セキュリティ強化のための自動化 / security-automation
by
Manabu Sakai
Link
Embed
Share
Beginning
This slide
Copy link URL
Copy link URL
Copy iframe embed code
Copy iframe embed code
Copy javascript embed code
Copy javascript embed code
Share
Tweet
Share
Tweet
Slide 1
Slide 1 text
セキュリティ強化のための自動化 SRE-SET Automation Night
Slide 2
Slide 2 text
自己紹介 ● 坂井 学(さかい まなぶ) ● 2016 年に SRE エンジニアとして入社 ● 最近は Ruby / Go を書いています ● 得意分野は AWS ○ AWS 認定ソリューションアーキテクト - プロフェッショナル ○ AWS 認定 DevOps エンジニア - プロフェッショナル
Slide 3
Slide 3 text
自己紹介 Twitter / GitHub @manabusakai
Slide 4
Slide 4 text
スモールビジネスに携わる方が より創造的な活動にフォーカスできるよう
Slide 5
Slide 5 text
freee が提供するサービス ● 会計 freee ● 人事労務 freee ● 会社設立 freee ● 開業 freee ● マイナンバー管理 freee お金 人 人
Slide 6
Slide 6 text
“人やお金”に関わる情報漏洩は 絶対に起こしてはならない
Slide 7
Slide 7 text
そのためには… ● セキュリティパッチが出たらすぐに適用したい ○ 場合によっては 1 分 1 秒を争うがすぐに適用できる? ● 外部からの怪しい攻撃は自動的に遮断したい ○ 攻撃されてから気づくことの方が多い? 他にも様々なポイントがありますが今回は割愛します。
Slide 8
Slide 8 text
CodeBuild を使った AMI 作成 ● Context ○ freee で運用している EC2 は Golden AMI 方式 ○ パッチを当てるには AMI を作り直して Auto Scaling で入れ替え ○ Ansible + Packer でコード管理
Slide 9
Slide 9 text
CodeBuild を使った AMI 作成 ● Before ○ SRE が手動で Packer を実行して AMI を作成 ○ AMI の種類が多いのですべて作り直すには時間がかかる ○ 脆弱性が発見されると手分けしてやっていた…
Slide 10
Slide 10 text
CodeBuild を使った AMI 作成 1 コマンドを 流すだけ 数に応じて並 列化 ref: https://blog.manabusakai.com/2017/07/create-ami-with-codebuild/
Slide 11
Slide 11 text
CodeBuild を使った AMI 作成 ● After ○ 面倒で時間のかかる作業を完全に自動化 ○ ビルドを並列化することで時間短縮 ○ 本番環境に迅速にパッチを適用できるようになった
Slide 12
Slide 12 text
AWS WAF を使った攻撃の自動遮断 ● Before ○ DoS 攻撃やリスト型攻撃の検知が後手に回る ○ 攻撃側の IP アドレスが頻繁に変わるので、 Security Group や Network ACL の遮断では限界がある ○ 深夜や早朝など手薄な時間帯ができてしまう
Slide 13
Slide 13 text
DoS 攻撃は 自動的に遮断 サーバの負荷 は上がらない AWS WAF を使った攻撃の自動遮断 ref: https://blog.manabusakai.com/2017/07/aws-waf-rate-based-rule/
Slide 14
Slide 14 text
AWS WAF を使った攻撃の自動遮断 ● After ○ DoS 攻撃やリスト型攻撃を自動的に遮断できる ○ 自動的に遮断してくれるので余裕を持って調査できる ○ ALB で遮断するので Web サーバの負荷が上がらない
Slide 15
Slide 15 text
まとめ ● アイデア次第でセキュリティ強化も自動化できる時代 ● freee の SRE はユーザーに本質的な価値を届けるために、 安心して使えるインフラ環境を目指しています!