Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュリティパッチを支える サーバ家畜化技術の紹介

takuya542
April 25, 2018
Programming
1
1.5k

セキュリティパッチを支える サーバ家畜化技術の紹介

DevOpsDays Tokyo 2018登壇資料です。

セキュリティパッチを継続的に適用するためのパブリッククラウド前提のアーキテクチャ実例についてです。

takuya542

April 25, 2018
Tweet

More Decks by takuya542

See All by takuya542
爆速成長を続けるタイミーを支える システム基板とAWSの関係
takuya542
0
240
タイミーを支えるプラットフォームエンジニアリング・成果指標設計から考える組織作り事例の紹介
takuya542
1
3.7k
Security / AuditabilityをSREチームの成果指標に加えた話
takuya542
0
1.8k
Webサービスの品質とは何か?アラート地獄と監視の失敗、サービスレベル目標設計
から学んだ3つの答え
takuya542
5
7.6k
継続的な脆弱性検知とパッチマネジメント手法の紹介
takuya542
0
2.8k
継続的な脆弱性検知とパッチマネジメント手法の紹介
takuya542
0
850
技術エントロピー増大との戦い。エウレカSREチームの事例
takuya542
0
190
投稿監視マイクロサービスの継続的なデプロイと構成変更の実現手段の紹介
takuya542
0
620
pairsのプロビジョニング要件とInfrastructure as Code実例
takuya542
0
430

Other Decks in Programming

See All in Programming
TCAを用いたAmebaのリアーキテクチャ
dazy
0
230
color-scheme: light dark; を完全に理解する
uhyo
7
510
JAWS Days 2025のインフラ
komakichi
1
350
未経験でSRE、はじめました! 組織を支える役割と軌跡
curekoshimizu
1
200
Google Cloudとo11yで実現するアプリケーション開発者主体のDB改善
nnaka2992
1
130
Rails 1.0 のコードで学ぶ find_by* と method_missing の仕組み / Learn how find_by_* and method_missing work in Rails 1.0 code
maimux2x
1
260
DRFを少しずつ オニオンアーキテクチャに寄せていく DjangoCongress JP 2025
nealle
2
300
読まないコードリーディング術
hisaju
0
120
iOSでQRコード生成奮闘記
ktcryomm
2
140
機能が複雑化しても 頼りになる FactoryBotの話
tamikof
1
250
Serverless Rust: Your Low-Risk Entry Point to Rust in Production (and the benefits are huge)
lmammino
1
170
メンテが命: PHPフレームワークのコンテナ化とアップグレード戦略
shunta27
0
320

Featured

See All Featured
Writing Fast Ruby
sferik
628
61k
Being A Developer After 40
akosma
89
590k
A Modern Web Designer's Workflow
chriscoyier
693
190k
A Tale of Four Properties
chriscoyier
158
23k
Building a Modern Day 
E-commerce SEO Strategy
aleyda
38
7.1k
Product Roadmaps are Hard
iamctodd
PRO
51
11k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
4
390
Typedesign – Prime Four
hannesfritz
41
2.5k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
11
540
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
45
9.4k
Designing Experiences People Love
moore
140
23k
Keith and Marios Guide to Fast Websites
keithpitt
411
22k

Transcript

  1. Copyright © 2009-2018 eureka, inc. All rights reserved. Takuya Onda

    / eureka, Inc. 2018-04-25 DevOpsDays Tokyo ηΩϡϦςΟύονΛࢧ͑Δ αʔόՈசԽٕज़ͷ঺հ

  2. Introduction ▪ Takuya Onda – eureka, Inc. – SRE team

    Head

  3. CONFIDENTIAL

  4. None

  5. About Us - IAC/Match Group

  6. Agenda ▪ 1.ܧଓతͳ੬ऑੑ਍அख๏ͷ঺հ ▪ 2.੬ऑੑରԠͷ೔ৗԽ΁ͷ௅ઓ ▪ 3.αʔόՈசԽͷ࣮ફͱϕετϓϥΫςΟε ▪ 4.·ͱΊ

  7. ܧଓతͳ੬ऑੑ਍அख๏ͷ঺հ

  8. લఏ ▪ ੬ऑੑ਍அͷ໨త͸ձࣾϦεΫͷՄࢹԽ – ϗετܕ਍அͰΘ͔Δ੬ऑੑ͸ϦεΫͷ΄ΜͷҰଆ໘ ▪ ηΩϡϦςΟରԠʹۜͷ஄ؙ͸ͳ͍ – ܧଓతͳऔΓ૊Έ͕େࣄ

  9. AWS Inspector x Lambda x CloudWatchʹΑΔఆظ਍அ Role : API Env

    : Prod Is_target : True εέδϡʔϧ ࣗಈൃՐ Ansible Golden AMI Packer Lambda Inspector ධՁ࣮ߦ Apply

  10. ਍அ݁ՌͱϨϏϡʔ & ରԠαΠΫϧ Inspector ਍அ݁Ռ ରԠ༗ແͷ ൑அ νʔϜόοΫϩά΁ मਖ਼ ணख

    Patch & Build Apply Inspector
 ਍அఆظ࣮ߦ CVEݕग़ Best Practiceҳ୤ ϧʔϧύοέʔδ Golden AMI SRE

  11. ੬ऑੑରԠͷ೔ৗԽ΁ͷ௅ઓ

  12. ੬ऑੑ਍அͱରԠͷؒʹଘࡏ͢Δน ▪ ਍அΧόϨοδΛߴΊΔ – ਍அ—> ҙࢥܾఆ —> ࣮ߦ —> ࠶਍அͷαΠΫϧΛճ͢

    – ҙࢥܾఆɿϦεΫͷ௿ݮ / อ༗ / ճආ / Ҡస ▪ ੬ऑੑରԠΛ೔ৗԽ͍ͨ͠ – ΍ΕΔ >> |น| >> Մೳ > ෆՄೳ – ϦεΫͷՄࢹԽ —> ରԠͷϦʔυλΠϜΛݮΒ͍ͨ͠

  13. ੬ऑੑ਍அܗ֚Խ΁ͷಓ Inspector ਍அ݁Ռ ରԠ༗ແͷ ൑அ νʔϜόοΫϩά΁ मਖ਼ ணख Patch &

    Build Apply Inspector
 ਍அఆظ࣮ߦ ຊ൪΁ͷมߋ͕πϥΠͱ ୭΋ରԠ͠ͳ͘ͳΔ ରԠνέοτ͕ ͨͩͨͩੵ·Ε͍ͯ͘

  14. αʔόՈசԽͷ໨త ▪ ՔಇதͷγεςϜ΁มߋΛՃ͑΍͘͢͢Δ – Deployͱಉ͡ɻૣ͘খࣦ͘͞ഊ͠΍͘͢ – ຊ൪΁ͷมߋΛ೔ৗԽ ▪ αʔόͷަ׵ੑΛߴ͘͠ɺଘ໋ظؒΛ୹͘͢Δ –

    ަ׵ > ܧ͗଍͠ – ImmutableͳServer Configuration

  15. αʔόՈசԽͷ࣮ફͱϕετϓϥΫςΟε

  16. Tips1:઴ਐతͳαʔόϩʔϧΞ΢τ ▪ খ͘͞ࢼͤΕ͹ා͘ͳ͍ – ΧφϦΞαʔό / xx%ϦϦʔεͱখ͞ͳࣦഊ Patched AMI Update

    LaunchConfig 1/xx ϦϦʔε

  17. Tips2:ୀ࿏ͷ֬อ ▪ ͙͢ؾ͚ͮΔ & ͙͢໭ͤΔ – SLOͷՄࢹԽͱΰʔϧσϯΠϝʔδͷόʔδϣχϯά Golden AMI’s Update

    LaunchConfig Πϝʔδ͝ͱ
 ੾Γ໭͠

  18. Tips3:εςʔτϨεԽͱεέδϡʔϦϯά͞Εͨୀ໾ ▪ αʔόϩʔςʔτͷखஈͱͯ͠ͷAuto Scaling – αʔόͷࣗಈୀ໾ > ϫʔΫϩʔυͷௐ੔ Scheduling Rotate

    API Bastion

  19. Tips4:࠶ݱੑͷߴ͍εςʔδϯά؀ڥ ▪ ಉ͡ϓϩϏδϣχϯάϓϩηεͱٕज़ελοΫ – ݕূਫ਼౓ΛߴΊΔͨΊͷInfrastructure as Codeͷపఈ Production Staging Production


    Capacity Less
 Capacity

  20. Tips5:ϚωʔδυαʔϏεͷੵۃ׆༻ ▪ ঢ়ଶΛอͭαʔό͸ަ׵͕େม – ڊਓ(AWS)ͷݞʹ৐Δɻ؅ཧର৅ΛݮΒ͢Ξϓϩʔν S3 Aurora Dynamo ElastiCache SQS

  21. ·ͱΊ

  22. ·ͱΊ ▪ ੬ऑੑ਍அΧόϨοδΛߴΊΔධՁࣗಈԽ – AWS Inspector x Lambda x CloudWatchʹΑΔఆظ࣮ߦ

    ▪ ੬ऑੑରԠΛ೔ৗԽ͢Δ – มߋΛՃ͑΍͍͢ΞʔΩςΫνϟ = αʔόՈசԽͷ࣮ફ ▪ αʔόՈசԽϕετϓϥΫςΟεͷ঺հ – ࠶ݱੑ/઴ਐతϦϦʔε/ୀ࿏ͷ֬อ/ࣗಈୀ໾/Ϛωʔδυར༻

  23. ͦͷଞ ▪ ੬ऑੑ਍அͷ໨త͸ձࣾϦεΫͷՄࢹԽ – ϗετܕ਍அͰΘ͔Δ੬ऑੑ͸ϦεΫͷ΄ΜͷҰଆ໘ ▪ ηΩϡϦςΟରԠʹۜͷ஄ؙ͸ͳ͍ – ܧଓతͳऔΓ૊Έ͕େࣄ

  24. CONFIDENTIAL Thank you :) Thank you :)

  25. Any Questions??