Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュリティパッチを支える サーバ家畜化技術の紹介

takuya542
April 25, 2018
Programming
1
1.5k

セキュリティパッチを支える サーバ家畜化技術の紹介

DevOpsDays Tokyo 2018登壇資料です。

セキュリティパッチを継続的に適用するためのパブリッククラウド前提のアーキテクチャ実例についてです。

takuya542

April 25, 2018
Tweet

More Decks by takuya542

See All by takuya542
爆速成長を続けるタイミーを支える システム基板とAWSの関係
takuya542
0
200
タイミーを支えるプラットフォームエンジニアリング・成果指標設計から考える組織作り事例の紹介
takuya542
1
3.5k
Security / AuditabilityをSREチームの成果指標に加えた話
takuya542
0
1.8k
Webサービスの品質とは何か?アラート地獄と監視の失敗、サービスレベル目標設計
から学んだ3つの答え
takuya542
5
7.6k
継続的な脆弱性検知とパッチマネジメント手法の紹介
takuya542
0
2.8k
継続的な脆弱性検知とパッチマネジメント手法の紹介
takuya542
0
850
技術エントロピー増大との戦い。エウレカSREチームの事例
takuya542
0
180
投稿監視マイクロサービスの継続的なデプロイと構成変更の実現手段の紹介
takuya542
0
610
pairsのプロビジョニング要件とInfrastructure as Code実例
takuya542
0
430

Other Decks in Programming

See All in Programming
ISUCON14感想戦で85万点まで頑張ってみた
ponyo877
1
600
PHPカンファレンス 2024|共創を加速するための若手の技術挑戦
weddingpark
0
140
生成AIでGitHubソースコード取得して仕様書を作成
shukob
0
630
どうして手を動かすよりもチーム内のコードレビューを優先するべきなのか
okashoi
3
880
CQRS+ES の力を使って効果を感じる / Feel the effects of using the power of CQRS+ES
seike460
PRO
0
240
いりゃあせ、PHPカンファレンス名古屋2025 / Welcome to PHP Conference Nagoya 2025
ttskch
1
190
良いユニットテストを書こう
mototakatsu
11
3.6k
Alba: Why, How and What's So Interesting
okuramasafumi
0
210
Асинхронность неизбежна: как мы проектировали сервис уведомлений
lamodatech
0
1.4k
為你自己學 Python
eddie
0
520
Stackless и stackful? Корутины и асинхронность в Go
lamodatech
0
1.3k
DevinとCursorから学ぶAIエージェントメモリーの設計とMoatの考え方
itarutomy
0
150

Featured

See All Featured
Agile that works and the tools we love
rasmusluckow
328
21k
Making Projects Easy
brettharned
116
6k
GraphQLの誤解/rethinking-graphql
sonatard
68
10k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
26
1.9k
The World Runs on Bad Software
bkeepers
PRO
66
11k
How to train your dragon (web standard)
notwaldorf
89
5.8k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
59k
Docker and Python
trallard
43
3.2k
Stop Working from a Prison Cell
hatefulcrawdad
267
20k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.2k
Rails Girls Zürich Keynote
gr2m
94
13k

Transcript

  1. Copyright © 2009-2018 eureka, inc. All rights reserved. Takuya Onda

    / eureka, Inc. 2018-04-25 DevOpsDays Tokyo ηΩϡϦςΟύονΛࢧ͑Δ αʔόՈசԽٕज़ͷ঺հ

  2. Introduction ▪ Takuya Onda – eureka, Inc. – SRE team

    Head

  3. CONFIDENTIAL

  4. None

  5. About Us - IAC/Match Group

  6. Agenda ▪ 1.ܧଓతͳ੬ऑੑ਍அख๏ͷ঺հ ▪ 2.੬ऑੑରԠͷ೔ৗԽ΁ͷ௅ઓ ▪ 3.αʔόՈசԽͷ࣮ફͱϕετϓϥΫςΟε ▪ 4.·ͱΊ

  7. ܧଓతͳ੬ऑੑ਍அख๏ͷ঺հ

  8. લఏ ▪ ੬ऑੑ਍அͷ໨త͸ձࣾϦεΫͷՄࢹԽ – ϗετܕ਍அͰΘ͔Δ੬ऑੑ͸ϦεΫͷ΄ΜͷҰଆ໘ ▪ ηΩϡϦςΟରԠʹۜͷ஄ؙ͸ͳ͍ – ܧଓతͳऔΓ૊Έ͕େࣄ

  9. AWS Inspector x Lambda x CloudWatchʹΑΔఆظ਍அ Role : API Env

    : Prod Is_target : True εέδϡʔϧ ࣗಈൃՐ Ansible Golden AMI Packer Lambda Inspector ධՁ࣮ߦ Apply

  10. ਍அ݁ՌͱϨϏϡʔ & ରԠαΠΫϧ Inspector ਍அ݁Ռ ରԠ༗ແͷ ൑அ νʔϜόοΫϩά΁ मਖ਼ ணख

    Patch & Build Apply Inspector
 ਍அఆظ࣮ߦ CVEݕग़ Best Practiceҳ୤ ϧʔϧύοέʔδ Golden AMI SRE

  11. ੬ऑੑରԠͷ೔ৗԽ΁ͷ௅ઓ

  12. ੬ऑੑ਍அͱରԠͷؒʹଘࡏ͢Δน ▪ ਍அΧόϨοδΛߴΊΔ – ਍அ—> ҙࢥܾఆ —> ࣮ߦ —> ࠶਍அͷαΠΫϧΛճ͢

    – ҙࢥܾఆɿϦεΫͷ௿ݮ / อ༗ / ճආ / Ҡస ▪ ੬ऑੑରԠΛ೔ৗԽ͍ͨ͠ – ΍ΕΔ >> |น| >> Մೳ > ෆՄೳ – ϦεΫͷՄࢹԽ —> ରԠͷϦʔυλΠϜΛݮΒ͍ͨ͠

  13. ੬ऑੑ਍அܗ֚Խ΁ͷಓ Inspector ਍அ݁Ռ ରԠ༗ແͷ ൑அ νʔϜόοΫϩά΁ मਖ਼ ணख Patch &

    Build Apply Inspector
 ਍அఆظ࣮ߦ ຊ൪΁ͷมߋ͕πϥΠͱ ୭΋ରԠ͠ͳ͘ͳΔ ରԠνέοτ͕ ͨͩͨͩੵ·Ε͍ͯ͘

  14. αʔόՈசԽͷ໨త ▪ ՔಇதͷγεςϜ΁มߋΛՃ͑΍͘͢͢Δ – Deployͱಉ͡ɻૣ͘খࣦ͘͞ഊ͠΍͘͢ – ຊ൪΁ͷมߋΛ೔ৗԽ ▪ αʔόͷަ׵ੑΛߴ͘͠ɺଘ໋ظؒΛ୹͘͢Δ –

    ަ׵ > ܧ͗଍͠ – ImmutableͳServer Configuration

  15. αʔόՈசԽͷ࣮ફͱϕετϓϥΫςΟε

  16. Tips1:઴ਐతͳαʔόϩʔϧΞ΢τ ▪ খ͘͞ࢼͤΕ͹ා͘ͳ͍ – ΧφϦΞαʔό / xx%ϦϦʔεͱখ͞ͳࣦഊ Patched AMI Update

    LaunchConfig 1/xx ϦϦʔε

  17. Tips2:ୀ࿏ͷ֬อ ▪ ͙͢ؾ͚ͮΔ & ͙͢໭ͤΔ – SLOͷՄࢹԽͱΰʔϧσϯΠϝʔδͷόʔδϣχϯά Golden AMI’s Update

    LaunchConfig Πϝʔδ͝ͱ
 ੾Γ໭͠

  18. Tips3:εςʔτϨεԽͱεέδϡʔϦϯά͞Εͨୀ໾ ▪ αʔόϩʔςʔτͷखஈͱͯ͠ͷAuto Scaling – αʔόͷࣗಈୀ໾ > ϫʔΫϩʔυͷௐ੔ Scheduling Rotate

    API Bastion

  19. Tips4:࠶ݱੑͷߴ͍εςʔδϯά؀ڥ ▪ ಉ͡ϓϩϏδϣχϯάϓϩηεͱٕज़ελοΫ – ݕূਫ਼౓ΛߴΊΔͨΊͷInfrastructure as Codeͷపఈ Production Staging Production


    Capacity Less
 Capacity

  20. Tips5:ϚωʔδυαʔϏεͷੵۃ׆༻ ▪ ঢ়ଶΛอͭαʔό͸ަ׵͕େม – ڊਓ(AWS)ͷݞʹ৐Δɻ؅ཧର৅ΛݮΒ͢Ξϓϩʔν S3 Aurora Dynamo ElastiCache SQS

  21. ·ͱΊ

  22. ·ͱΊ ▪ ੬ऑੑ਍அΧόϨοδΛߴΊΔධՁࣗಈԽ – AWS Inspector x Lambda x CloudWatchʹΑΔఆظ࣮ߦ

    ▪ ੬ऑੑରԠΛ೔ৗԽ͢Δ – มߋΛՃ͑΍͍͢ΞʔΩςΫνϟ = αʔόՈசԽͷ࣮ફ ▪ αʔόՈசԽϕετϓϥΫςΟεͷ঺հ – ࠶ݱੑ/઴ਐతϦϦʔε/ୀ࿏ͷ֬อ/ࣗಈୀ໾/Ϛωʔδυར༻

  23. ͦͷଞ ▪ ੬ऑੑ਍அͷ໨త͸ձࣾϦεΫͷՄࢹԽ – ϗετܕ਍அͰΘ͔Δ੬ऑੑ͸ϦεΫͷ΄ΜͷҰଆ໘ ▪ ηΩϡϦςΟରԠʹۜͷ஄ؙ͸ͳ͍ – ܧଓతͳऔΓ૊Έ͕େࣄ

  24. CONFIDENTIAL Thank you :) Thank you :)

  25. Any Questions??