Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS環境にTenableしたら わらわら問題がでた話

Avatar for hiyanger hiyanger
November 18, 2023
Technology
0
170

AWS環境にTenableしたら わらわら問題がでた話

2023 11/21 Cloud Security Day 2023
https://increments.connpass.com/event/298906/
Avatar for hiyanger

hiyanger

November 18, 2023
Tweet

More Decks by hiyanger

See All by hiyanger
これからクラウドエンジニアになるために本当に必要なスキル 5選
Avatar for hiyanger hiyanger
1
570
クラウド食堂とは?
Avatar for hiyanger hiyanger
0
200
Amazon ECS とマイクロサービスから考えるシステム構成
Avatar for hiyanger hiyanger
2
760
全身全霊で取り組んだ 2024 Qiita アドベントカレンダー
Avatar for hiyanger hiyanger
0
41
Terraform で作る Amazon ECS の CI/CD パイプライン
Avatar for hiyanger hiyanger
1
190
【AWS】EC2 基本アーキテクチャ(ハンズオン付き)
Avatar for hiyanger hiyanger
0
77
もういっそ AWS できなくても AWS できるようになるシステム作った
Avatar for hiyanger hiyanger
3
300
Terraform CI/CD パイプラインにおける AWS CodeCommit の代替手段
Avatar for hiyanger hiyanger
3
710
AWS 構成図を S3 にアップするだけで Terraform のコードを git push / pull request から terraform plan まで自動で動作するシステム
Avatar for hiyanger hiyanger
10
3.4k

Other Decks in Technology

See All in Technology
CARTA HOLDINGS エンジニア向け 採用ピッチ資料 / CARTA-GUIDE-for-Engineers
Avatar for CARTA Engineering carta_engineering
0
27k
Previewでもここまで追える! Azure AI Foundryで始めるLLMトレース
Avatar for Tomodo_ysys tomodo_ysys
2
650
MCP でモノが動くとおもしろい/It is interesting when things move with MCP
Avatar for 株式会社ビットキー / Bitkey Inc. bitkey
2
470
続・やっぱり余白が大切だった話
Avatar for KAKEHASHI kakehashi
PRO
3
310
LINE 購物幕後推手
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
430
製造業向けIoTソリューション提案資料.pdf
Avatar for h.uriu haruki_uiru
0
250
OPENLOGI Company Profile for engineer
Avatar for OPENLOGI hr01
1
26k
地に足の付いた現実的な技術選定から魔力のある体験を得る『AIレシート読み取り機能』のケーススタディ / From Grounded Tech Choices to Magical UX: A Case Study of AI Receipt Scanning
Avatar for moznion moznion
3
1.2k
LLM アプリケーションのためのクラウドセキュリティ - CSPM の実装ポイント-
Avatar for KINTOテクノロジーズ Osaka Tech Lab osakatechlab
0
400
Oracle Base Database Service 技術詳細
Avatar for oracle4engineer oracle4engineer
PRO
7
63k
時間がないなら、つくればいい 〜数十人規模のチームが自律性を発揮するために試しているいくつかのこと〜
Avatar for KAKEHASHI kakehashi
PRO
23
5.3k
250510 StepFunctionのテスト自動化始めました vol.1
Avatar for Takumi Abe east_takumi
1
210

Featured

See All Featured
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
40
7.2k
The Art of Programming - Codeland 2020
Avatar for Erika Heidi erikaheidi
54
13k
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
462
33k
Building Applications with DynamoDB
Avatar for Matt Wood mza
94
6.4k
Building Adaptive Systems
Avatar for Chris Keathley keathley
41
2.5k
KATA
Avatar for Megan Lloyd mclloyd
29
14k
Automating Front-end Workflow
Avatar for Addy Osmani addyosmani
1370
200k
Site-Speed That Sticks
Avatar for Harry Roberts csswizardry
6
540
Designing for humans not robots
Avatar for Tammie Lister tammielis
253
25k
Unsuck your backbone
Avatar for Amy Palamountain ammeep
671
58k
Speed Design
Avatar for Sergey Chernyshev sergeychernyshev
29
940
Into the Great Unknown - MozCon
Avatar for Noah Learner thekraken
38
1.8k

Transcript

  1. AWS環境にTenableしたら わらわら問題がでた話

  2. プロフィール 名前:檜山 準(ひやま じゅん) 所属:I◯◯◯ お仕事:クラウドエンジニア(設計、構築、運用保守) https://twitter.com/hiyanger https://qiita.com/hiyanger https://zenn.dev/hiyanger 最近よく使う技術:AWS、IaC、CI/CD 

    出身:栃木県 よかったら フォローしてね!

  3. もくじ Tenableとは 既存システムにTenableかけたらどうなったか 診断結果の対策

  4. Tenableってなんですか?

  5. Tenableとは 脆弱性診断ツールです。AWSに流せばわら わら脆弱性を洗い出してくれます。 外部から診断する方法か、内部で専用の EC2をたててそこから診断する方法があり ます。

  6. 診断してみたww

  7. 診断結果 診断の対象は2019年ごろに構築したAWS上の分析基盤システムです。 分析基盤なのでかなりセキュアなシステムです。 IAM ・不要なアクセスキーが残っている ・ポリシーのユーザー/ロール直当て ・アクセスアナライザー無効 Config CloudTrail ・使われていたが、

     初期導入ツールで  設定されたものだけだった ・そもそも動いてなかった KMS マスターキーがローテされてない CloudWatch ・APIコールの通知 ・IAMポリシーの変更通知 ・ネットワーク系のモニタ通知

  8. 診断結果 診断の対象は2019年ごろに構築したAWS上の分析基盤システムです。 分析基盤なのでかなりセキュアなシステムです。 IAM ・不要なアクセスキーが残っている ・ポリシーのユーザー/ロール直当て ・アクセスアナライザー無効 Config CloudTrail ・使われていたが、

     初期導入ツールで  設定されたものだけだった ・そもそも動いてなかった KMS マスターキーがローテされてない CloudWatch ・APIコールの通知 ・IAMポリシーの変更通知 ・ネットワーク系のモニタ通知 刷新!

  9. 対処します

  10. 監査ログ用 別AWSアカウント cron cron cron config S3アクセスログ TrailとConfigのバックアップを強固に あ Trail

    ・CloudWatchへの出力 ・S3へ出力しアクセスログも取得、  さらに監査用ログとして別アカウントS3へコピー Config ・S3へ出力 ・監査用ログとして別アカウントS3へコピー ・ConfigのSNS通知はうるさくなりすぎるので  やらない方向に倒した ※別アカウントへのコピーはちょっとアナログだけど、  EC2からS3コマンドをcronで流している。  ここはLambdaとEventBridgeでもできるはず。たぶん。

  11. IAM Access Analyzer 有効化 ポチッとして名前いいれるだけです。超簡単。 お金 かかりません。やらない損です。やりましょう。 何ができるのか ポリシーにおける外部からのアクセスが できるようになりえるものを検知してくれます。

  12. Thanks!! 古いシステムだとやっぱり考慮もれとかでいろいろやれ てないことが多いです。 Tenableは脆弱性診断という意味ではもちろん、システ ムを見直すきっかけとして良いので、構築してから時間 たってるシステムはぜひ見直ししましょう。 本資料 https://speakerdeck.com/hiyanger/cloud-security-da y-2023-awshuan-jing-nitenablesitara-warawarawen-ti -gadetahua

    https://twitter.com/hiyanger https://qiita.com/hiyanger https://zenn.dev/hiyanger