Upgrade to Pro — share decks privately, control downloads, hide ads and more …

20250116_JAWS_Osaka

Takuya Yonezawa
January 11, 2025
Technology
1
140

 20250116_JAWS_Osaka

Takuya Yonezawa

January 11, 2025
Tweet

More Decks by Takuya Yonezawa

See All by Takuya Yonezawa
20241214_JAWS_Kobe.pdf
takuyay0ne
0
8
20241213_JAWS_Kobe
takuyay0ne
0
2
20241019_JAWS_Kobe
takuyay0ne
0
18
20241004_jpk2024_retrospective
takuyay0ne
0
73
20240906_JAWS_Yamanashi
takuyay0ne
0
38
20240712_JAWSUG
takuyay0ne
0
270
20240706_CDKConf
takuyay0ne
0
1.7k
20240302_JAWSDAYS2024_B-9
takuyay0ne
0
80
20230914_FinJAWS
takuyay0ne
4
850

Other Decks in Technology

See All in Technology
完全自律型AIエージェントとAgentic Workflow〜ワークフロー構築という現実解
pharma_x_tech
0
220
ドメイン駆動設計の実践により事業の成長スピードと保守性を両立するショッピングクーポン
lycorptech_jp
PRO
3
540
シフトライトなテスト活動を適切に行うことで、無理な開発をせず、過剰にテストせず、顧客をビックリさせないプロダクトを作り上げているお話 #RSGT2025 / Shift Right
nihonbuson
3
1.8k
効率的な技術組織が作れる!書籍『チームトポロジー』要点まとめ
iwamot
2
200
The future we create with our own MVV
matsukurou
0
1.7k
信頼されるためにやったこと、 やらなかったこと。/What we did to be trusted, What we did not do.
bitkey
PRO
0
1.9k
Unsafe.BitCast のすゝめ。
nenonaninu
0
160
PHPerのための計算量入門/Complexity101 for PHPer
hanhan1978
6
1.5k
Zero Data Loss Autonomous Recovery Service サービス概要
oracle4engineer
PRO
1
5k
【令和最新版】ロボットシミュレータ Genesis x ROS 2で始める快適AIロボット開発
hakuturu583
2
1.5k
Oracle Exadata Database Service(Dedicated Infrastructure):サービス概要のご紹介
oracle4engineer
PRO
0
12k
コロプラのオンボーディングを採用から語りたい
colopl
2
290

Featured

See All Featured
A better future with KSS
kneath
238
17k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
28
2.2k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.4k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
232
17k
Reflections from 52 weeks, 52 projects
jeffersonlam
348
20k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
2k
How to train your dragon (web standard)
notwaldorf
89
5.8k
Building Your Own Lightsaber
phodgson
104
6.2k
Designing on Purpose - Digital PM Summit 2013
jponch
116
7.1k
Become a Pro
speakerdeck
PRO
26
5.1k
Producing Creativity
orderedlist
PRO
343
39k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
7
560

Transcript

  1. 1 © 2025 Japan Digital Design, Inc. Takuya Yonezawa 2025.01.16

    サーバレスアプリケーションを セキュアにするために考える 12 のコト JAWS-UG大阪 決してエントリー枠 間違えたわけじゃないです!

  2. 2 CONFIDENTIAL © 2025 Japan Digital Design, Inc. 米澤 拓也

    Software Engineer Technology & Development Div. 前職ではCCoE、現職ではSoftware Engineer フロント/バックエンドの実装からインフラ構築など何でもやってます JAWS DAYS2025/ JAWS DAYS2024 / PANKRATION2024 の運営(WEB) Fin-JAWSの運営もやってます 奈良 大阪の2拠点生活 好きなAWSサービスは CloudFront、Lambda プロフィール ダウンタウンで買った某Cap 実家は奈良の米農家 よねざわです

  3. 3 © 2025 Japan Digital Design, Inc. [SVS307] Building secure

    serverless applications 現地で受けた↑のワークショップがとても良かったのでご紹介

  4. 4 © 2025 Japan Digital Design, Inc. 1. Cognitoによる認証認可 誰でもアクセスできるとマズイのでCognitoでAPI-GWに認証をつけよう

    認証前後にカスタムロジックをいれる場合はLambda Authorizer Lambda API-GW Cognito DynamoDB Authorizer

  5. 5 © 2025 Japan Digital Design, Inc. 2. Lambdaに過剰な権限はダメ Lambda

    Role IAM Access Analyzerの自動ポリシー生成機能 ABAC(リソースタグ)を用いたIAMロールのアクセス制限 Permission Boundaryも有用

  6. 6 © 2025 Japan Digital Design, Inc. 3. Verified Permissionsを用いたAPIアクセス制御

    Verified Permissionsを使ってAPIパスごとにアクセス権限の分離 Lambda API-GW Cognito Verified Permissions DynamoDB Permission Policy Lambda Company A Group Company B Group /api/company/A/xxx /api/company/B/xxx /api/company/C/xxx

  7. 7 © 2025 Japan Digital Design, Inc. 4. SecretManager使おうぜ アプリケーションコードにシークレット情報ベタ書きはダメよ

    Secrets Magerの値をキャッシュしてコスト削減もしようね Lambda Secrets Manager Aurora user: xxx password: hogehoge

  8. 8 © 2025 Japan Digital Design, Inc. 5. API Gatewayでの入力バリデーション

    変なリクエストは前段(API-GW)でブロック 正規表現やクエリパラメータ、ヘッダーも検証できるよ API-GW name: aaa birth: bbb address: ccc name: string birth: string address: string age: integer Lambda name: aaa birth: bbb address: ccc age: 100

  9. 9 © 2025 Japan Digital Design, Inc. 6. アプリケーションの依存ライブラリ脆弱性 npm

    auditコマンドでライブラリ脆弱性のチェックを ソフトウェアサプライチェーン攻撃 流行ってるからね npm audit

  10. 10 © 2025 Japan Digital Design, Inc. 7. InspectorによるLambdaの脆弱性スキャン Lambdaが使っているライブラリの脆弱性スキャン

    + Lambdaコードがベストプラクティスに沿っているかチェック Lambda Inspector 継続スキャン

  11. 11 © 2025 Japan Digital Design, Inc. 8. 通信の暗号化 Private

    Subnet内通信でも、規制要件によってはSSL通信が必要 みなさんやってます?? Lambda Aurora Private subnet VPC SSL 非SSL

  12. 12 © 2025 Japan Digital Design, Inc. 9. API Gatewayの実行計画

    APIキー(使用量プラン)を利用して、利用者ごとのAPI利用量を制御 Noisy Neighbor問題対策にも Lambda API-GW Cognito Authorizer Company A Group Company B Group Company B APIキー Company A APIキー req/min:10 req/sec:1 req/min:300 req/sec:20

  13. 13 © 2025 Japan Digital Design, Inc. 10. WAFで悪意のあるリクエストからガード 悪いことは言わないので、

    インターネットに接地するリソースにはWAFをアタッチしましょう URL特定されたらめっちゃアタックっぽいのが来ます API-GW WAF

  14. 14 © 2025 Japan Digital Design, Inc. 11. GuardDutyでLambdaのアクティビティ検知 GuardDutyは嫁

    と言ってる人もいるくらい重要 GuardDuty Lambda Protectionでネットワーク観点での保護 GuardDuty Lambda 不審なアクティビティを 検出 C&Cサーバへの通信 コインマイニング通信 ブラックホールIPへの通信 etc…

  15. 15 © 2025 Japan Digital Design, Inc. 12. X-Rayを用いたトレース アプリケーションの可観測性はSecurityの観点からも重要

    X-Rayはアプリケーション開発時にポチッと有効にするのを大原則に Lambda API-GW X-Ray X-Ray

  16. 16 © 2025 Japan Digital Design, Inc. 以上! https://catalog.us-east-1.prod.workshops.aws/workshops/ 026f84fd-f589-4a59-a4d1-81dc543fcd30

  17. Thank you. 17 © 2025 Japan Digital Design, Inc.