Slide 1

Slide 1 text

セキュリティ強化のための自動化 SRE-SET Automation Night

Slide 2

Slide 2 text

自己紹介 ● 坂井 学(さかい まなぶ) ● 2016 年に SRE エンジニアとして入社 ● 最近は Ruby / Go を書いています ● 得意分野は AWS ○ AWS 認定ソリューションアーキテクト - プロフェッショナル ○ AWS 認定 DevOps エンジニア - プロフェッショナル

Slide 3

Slide 3 text

自己紹介 Twitter / GitHub @manabusakai

Slide 4

Slide 4 text

スモールビジネスに携わる方が より創造的な活動にフォーカスできるよう

Slide 5

Slide 5 text

freee が提供するサービス ● 会計 freee ● 人事労務 freee ● 会社設立 freee ● 開業 freee ● マイナンバー管理 freee お金 人 人

Slide 6

Slide 6 text

“人やお金”に関わる情報漏洩は 絶対に起こしてはならない

Slide 7

Slide 7 text

そのためには… ● セキュリティパッチが出たらすぐに適用したい ○ 場合によっては 1 分 1 秒を争うがすぐに適用できる? ● 外部からの怪しい攻撃は自動的に遮断したい ○ 攻撃されてから気づくことの方が多い? 他にも様々なポイントがありますが今回は割愛します。

Slide 8

Slide 8 text

CodeBuild を使った AMI 作成 ● Context ○ freee で運用している EC2 は Golden AMI 方式 ○ パッチを当てるには AMI を作り直して Auto Scaling で入れ替え ○ Ansible + Packer でコード管理

Slide 9

Slide 9 text

CodeBuild を使った AMI 作成 ● Before ○ SRE が手動で Packer を実行して AMI を作成 ○ AMI の種類が多いのですべて作り直すには時間がかかる ○ 脆弱性が発見されると手分けしてやっていた…

Slide 10

Slide 10 text

CodeBuild を使った AMI 作成 1 コマンドを 流すだけ 数に応じて並 列化 ref: https://blog.manabusakai.com/2017/07/create-ami-with-codebuild/

Slide 11

Slide 11 text

CodeBuild を使った AMI 作成 ● After ○ 面倒で時間のかかる作業を完全に自動化 ○ ビルドを並列化することで時間短縮 ○ 本番環境に迅速にパッチを適用できるようになった

Slide 12

Slide 12 text

AWS WAF を使った攻撃の自動遮断 ● Before ○ DoS 攻撃やリスト型攻撃の検知が後手に回る ○ 攻撃側の IP アドレスが頻繁に変わるので、 Security Group や Network ACL の遮断では限界がある ○ 深夜や早朝など手薄な時間帯ができてしまう

Slide 13

Slide 13 text

DoS 攻撃は 自動的に遮断 サーバの負荷 は上がらない AWS WAF を使った攻撃の自動遮断 ref: https://blog.manabusakai.com/2017/07/aws-waf-rate-based-rule/

Slide 14

Slide 14 text

AWS WAF を使った攻撃の自動遮断 ● After ○ DoS 攻撃やリスト型攻撃を自動的に遮断できる ○ 自動的に遮断してくれるので余裕を持って調査できる ○ ALB で遮断するので Web サーバの負荷が上がらない

Slide 15

Slide 15 text

まとめ ● アイデア次第でセキュリティ強化も自動化できる時代 ● freee の SRE はユーザーに本質的な価値を届けるために、 安心して使えるインフラ環境を目指しています!