Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
セキュリティパッチを支える サーバ家畜化技術の紹介
Search
takuya542
April 25, 2018
Programming
1
1.5k
セキュリティパッチを支える サーバ家畜化技術の紹介
DevOpsDays Tokyo 2018登壇資料です。
セキュリティパッチを継続的に適用するためのパブリッククラウド前提のアーキテクチャ実例についてです。
takuya542
April 25, 2018
Tweet
Share
More Decks by takuya542
See All by takuya542
爆速成長を続けるタイミーを支える システム基板とAWSの関係
takuya542
0
120
タイミーを支えるプラットフォームエンジニアリング・成果指標設計から考える組織作り事例の紹介
takuya542
1
3k
Security / AuditabilityをSREチームの成果指標に加えた話
takuya542
0
1.7k
Webサービスの品質とは何か?アラート地獄と監視の失敗、サービスレベル目標設計 から学んだ3つの答え
takuya542
5
7.4k
継続的な脆弱性検知とパッチマネジメント手法の紹介
takuya542
0
2.7k
継続的な脆弱性検知とパッチマネジメント手法の紹介
takuya542
0
830
技術エントロピー増大との戦い。エウレカSREチームの事例
takuya542
0
170
投稿監視マイクロサービスの継続的なデプロイと構成変更の実現手段の紹介
takuya542
0
600
pairsのプロビジョニング要件とInfrastructure as Code実例
takuya542
0
420
Other Decks in Programming
See All in Programming
Subclassing, Composition, Python, and You
hynek
3
170
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
10
1.5k
DevFest Android in Korea 2024 - 안드로이드의 문단속 : 앱을 지키는 암호화 이야기
mdb1217
1
160
Pythonによるイベントソーシングへの挑戦と現状に対する考察 / Challenging Event Sourcing with Python and Reflections on the Current State
nrslib
3
1.3k
モジュラモノリス、その前に / Modular monolith, before that
euglena1215
6
710
実践Dash - 手を抜きながら本気で作るデータApplicationの基本と応用 / Dash for Python and Baseball
shinyorke
2
570
[PHPカンファレンス沖縄2024]「無理なくできるだけ安全に」テストもないレガシーコードをリファクタリングするテクニック
ikezoemakoto
3
130
現場から考えるソフトウェアエンジニアリングの価値と実験
nomuson
1
130
VS Code extension: ドラッグ&ドロップでファイルを並び替える
ttrace
0
170
学生の時に開催したPerl入学式をきっかけにエンジニアが組織に馴染むために勉強会を主催や仲間と参加して職能間の境界を越えていく
ohmori_yusuke
1
140
Why I Choose NetBeans for Jakarta EE
ivargrimstad
0
230
Re:PandasAI:生成AIがデータ分析業務にもたらすパラダイムシフト【増補改訂版】
negi111111
1
1.1k
Featured
See All Featured
The Invisible Side of Design
smashingmag
297
50k
What the flash - Photography Introduction
edds
67
11k
Become a Pro
speakerdeck
PRO
24
4.9k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
39
2.1k
Designing on Purpose - Digital PM Summit 2013
jponch
114
6.9k
A Philosophy of Restraint
colly
203
16k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
4
120
A Tale of Four Properties
chriscoyier
156
22k
Into the Great Unknown - MozCon
thekraken
31
1.4k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
355
29k
Side Projects
sachag
452
42k
Making Projects Easy
brettharned
115
5.9k
Transcript
Copyright © 2009-2018 eureka, inc. All rights reserved. Takuya Onda
/ eureka, Inc. 2018-04-25 DevOpsDays Tokyo ηΩϡϦςΟύονΛࢧ͑Δ αʔόՈசԽٕज़ͷհ
Introduction ▪ Takuya Onda – eureka, Inc. – SRE team
Head
CONFIDENTIAL
None
About Us - IAC/Match Group
Agenda ▪ 1.ܧଓతͳ੬ऑੑஅख๏ͷհ ▪ 2.੬ऑੑରԠͷৗԽͷઓ ▪ 3.αʔόՈசԽͷ࣮ફͱϕετϓϥΫςΟε ▪ 4.·ͱΊ
ܧଓతͳ੬ऑੑஅख๏ͷհ
લఏ ▪ ੬ऑੑஅͷతձࣾϦεΫͷՄࢹԽ – ϗετܕஅͰΘ͔Δ੬ऑੑϦεΫͷ΄ΜͷҰଆ໘ ▪ ηΩϡϦςΟରԠʹۜͷؙͳ͍ – ܧଓతͳऔΓΈ͕େࣄ
AWS Inspector x Lambda x CloudWatchʹΑΔఆظஅ Role : API Env
: Prod Is_target : True εέδϡʔϧ ࣗಈൃՐ Ansible Golden AMI Packer Lambda Inspector ධՁ࣮ߦ Apply
அ݁ՌͱϨϏϡʔ & ରԠαΠΫϧ Inspector அ݁Ռ ରԠ༗ແͷ அ νʔϜόοΫϩά मਖ਼ ணख
Patch & Build Apply Inspector அఆظ࣮ߦ CVEݕग़ Best Practiceҳ ϧʔϧύοέʔδ Golden AMI SRE
੬ऑੑରԠͷৗԽͷઓ
੬ऑੑஅͱରԠͷؒʹଘࡏ͢Δน ▪ அΧόϨοδΛߴΊΔ – அ—> ҙࢥܾఆ —> ࣮ߦ —> ࠶அͷαΠΫϧΛճ͢
– ҙࢥܾఆɿϦεΫͷݮ / อ༗ / ճආ / Ҡస ▪ ੬ऑੑରԠΛৗԽ͍ͨ͠ – ΕΔ >> |น| >> Մೳ > ෆՄೳ – ϦεΫͷՄࢹԽ —> ରԠͷϦʔυλΠϜΛݮΒ͍ͨ͠
੬ऑੑஅܗ֚Խͷಓ Inspector அ݁Ռ ରԠ༗ແͷ அ νʔϜόοΫϩά मਖ਼ ணख Patch &
Build Apply Inspector அఆظ࣮ߦ ຊ൪ͷมߋ͕πϥΠͱ ୭ରԠ͠ͳ͘ͳΔ ରԠνέοτ͕ ͨͩͨͩੵ·Ε͍ͯ͘
αʔόՈசԽͷత ▪ ՔಇதͷγεςϜมߋΛՃ͑͘͢͢Δ – Deployͱಉ͡ɻૣ͘খࣦ͘͞ഊ͘͢͠ – ຊ൪ͷมߋΛৗԽ ▪ αʔόͷަੑΛߴ͘͠ɺଘ໋ظؒΛ͘͢Δ –
ަ > ܧ͗͠ – ImmutableͳServer Configuration
αʔόՈசԽͷ࣮ફͱϕετϓϥΫςΟε
Tips1:ਐతͳαʔόϩʔϧΞτ ▪ খ͘͞ࢼͤΕා͘ͳ͍ – ΧφϦΞαʔό / xx%ϦϦʔεͱখ͞ͳࣦഊ Patched AMI Update
LaunchConfig 1/xx ϦϦʔε
Tips2:ୀ࿏ͷ֬อ ▪ ͙͢ؾ͚ͮΔ & ͙ͤ͢Δ – SLOͷՄࢹԽͱΰʔϧσϯΠϝʔδͷόʔδϣχϯά Golden AMI’s Update
LaunchConfig Πϝʔδ͝ͱ Γ͠
Tips3:εςʔτϨεԽͱεέδϡʔϦϯά͞Εͨୀ ▪ αʔόϩʔςʔτͷखஈͱͯ͠ͷAuto Scaling – αʔόͷࣗಈୀ > ϫʔΫϩʔυͷௐ Scheduling Rotate
API Bastion
Tips4:࠶ݱੑͷߴ͍εςʔδϯάڥ ▪ ಉ͡ϓϩϏδϣχϯάϓϩηεͱٕज़ελοΫ – ݕূਫ਼ΛߴΊΔͨΊͷInfrastructure as Codeͷపఈ Production Staging Production
Capacity Less Capacity
Tips5:ϚωʔδυαʔϏεͷੵۃ׆༻ ▪ ঢ়ଶΛอͭαʔόަ͕େม – ڊਓ(AWS)ͷݞʹΔɻཧରΛݮΒ͢Ξϓϩʔν S3 Aurora Dynamo ElastiCache SQS
·ͱΊ
·ͱΊ ▪ ੬ऑੑஅΧόϨοδΛߴΊΔධՁࣗಈԽ – AWS Inspector x Lambda x CloudWatchʹΑΔఆظ࣮ߦ
▪ ੬ऑੑରԠΛৗԽ͢Δ – มߋΛՃ͍͑͢ΞʔΩςΫνϟ = αʔόՈசԽͷ࣮ફ ▪ αʔόՈசԽϕετϓϥΫςΟεͷհ – ࠶ݱੑ/ਐతϦϦʔε/ୀ࿏ͷ֬อ/ࣗಈୀ/Ϛωʔδυར༻
ͦͷଞ ▪ ੬ऑੑஅͷతձࣾϦεΫͷՄࢹԽ – ϗετܕஅͰΘ͔Δ੬ऑੑϦεΫͷ΄ΜͷҰଆ໘ ▪ ηΩϡϦςΟରԠʹۜͷؙͳ͍ – ܧଓతͳऔΓΈ͕େࣄ
CONFIDENTIAL Thank you :) Thank you :)
Any Questions??