAM ポリシー作成の自動化 •IAMのポリシーは雑にFullAccessなどにしがち ‣ ちゃんと制限されたポリシーを作成するのは大変 •解決策 ‣ 開発環境などでFullAccessで動かす ‣ CloudTrailでどのAPIがどこから呼ばれたのかを集計する ‣ APIから必要な権限を導出して自動でポリシーを作成する

Slide 12

Slide 12 text

https://www.youtube.com/watch?v=w2FH12ZUgdY

Slide 13

Slide 13 text

https://www.youtube.com/watch?v=w2FH12ZUgdY 機械学習を使ったWAFルール更新 •様々なデータソースから集めたログをS3に蓄積 •定期的にSageMakerのジョブを実行して訓練 •生成されたモデルを使ってWAFのblock対象を更新する

Slide 14

Slide 14 text

Security as Codeの実現 by AWSサービス •自分たちの組織・ビジネスに必要な機能をマネージ ド・サービスの組み合わせで実現 ‣ 組み合わせ次第と発想次第で様々な機能を実現 ‣ セキュリティにまつわる仕事を自動化 ‣ 開発やサービス提供の省力化・サポートを実現

Slide 15

Slide 15 text

クックパッドでの事例

Slide 16

Slide 16 text

セキュリティログの変換と転送 •Lambdaでログのフォーマットを変換+Graylogへ転送

Slide 17

Slide 17 text

セキュリティログの変換と転送 •Lambdaでログのフォーマットを変換+Graylogへ転送 •1日あたり約3億件のログを処理 •料金は1日あたり約 $1.6 •SNS 〜 Lambdaで転送するまで •内訳:Lambda $1 + Kinesis Data Stream $0.6 •Kinesis Data Streamを挟むことで障害時のリトライが容易に •Lambdaの同時起動数限界までスケールアウト可能(通常は10 ぐらい)

Slide 18

Slide 18 text

AWS Security Hub のインテグレーション •Security Hub の Findings を S3 にエクスポート IUUQTHJUIVCDPNNNJ[VUBOJBXTTFDVSJUZIVCFYQPSUFS

Slide 19

Slide 19 text

AWS Security Hub のインテグレーション IUUQTHJUIVCDPNNNJ[VUBOJBXTTFDVSJUZIVCFYQPSUFS •Lambdaで取得する際に少し長めの期間を指定して Findingsを取得 •S3を挟むことでバックアップ 兼 冪等に処理可能 •AWSで(今後サポートしてほしい)まだできていない 機能も実現できる

Slide 20

Slide 20 text

セキュリティアラートの自動分析 •アラート発生時に分析・対応を サポートしてくれるフレーム ワーク ‣ 出現したIPアドレス、ドメイン 名、ユーザの調査 ‣ 調査した結果をもとにリスクを 自動判定 ‣ 判定結果を元に通知や対応

Slide 21

Slide 21 text

セキュリティアラートの自動分析 •アラート発生時に分析・対応を サポートしてくれるフレーム ワーク ‣ 出現したIPアドレス、ドメイン 名、ユーザの調査 ‣ 調査した結果をもとにリスクを 自動判定 ‣ 判定結果を元に通知や対応 •実行部分がすべてLambdaでスケールアウト可能 •Pluggableな機能拡張 •1日1000件アラートが発生した場合、コストは約 $0.3/日 •詳しくは後日弊社技術ブログで公開予定 •https://techlife.cookpad.com/

Slide 22

Slide 22 text

No content