AWS Configの自動修復機能使ってみた

AWS Configの⾃動修復機能使ってみた JAWS-UG 福岡 #14 11度⽬はちょっと濃い⽬にAWS re:Inforce 2023を振り返ろう 2023.7.23
苑⽥朝彰 1

⾃⼰紹介苑⽥朝彰 Sonoda Tomotada - ID - Github︓tomomj -
Twitter︓@sonoda_mj - Work at - 株式会社 Fusic （フュージック）技術開発第⼆部⾨所属 - ソフトウェアエンジニアリング - 新卒3年⽬ - Skill - AWS／React(Native)／Ruby on Rails 2

アジェンダ 3 l 背景 l AWS Config自動修復機能使ってみた l まとめ

01 背景

⾃⼰紹介苑⽥朝彰 Sonoda Tomotada - ID - Github︓tomomj -
Twitter︓@sonoda_mj - Work at - 株式会社 Fusic （フュージック）技術開発第⼆部⾨所属 - ソフトウェアエンジニアリング - 新卒3年⽬ - Skill - AWS／React(Native)／Ruby on Rails 5 new!!

໰ʢΠϝʔδʣ ηΩϡϦςΟʔάϧʔϓͰ44)Λશղ์ʢʣ͍ͯ͠Δ৔߹ɺࣗಈͰແޮʹ͠ Ϣʔβʔʹ௨஌͍ͨ͠Ͱ͢ɻͲ͏͢Ε͹͍͍Ͱ͔͢ʁ "84$POGJHͰϧʔϧΛ࡞੒͠ɺͦͷҧ൓͕ݕग़͞Εͨͱ͖ʹࣗಈͰम෮͢ΔΞΫγ ϣϯΛઃఆ͢Δɻͦͯ͠ɺͦͷ݁ՌΛ"NB[PO4/4΍"84$IBUCPUΛ࢖ͬͯϢʔβ ʔʹ௨஌͢Δɻ

02 AWS Configの⾃動修復機能使ってみた

AWS Configとは 9 AWS Config ͸ɺAWSɺΦϯϓϨϛεɺͦͷଞͷΫϥ΢υ্ͷϦιʔεͷઃఆͱؔ܎ ΛܧଓతʹධՁɺ؂ࠪ͢Δɻ 参考：https://aws.amazon.com/jp/config/ EC2(V1) EC2(V2)
AWS Config 構成変更記録変更・更新

AWS Config マネージドルールとは ఆٛࡁΈͷΧελϚΠζՄೳͳϧʔϧͰ͋Γɺ"84Ϧιʔε͕ҰൠతͳϕετϓϥΫ ςΟεʹ४ڌ͍ͯ͠Δ͔Ͳ͏͔ΛධՁ͢ΔͨΊʹ"84$POGJHͰ࢖༻͢Δϧʔϧ 10 参考：https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/evaluate-config_use-managed-rules.html ྫʣ • 44)͕શ։์͞Ε͍ͯͳ͍͔ʢSFTUSJDUFETTIʣ
• Ϣʔβʔͷଟཁૉೝূ .'" ͕༗ޮʹͳ͍ͬͯΔ͔Ͳ͏͔ʢJBNVTFSNGBFOBCMFEʣ • &#4҉߸Խ͕σϑΥϧτͰ༗ޮʹͳ͍ͬͯΔ͔Ͳ͏͔ʢFDFCTFODSZQUJPOCZEFGBVMUʣ

⾃動修復機能とは 11 "84$POGJH3VMFTͰධՁ͞Ε͍ͯΔඇ४ڌͷϦιʔεΛम෮Ͱ͖Δɻ ࣗಈͱखಈ͕͋Δɻ 参考：https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/remediation.html ルール設定 System manager Automation 修復
非準拠のEC2 AWS Config

構成図 12 ηΩϡϦςΟʔάϧʔϓͰ44)Λશղ์ʢʣ͍ͯ͠Δ৔߹ɺແޮʹͯ͠Ϣʔ βʔʹ௨஌͢Δ

構成図 13 SSHを全開放する

構成図 14 restricted-ssh（マネージドルール） SSHが全開放されているか確認する

構成図 15 AWS-DisablePublicAccessForSecurityGroup すべての IP アドレスに対して開かれているデフォルトの SSH ポートと RDP
ポートを無効にする。

構成図 16 SSHを無効にする

構成図 17 通知を送る

03 実際にやってみた

セキュリティグループのSSH全開放 19

AWS Configマネージドルールの設定 20

AWS Configマネージドルールの設定 21 AWS-DisablePublicAccessForSecurityGroup すべての IP アドレスに対して開かれているデフォルトの SSH ポートと
RDP ポートを無効にする。

動作確認 22

⾮準拠の確認 23

⾮準拠の確認 24 体感数分くらいで反映される

Eメールが⾶んでくる 25

04 まとめ

まとめ AWS Configの⾃動修復機能は実際に存在した Point 2 ⾃動で修復してくれるので、かなり便利で安全 27 Point 1

ご清聴いただきありがとうございました Thank You We are Hiring ! https://recruit.fusic.co.jp/

AWS Configの自動修復機能使ってみた

AWS Configの自動修復機能使ってみた

そのだ

More Decks by そのだ

Other Decks in Technology

Featured

Transcript

AWS Configの⾃動修復機能使ってみた JAWS-UG 福岡 #14 11度⽬はちょっと濃い⽬にAWS re:Inforce 2023を振り返ろう 2023.7.23

⾃⼰紹介苑⽥朝彰 Sonoda Tomotada - ID - Github︓tomomj -

アジェンダ 3 l 背景 l AWS Config自動修復機能使ってみた l まとめ

01 背景

⾃⼰紹介苑⽥朝彰 Sonoda Tomotada - ID - Github︓tomomj -

02 AWS Configの⾃動修復機能使ってみた

AWS Configとは 9 AWS Config ͸ɺAWSɺΦϯϓϨϛεɺͦͷଞͷΫϥ΢υ্ͷϦιʔεͷઃఆͱؔ܎ ΛܧଓతʹධՁɺ؂ࠪ͢Δɻ 参考：https://aws.amazon.com/jp/config/ EC2(V1) EC2(V2)

⾃動修復機能とは 11 "84$POGJH3VMFTͰධՁ͞Ε͍ͯΔඇ४ڌͷϦιʔεΛम෮Ͱ͖Δɻ ࣗಈͱखಈ͕͋Δɻ 参考：https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/remediation.html ルール設定 System manager Automation 修復

構成図 12 ηΩϡϦςΟʔάϧʔϓͰ44)Λશղ์ʢʣ͍ͯ͠Δ৔߹ɺແޮʹͯ͠Ϣʔ βʔʹ௨஌͢Δ

構成図 13 SSHを全開放する

構成図 14 restricted-ssh（マネージドルール） SSHが全開放されているか確認する

構成図 15 AWS-DisablePublicAccessForSecurityGroup すべての IP アドレスに対して開かれているデフォルトの SSH ポートと RDP

構成図 16 SSHを無効にする

構成図 17 通知を送る

03 実際にやってみた

セキュリティグループのSSH全開放 19

AWS Configマネージドルールの設定 20

AWS Configマネージドルールの設定 21 AWS-DisablePublicAccessForSecurityGroup すべての IP アドレスに対して開かれているデフォルトの SSH ポートと

動作確認 22

⾮準拠の確認 23

⾮準拠の確認 24 体感数分くらいで反映される

Eメールが⾶んでくる 25

04 まとめ

まとめ AWS Configの⾃動修復機能は実際に存在した Point 2 ⾃動で修復してくれるので、かなり便利で安全 27 Point 1

ご清聴いただきありがとうございました Thank You We are Hiring ! https://recruit.fusic.co.jp/