セキュリティ強化のための自動化 SRE-SET Automation Night

自己紹介 ● 坂井 学（さかい まなぶ） ● 2016 年に SRE エンジニアとして入社 ● 最近は Ruby / Go を書いています ● 得意分野は AWS ○ AWS 認定ソリューションアーキテクト - プロフェッショナル ○ AWS 認定 DevOps エンジニア - プロフェッショナル

自己紹介 Twitter / GitHub @manabusakai

スモールビジネスに携わる方が より創造的な活動にフォーカスできるよう

freee が提供するサービス ● 会計 freee ● 人事労務 freee ● 会社設立 freee ● 開業 freee ● マイナンバー管理 freee お金 人 人

“人やお金”に関わる情報漏洩は 絶対に起こしてはならない

そのためには… ● セキュリティパッチが出たらすぐに適用したい ○ 場合によっては 1 分 1 秒を争うがすぐに適用できる？ ● 外部からの怪しい攻撃は自動的に遮断したい ○ 攻撃されてから気づくことの方が多い？ 他にも様々なポイントがありますが今回は割愛します。

CodeBuild を使った AMI 作成 ● Context ○ freee で運用している EC2 は Golden AMI 方式 ○ パッチを当てるには AMI を作り直して Auto Scaling で入れ替え ○ Ansible + Packer でコード管理

CodeBuild を使った AMI 作成 ● Before ○ SRE が手動で Packer を実行して AMI を作成 ○ AMI の種類が多いのですべて作り直すには時間がかかる ○ 脆弱性が発見されると手分けしてやっていた…

CodeBuild を使った AMI 作成 1 コマンドを 流すだけ 数に応じて並 列化 ref: https://blog.manabusakai.com/2017/07/create-ami-with-codebuild/

CodeBuild を使った AMI 作成 ● After ○ 面倒で時間のかかる作業を完全に自動化 ○ ビルドを並列化することで時間短縮 ○ 本番環境に迅速にパッチを適用できるようになった

AWS WAF を使った攻撃の自動遮断 ● Before ○ DoS 攻撃やリスト型攻撃の検知が後手に回る ○ 攻撃側の IP アドレスが頻繁に変わるので、 Security Group や Network ACL の遮断では限界がある ○ 深夜や早朝など手薄な時間帯ができてしまう

DoS 攻撃は 自動的に遮断 サーバの負荷 は上がらない AWS WAF を使った攻撃の自動遮断 ref: https://blog.manabusakai.com/2017/07/aws-waf-rate-based-rule/

AWS WAF を使った攻撃の自動遮断 ● After ○ DoS 攻撃やリスト型攻撃を自動的に遮断できる ○ 自動的に遮断してくれるので余裕を持って調査できる ○ ALB で遮断するので Web サーバの負荷が上がらない

まとめ ● アイデア次第でセキュリティ強化も自動化できる時代 ● freee の SRE はユーザーに本質的な価値を届けるために、 安心して使えるインフラ環境を目指しています！