Upgrade to Pro — share decks privately, control downloads, hide ads and more …

UnConfig - AWS Configの幻想との戦い#secjaws #secjaws14

Avatar for fnifni fnifni
August 28, 2019
Technology
1k
0

UnConfig - AWS Configの幻想との戦い#secjaws #secjaws14

AWS Config Streamから人為的な変更操作通知を抽出して、利用者情報を付加した内容をSlackに通知する概念実証コードを紹介しています。

Avatar for fnifni

fnifni

August 28, 2019

More Decks by fnifni

See All by fnifni
生成AIのガバナンスの全体像と現実解
Avatar for fnifni fnifni
2
460
生成AIのガバナンスとこれから
Avatar for fnifni fnifni
0
180
AWS re:Inforce 2024 に コミュニティから登壇してきた話
Avatar for fnifni fnifni
0
58
COM224: How organizations are actually applying AWS security best practices
Avatar for fnifni fnifni
0
77
BsidesTokyo2024_AWSセキュリティの ベストプラクティスに関する 利用実態調査のレポートの紹介
Avatar for fnifni fnifni
0
91
re:Inforce2024-recap_英語力ゴミカスでもフル英語登壇を乗り切る成功メソッド
Avatar for fnifni fnifni
0
140
信頼ルールはGoogle Drive共有の孫の手になるか?
Avatar for fnifni fnifni
0
400
ゼロトラスト導入支援ってどんなことやってるの?
Avatar for fnifni fnifni
0
94
ログの話
Avatar for fnifni fnifni
0
76

Other Decks in Technology

See All in Technology
現地で盛り上がった WWDC26 Keynote
Avatar for ZOZO Developers zozotech
PRO
1
200
Claude Codeをどのように キャッチアップしているか
Avatar for Oikon oikon48
10
5.5k
ルールやカスタム機能、どう活かす?ハンズオンで体感するIBM Bobの出力コントロール
Avatar for mu (Mizuho Uehara) muehara
1
130
フロンティアAIのゲート化と地政学リスク
Avatar for 長津孝輔 nagatsu
0
130
2026.06.13_AI時代に事業会社が「SIer出身エンジニア」を求める理由 / Why Businesses Seek Engineers with a System Integrator Background in the AI ​​Era
Avatar for jumpei_ikegami jumtech
0
1.1k
LLMと共に進化するプロセスを目指して
Avatar for y_matsuwitter ymatsuwitter
13
4k
データサイエンスを価値につなげるプロジェクト設計 〜 DS一年目が現場で得た気づき 〜
Avatar for Yusei Doi ysd113
1
190
LLMにもCAP定理があるという話
Avatar for Haruka Sakihara harukasakihara
0
300
FinOps × AIエージェントで実現する コストインシデントの自動調査
Avatar for T.REX oasis1994liveforever
0
130
20260619 私の日常業務での生成 AI 活用
Avatar for Masaru Ogura masaruogura
1
130
Socrates × Looker 〜セマンティックレイヤーで進化するデータ分析エージェント〜
Avatar for Uchide Hiroki(ucchi-) hanon52_
3
2.1k
AGENTS.mdとSkillsで始めるAIエージェント活用
Avatar for そのだ sonoda_mj
3
200

Featured

See All Featured
KATA
Avatar for Megan Lloyd mclloyd
PRO
35
15k
Reality Check: Gamification 10 Years Later
Avatar for Sebastian Deterding codingconduct
0
2.2k
Principles of Awesome APIs and How to Build Them.
Avatar for Keavy McMinn keavy
128
17k
How to build a perfect <img>
Avatar for Jono Alderson jonoalderson
1
5.6k
Lightning talk: Run Django tests with GitHub Actions
Avatar for Sarah Abderemane sabderemane
0
200
jQuery: Nuts, Bolts and Bling
Avatar for Doug Neiner dougneiner
66
8.5k
How GitHub (no longer) Works
Avatar for Zach Holman holman
316
150k
Navigating the moral maze — ethical principles for Al-driven product design
Avatar for Skipper Chong Warson skipperchong
2
390
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
39
3.2k
So, you think you're a good person
Avatar for Per Axbom axbom
PRO
2
2.1k
Fight the Zombie Pattern Library - RWD Summit 2016
Avatar for Marcelo Somers marcelosomers
234
17k
Scaling GitHub
Avatar for Zach Holman holman
464
140k

Transcript

  1. UnConfig Until XXX turns into gold. At S-JAWS # 14

    2019.08.28

  2. ͏Μ͜Μ;͙͌ AWS Configͷݬ૝ͱͷઓ͍ S-JAWS # 14 ʹͯ 2019.08.24

  3. Who am I !? (͓લ୭Α?) • Hirokazu YoshidaˏCloud Native Inc.


    Security Engineer • Community
 - Security-JAWS • Favorite AWS Service https://www.fnifni.net/

  4. Attention • ຊηογϣϯ͸ɺݸਓͷݟղʹجͮ͘΋ͷͰ͢ • ॴଐ͢ΔاۀɺஂମͷҙݟΛ୅ද͢Δ΋ͷͰ͸ ͋Γ·ͤΜ

  5. ͱ͍͏Θ͚Ͱ ຊ୊

  6. AWS Config ༗ޮʹ͍ͯ͠·͔͢ʁ

  7. ࠷ߴͰ͢Ͷ

  8. AWS Config ׆༻͍ͯ͠·͔͢ʁ

  9. What is AWS Config ? • AWSϦιʔεͷΠϯϕϯτϦ/ߏ੒؅ཧͷͨΊͷϑϧϚ ωʔδυαʔϏε • AWSϦιʔεͷߏ੒มߋΛϩΪϯά

    • ߏ੒৘ใͷεφοϓγϣοτΛs3อ؅ • ߏ੒มߋͷ௥੻΍ηΩϡϦςΟ෼ੳɺτϥϒϧγϡʔ ςΟϯάɺίϯϓϥΠΞϯε४ڌΛ༰қʹ͢Δ https://aws.amazon.com/jp/blogs/news/webinar-bb-aws-config-2019/

  10. AWS Config Features • Snapshot
 - ͋Δ࣌఺ͰͷConfiguration Itemͷू߹(s3อ؅)
 - Config

    Rulesͷ൑ఆλΠϛϯάͷҰͭ • History
 - ϦιʔελΠϓͷू߹ɻઃఆཤྺΛs3όέοτʹอଘ • Stream
 - Ϧιʔε࡞੒/มߋ/࡟আʹ൐͍࡞੒͞ΕɺSNS΁௨஌Մ https://aws.amazon.com/jp/blogs/news/webinar-bb-aws-config-2019/

  11. ߏ੒؅ཧ/؂ࠪܥͷ੕ ༗ޮʹ͠ͳ͍ख͸ͳ͍

  12. ࠓ೔ͷςʔϚ

  13. AWS Configʹ๊͘ ؁͍ݬ૝ΛͿͬ͜Θ͢ˑ

  14. ͱ͋Δ͓୊ ҆ఆͨ͠AWS؀ڥ͕͋ΔͷͰ มߋΛݕ஌͍ͨ͠ͷͰ͢Α

  15. ๊͘ݬ૝1 StreamΛ௨஌ͯ͠ ϑΟϧλ͢Ε͹͍͍

  16. ๊͘ݬ૝2 SnapShotͷDiffΛऔΕ͹͍͍

  17. What you can learn by doing it • དྷΔͷ͸มߋ௨஌͚ͩͰ͸ͳ͍
 -

    Config SnapShot/Historyͷऔಘ௨஌
 - Config RulesͷධՁ݁Ռ/NOT_APPLICABLE௨஌ • ͢΂ͯͷมߋ௨஌͕དྷΔ
 - AWS͕ߦ͏ૢ࡞΋มߋ͸͢΂ͯ௨஌͞ΕΔ

  18. AWS Changes Example • ELBͷεέʔϧin/out/retirementʹ܎Δॾมߋ
 - NIC࡟আ/࡞੒ɺSecurity GroupͷAttach • ৽ػೳ௥Ճʹ൐͏EC2ͷଐੑ௥Ճ


    - Capacity Reservationͷ௥Ճ • EC2ىಈ࣌ͷManagedInstanceInventory࡞੒

  19. ;͊ͬ ͏Μࠞͬ͜͡ͱΔ΍Μ͚ʂ ͠Όʔͳ͍ɺϑΟϧλ͢Δ͔

  20. an inconvenient fact • ໊݅ͰͷϑΟϧλʹ͸ݶք͕͋Δ • มߋ৘ใ͸ɺϦιʔεຖʹεΩʔϚ͕όϥόϥ
 - Resources໊ΛऔΔͷ΋Ұۤ࿑ •

    ͦ΋ͦ΋ConfigͰऩू͞ΕΔ৘ใʹ͸ɺ
 มߋऀͷ৘ใ͸هࡌ͞Εͳ͍

  21. ͱ͋Δ͓୊ʢ࠶ܝʣ ҆ఆͨ͠AWS؀ڥ͕͋ΔͷͰ (ਓҝతͳ)มߋΛݕ஌͍ͨ͠ ͷͰ͢Α

  22. ͋ɺ٧Μͩʁ

  23. ͍΍ͪΐͬͱ଴ͯ Config Timeline͕͋ͬͨΖ

  24. Config TimeLine

  25. ͜ΕɺͲ͏΍ͬͯΜͶΜ

  26. Ask an Expert (2 minutes) • Configuration ItemͷtimestampͱResources TypeΛΩʔʹɺCloudTrailΛLookupͯ͠ΔΜ Ͱ͢Α

  27. cloudtrail lookup-events • աڈ90೔ͷCloudTrailΠϕϯτΛࢀরͰ͖Δ • ࣌ؒൣғͱ୯ҰଐੑͰߜΓࠐΈ
 AccessKeyId, EventId, EventName, EventSource,

    Username, ReadOnly, ResourceName, ResourceType https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/ userguide/view-cloudtrail-events-cli.html

  28. ΑΖ͍͠ ͳΒ͹࣮૷ͩ

  29. manual-changes-detector-poc

  30. Output

  31. Link Destination

  32. Use Case • ҆ఆͨ͠؀ڥ΁ͷϢʔβʔʹඥͮ͘มߋૢ࡞ Λݕग़͍ͨ͠ • Terraform΍CloudFormationͳͲίʔυͰͷ σϓϩΠΛӡ༻ϧʔϧͱ͍ͯ͠Δ؀ڥͰɺͦ ΕҎ֎ͷϢʔβʔʹΑΔมߋΛݕग़͍ͨ͠

  33. GithubͰެ։͍ͯ͠·͢

  34. Attention • ֓೦࣮ূίʔυͰ͢
 - ຊ൪ϫʔΫϩʔυͰ͸ɺঢ়گʹԠͨ͡վम΍ௐ੔Λ
 ඞཁͱ͠·͢(MIT LicenseͰ͢ɻ͝ར༻͸ܭըతʹ) • ݱ࣌఺ͷ׬੒౓͸60%
 -

    ਵ࣌ߋ৽͠·͢ͷͰஆ͔͘ݟक͍ͬͯͩ͘͞ • Pull Requestେ׻ܴʂ

  35. Summary • Config StreamΛ࢖͑͹”౎߹Α͍͍͘ײ͡ʹ”
 มߋΛ௥͏͜ͱ͕Ͱ͖Δ͸ݬ૝ • “Կ͔͋ͬͨΒ௥͑·͢"͔ΒҰาલ΁ • ࠔͬͨ࣌͸ɺExpertʹฉ͘ͷ΋ख

  36. Thank You !