Slide 1

Slide 1 text

AWS Configの⾃動修復機能 使ってみた JAWS-UG 福岡 #14 11度⽬はちょっと濃い⽬にAWS re:Inforce 2023を振り返ろう 2023.7.23 苑⽥朝彰 1

Slide 2

Slide 2 text

⾃⼰紹介 苑⽥ 朝彰 Sonoda Tomotada - ID - Github︓tomomj - Twitter︓@sonoda_mj - Work at - 株式会社 Fusic (フュージック) 技術開発第⼆部⾨所属 - ソフトウェアエンジニアリング - 新卒3年⽬ - Skill - AWS/React(Native)/Ruby on Rails 2

Slide 3

Slide 3 text

アジェンダ 3 l 背景 l AWS Config自動修復機能使ってみた l まとめ

Slide 4

Slide 4 text

01 背景

Slide 5

Slide 5 text

⾃⼰紹介 苑⽥ 朝彰 Sonoda Tomotada - ID - Github︓tomomj - Twitter︓@sonoda_mj - Work at - 株式会社 Fusic (フュージック) 技術開発第⼆部⾨所属 - ソフトウェアエンジニアリング - 新卒3年⽬ - Skill - AWS/React(Native)/Ruby on Rails 5 new!!

Slide 6

Slide 6 text

໰ʢΠϝʔδʣ ηΩϡϦςΟʔάϧʔϓͰ44)Λશղ์ʢʣ͍ͯ͠Δ৔߹ɺࣗಈͰແޮʹ͠ Ϣʔβʔʹ௨஌͍ͨ͠Ͱ͢ɻͲ͏͢Ε͹͍͍Ͱ͔͢ʁ "84$POGJHͰϧʔϧΛ࡞੒͠ɺͦͷҧ൓͕ݕग़͞Εͨͱ͖ʹࣗಈͰम෮͢ΔΞΫγ ϣϯΛઃఆ͢Δɻͦͯ͠ɺͦͷ݁ՌΛ"NB[PO4/4΍"84$IBUCPUΛ࢖ͬͯϢʔβ ʔʹ௨஌͢Δɻ

Slide 7

Slide 7 text

໰ʢΠϝʔδʣ ηΩϡϦςΟʔάϧʔϓͰ44)Λશղ์ʢʣ͍ͯ͠Δ৔߹ɺࣗಈͰແޮʹ͠ Ϣʔβʔʹ௨஌͍ͨ͠Ͱ͢ɻͲ͏͢Ε͹͍͍Ͱ͔͢ʁ "84$POGJHͰϧʔϧΛ࡞੒͠ɺͦͷҧ൓͕ݕग़͞Εͨͱ͖ʹࣗಈͰम෮͢ΔΞΫγ ϣϯΛઃఆ͢Δɻͦͯ͠ɺͦͷ݁ՌΛ"NB[PO4/4΍"84$IBUCPUΛ࢖ͬͯϢʔβ ʔʹ௨஌͢Δɻ

Slide 8

Slide 8 text

02 AWS Configの⾃動修復 機能使ってみた

Slide 9

Slide 9 text

AWS Configとは 9 AWS Config ͸ɺAWSɺΦϯϓϨϛεɺͦͷଞͷΫϥ΢υ্ͷϦιʔεͷઃఆͱؔ܎ ΛܧଓతʹධՁɺ؂ࠪ͢Δɻ 参考:https://aws.amazon.com/jp/config/ EC2(V1) EC2(V2) AWS Config 構成変更 記録 変更・更新

Slide 10

Slide 10 text

AWS Config マネージドルールとは ఆٛࡁΈͷΧελϚΠζՄೳͳϧʔϧͰ͋Γɺ"84Ϧιʔε͕ҰൠతͳϕετϓϥΫ ςΟεʹ४ڌ͍ͯ͠Δ͔Ͳ͏͔ΛධՁ͢ΔͨΊʹ"84$POGJHͰ࢖༻͢Δϧʔϧ 10 参考:https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/evaluate-config_use-managed-rules.html ྫʣ • 44)͕શ։์͞Ε͍ͯͳ͍͔ʢSFTUSJDUFETTIʣ • Ϣʔβʔͷଟཁૉೝূ .'" ͕༗ޮʹͳ͍ͬͯΔ͔Ͳ͏͔ʢJBNVTFSNGBFOBCMFEʣ • ҉߸Խ͕σϑΥϧτͰ༗ޮʹͳ͍ͬͯΔ͔Ͳ͏͔ʢFDFCTFODSZQUJPOCZEFGBVMUʣ

Slide 11

Slide 11 text

⾃動修復機能とは 11 "84$POGJH3VMFTͰධՁ͞Ε͍ͯΔඇ४ڌͷϦιʔεΛम෮Ͱ͖Δɻ ࣗಈͱखಈ͕͋Δɻ 参考:https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/remediation.html ルール設定 System manager Automation 修復 非準拠のEC2 AWS Config

Slide 12

Slide 12 text

構成図 12 ηΩϡϦςΟʔάϧʔϓͰ44)Λશղ์ʢʣ͍ͯ͠Δ৔߹ɺແޮʹͯ͠Ϣʔ βʔʹ௨஌͢Δ

Slide 13

Slide 13 text

構成図 13 SSHを全開放する

Slide 14

Slide 14 text

構成図 14 restricted-ssh(マネージドルール) SSHが全開放されているか確認する

Slide 15

Slide 15 text

構成図 15 AWS-DisablePublicAccessForSecurityGroup すべての IP アドレスに対して開かれている デフォルトの SSH ポートと RDP ポートを 無効にする。

Slide 16

Slide 16 text

構成図 16 SSHを無効にする

Slide 17

Slide 17 text

構成図 17 通知を送る

Slide 18

Slide 18 text

03 実際にやってみた

Slide 19

Slide 19 text

セキュリティグループのSSH全開放 19

Slide 20

Slide 20 text

AWS Configマネージドルールの設定 20

Slide 21

Slide 21 text

AWS Configマネージドルールの設定 21 AWS-DisablePublicAccessForSecurityGroup すべての IP アドレスに対して開かれている デフォルトの SSH ポートと RDP ポートを 無効にする。

Slide 22

Slide 22 text

動作確認 22

Slide 23

Slide 23 text

⾮準拠の確認 23

Slide 24

Slide 24 text

⾮準拠の確認 24 体感数分くらいで反映される

Slide 25

Slide 25 text

Eメールが⾶んでくる 25

Slide 26

Slide 26 text

04 まとめ

Slide 27

Slide 27 text

まとめ AWS Configの⾃動修復機能は実際に存在した Point 2 ⾃動で修復してくれるので、かなり便利で安全 27 Point 1

Slide 28

Slide 28 text

ご清聴いただきありがとうございました Thank You We are Hiring ! https://recruit.fusic.co.jp/