ID管理のクラウドサービスExtic におけるセキュリティの取り組み

Transcript

1. ID؅ཧͷΫϥ΢υαʔϏε Extic ʹ͓͚Δ ηΩϡϦςΟͷऔΓ૊Έ 2016೥11݄30೔ ΤΫεδΣϯŋωοτϫʔΫεגࣜձࣾ ໺ଜ ݈ଠ࿠ VAddy ϢʔβʔϛʔτΞοϓ

   Vol.4

2. ໨࣍ • ࣗݾ঺հ • IDaaS Ͱ͋Δ Extic ͷ঺հ • SCIM

   ͷ঺հ • Extic ʹ͓͚ΔηΩϡϦςΟͷऔΓ૊Έʹ͍ͭͯ 2

3. ࣗݾ঺հ • ໺ଜ ݈ଠ࿠(@nomnux) • ॴଐɿΤΫεδΣϯŋωοτϫʔΫε(ג) • ೝূؔ࿈ͷ࢓ࣄʹैࣄ͔ͯ͠Ε͜Ε10೥ • ޷͖ͳݴޠɿPython

   • ࠷ۙͷ͓ؾʹೖΓɿDockerɺAnsible • ޷͖ͳόΠΫϝʔΧʔɿSUZUKI (ླەอ࣋ऀ)

4. Extic ঺հ

5. ͷલʹ࣭໰Ͱ͢

6. ʮIDaaSʯ ஌ͬͯ·͔͢ʁ

7. IDaaS ? • ฉ͍ͨ͜ͱ͋Δ • ࢖͍ͬͯΔ(Ϣʔβʔͱͯ͠) • ։ൃ͍ͯ͠Δ 7

8. IDaaS ؔ࿈Ωʔϫʔυ • LDAP • ϓϩϏδϣχϯά • ϑΣσϨʔγϣϯ • SAML

   • OAuth • OpenID / OpenID Connect • SCIM (※ೖྗϝιουͰ͸ͳ͍Ͱ͢) 8

9. IDaaS ͱ͸ • Identity as a Service • ʮID ؅ཧʯ΍ʮγϯάϧαΠϯΦϯʯΛ

   Ϋϥ΢υ্ͷαʔϏεͱͯ͠ఏڙ͢Δ΋ ͷ • ւ֎ɾࠃ಺Ͱ༷ʑͳ IDaaS ࣄۀऀ͕αʔ ϏεΛల։͍ͯ͠Δ 9

10. IDaaS ͰͰ͖Δ͜ͱ 10 G Suite Office 365 ؅ཧऀ ID ϓϩϏδϣχϯά

    ΦϯϓϨAD/LDAP

11. IDaaS ͰͰ͖Δ͜ͱ 11 G Suite Office 365 γϯάϧαΠϯΦϯ(SSO) ར༻ऀ ϩάΠϯ

12. Extic • EXGEN Trusted Identity Center • EXGEN ͕࡞ͬͨ IDaaS

    • ࠓͷͱ͜Ζจڭ෼໺޲͚ 12

13. Extic ͷػೳ • ID ϓϩϏδϣχϯά • G SuiteɺOffice 365 •

    ΦϯϓϨͷ ADɾLDAP (ΤʔδΣϯτΛΦϯϓϨʹಋೖ) • γϯάϧαΠϯΦϯ (௥Ճ༧ఆ) • SAML • Shibboleth IdP (௥Ճ༧ఆ) • ֶज़ೝূϑΣσϨʔγϣϯ޲͚ 13

14. σϞ

15. SCIM ͷ͝঺հ

16. SCIM 16 SCIM Client SCIM Server JSON HTTP

17. ɹSCIM • System for Cross-domain Identity Management • http://www.simplecloud.info/ •

    ID ؅ཧ༻ͷ API (REST API) ͷ࢓༷ • Ϣʔβʔ৘ใ΍άϧʔϓ৘ใΛ JSON Ͱදݱ͠ɺHTTP ϦΫΤετͰର৅ αʔϏε(SCIM Server)ʹૹ৴͢Δ • Extic Ͱ΋Ұ෦ͷػೳͰ SCIM(ͬΆ͍) REST API Λ࣮૷͍ͯ͠Δ • ࣮૷ྫ • https://api.slack.com/scim 17

18. SCIM ͷ JSON 18 { "schemas": ["urn:ietf:params:scim:schemas:core:2.0:User"], "userName": "[email protected]", "displayName":

    "NIHON Taro", "nickName": "taro" }

19. SCIM Ͱར༻͢Δ HTTP ϝιου 19 ૢ࡞ HTTP ϝιου ௥Ճ POST

    ߋ৽ PUT (શଐੑߋ৽) PATCH (Ұ෦ଐੑߋ৽) ࡟আ DELETE औಘɾݕࡧ GET

20. SCIM ͷϦΫΤετ 20 $ curl \ -H “Authorization: *****” \

    -H "Content-Type: application/scim+json" \ -X "POST" \ -d ‘{ JSON Λॻ͘(লུ) }’ \ https://scimsv.example.jp/v2/Users Ϣʔβʔ௥Ճͷྫ

21. Extic ʹ͓͚Δ ηΩϡϦςΟͷऔΓ૊Έ

22. ཧ૝ • ͓٬͞Μͷ ID/PW Λ༬͔ΔͷͰηΩϡϦςΟେࣄ • ՄೳͳݶΓ(༧ࢉ͕ڐ͢ݶΓ)ઐ໳ϕϯμʔʹΑΔ੬ ऑੑݕࠪΛ࣮ࢪ͍ͨ͠ • VAddy

    ͷΑ͏ͳݕࠪπʔϧΛ։ൃϓϩηεʹ૊Έ ࠐΜͰසൟ(Ϗϧυຖ)ʹηΩϡϦςΟςετ͍ͨ͠ 22

23. ݱ࣮ • ઐ໳ϕϯμʔʹΑΔසൟͳݕࠪ͸ίετతʹແཧ • ϦϦʔε௚લʹݕࠪΛड͚ͨͱͯ͠ɺͦ͜Ͱ੬ऑੑ ͕ݟ͔ͭͬͯ΋मਖ਼ʹ͸͕͔͔࣌ؒΔͷͰɺख໭Γ ޻਺͕େ͖͘ɺϦϦʔε͕஗ΕΔ • ϏϧυຖʹηΩϡϦςΟςετΛ࣮ࢪͯ͠΋݁ՌΛ ֬ೝ͖͠Εͳ͍

    • ϩάͷ֬ೝେࣄ(ޙड़) 23

24. ݕࠪπʔϧɾαʔϏεൺֱ 24 VAddy skipfish OWASP ZAP ઐ໳ϕϯμʔ ࢖༻೉қ౓ த ߴ

    ָ ݕ߲ࠪ໨ গ ଟ ଟ API ͷݕࠪ O X(?) O ݕࠪ࣌ؒ ୹ ୹ʙ௕ ௕ ݁Ռͷ֬ೝ (ϩά·Ͱ֬ೝ) ͪΐͬͱ େม ͔ͳΓେม (ઈ๬తͳྔ…) ָ

25. VAddy ͷϝϦοτ • ࣮ߦ͕؆୯ • खܰ͞͸େࣄ • ࣄલʹΫϩʔϧ͢Δ͜ͱͰɺݕࠪର৅ URL ͕ߜΒΕΔ

    • ݕࠪ࣌ؒͷ୹ॖɺϩά֬ೝͷ޻਺࡟ݮ • API ͷݕ͕ࠪՄೳ • ׂΓ੾Γ • ݕ߲ࠪ໨Λ֦ॆ͍ͨ͠৔߹͸ଞͷπʔϧΛ࢖͑͹Α͍ 25

26. ݱ࣮తͳηΩϡϦςΟςετܭը 26 ೔ʑͷ։ൃ ෆ۩߹मਖ਼ ܰඍͳػೳ௥Ճ େن໛ػೳ௥Ճ ఆظతͳશݕࠪ ηΩϡϦςΟςετ޻਺ VAddy VAddyɾͦͷଞπʔϧ

    ͦͷଞπʔϧɾઐ໳ϕϯμʔ ઐ໳ϕϯμʔ

27. ࠓޙͷ՝୊ • ࣗಈԽ • ΞϓϦͷσΟϓϩΠ ➡ ݕ࣮ࠪߦ ➡ ݕࠪ݁Ռ֬ೝ ͷࣗ

    ಈԽ • ը໘ͷΫϩʔϧ͸ख࡞ۀͰ΋Α͍ • ࣗಈԽ͍ͨ͠ͱ͜ΖͰ͸͋Δ͕ɺͪΐͬͱେม… • ݱঢ়ɺͦ͜·Ͱը໘਺͸ଟ͘ͳ͍ͷͰɺΫϩʔϧ͸ ख࡞ۀͰ΋ͳΜͱ͔ͳΔ 27

28. VAddy ಋೖͷཪ࿩

29. น • VAddy ͷεΩϟϯ݁ՌͰ͸੬ऑੑແ͠ͱग़·ͨ͢ɻ͜ΕͰ҆৺Ͱ ͢ɻ • ͲΜͳݕࠪΛͯ͠Δͷ͔ϩάݟͯ֬ೝͯ͠ΈΑ͏ͣ • (ɹƅшƅ) •

    ηογϣϯ͕ඞཁͳը໘ͷεΩϟϯͰΤϥʔฦͬͯͶ?… • (ͭд⊂)ŠƄŢŠƄŢ • ηογϣϯҡ࣋Ͱ͖ͯͳ͍ ➡ ηογϣϯ͕ඞཁͳը໘(ϩάΠϯը໘ Ҏ֎)ͷݕ͕ࠪͰ͖ͯͳ͍(T_T) 29

30. ਆରԠ • (E) VAddy ͔ΒͷεΩϟϯ࣌ʹηογϣϯҡ࣋Ͱ͖ͯͳ͍Α͏ Ͱ͢(T_T) • (૬ੑͱ͔͋ΔͩΖ͏͠ɺͲ͏ͯ͠΋εΩϟϯͰ͖ͳ͔ͬͨ Β VAddy

    ͸͖͋ΒΊΑ͏…) • (V) ରԠ͠·ͨ͠ʂ • (E) ͍͢·ͤΜɺࠓ౓͸ CSRF ରࡦͷτʔΫϯ͕… • (V) ରԠ͠·ͨ͠ʂʂ 30

31. ͦͷଞʹ΋ େม͓ੈ࿩ʹͳΓ·ͨ͠… • (E) go-vaddy ίϚϯυͷ໭Γ஋͕ظ଴ͱҧ͍·ͨ͠… • (V) मਖ਼͠·ͨ͠ʂ •

    (E) API ͷΫϩʔϧ࣌ʹ຤ඌʹΫΤϦετϦϯά͚ͭΔͷ໘౗͍͘͞Ͱ ͢… • (V)͚ͭͳͯ͘΋Α͘͠·ͨ͠ʂ • (E) ͪΌΜͱΫϩʔϧͰ͖ͯΔͷ͔Ͳ͏͔ෆ҆Ͱ͢… • (V) ը໘ͰΫϩʔϧ݁ՌΛ֬ೝͰ͖ΔΑ͏ʹ͠·ͨ͠ʂ 31

32. ޙ೔ஊ • VAddy ͷεϐʔσΟʔͳରԠָ͕ͯ͘͠ɺ͍͍ͭͭηΩϡϦςΟ ςετʹ຅಄ • Docker Λ࢖ͬͯίϚϯυҰൃͰςετ؀ڥ࡞ΕΔΑ͏ʹͨ͠Γ • Nginx

    ͷϩάग़ྗΛڧԽͨͯ͘͠ lua ॻ͘ͷʹ຅಄ͨ͠Γ • ຊۀ(Πϯϑϥ֦ுɺػೳ௥Ճ)ʹࢧো͕Ͱͩ͢… • (্࢘)ʮηΩϡϦςΟ΋େࣄ͕ͩɺͦΖͦΖۭؾಡΊʯ • VAddy ͸͠͹Β͓͘༬͚ʹ… 32

33. ڭ܇ • ϩάͷ֬ೝ͸௒ॏཁ • πʔϧͷݕࠪ݁ՌΛӏವΈʹͤͣɺͪΌΜͱ Web αʔόʔ΍ΞϓϦͷϩά΋֬ೝ͢Δ • ηΩϡϦςΟςετґଘ঱ʹ஫ҙ •

    ʮηΩϡϦςΟ͸େࣄͰ͔͢Βʂʯͱ͔ݴ͍ͭͭɺ ʮςετΛޮ཰తʹߦ͏ͨΊͷ؀ڥߏஙʯͱ͔ʹ ຅಄͠ͳ͍Α͏ʹ஫ҙ… 33

34. ͋Γ͕ͱ͏͍͟͝·ͨ͠