Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS環境にTenableしたら わらわら問題がでた話

Avatar for hiyanger hiyanger
November 18, 2023
Technology
0
190

AWS環境にTenableしたら わらわら問題がでた話

2023 11/21 Cloud Security Day 2023
https://increments.connpass.com/event/298906/
Avatar for hiyanger

hiyanger

November 18, 2023
Tweet

More Decks by hiyanger

See All by hiyanger
(Amazon Bedrock 基礎)生成 AI の活用に導くシステム構築の基本とセキュリティの実装
Avatar for hiyanger hiyanger
4
55
CIer に在籍した 3年間 でやったこと
Avatar for hiyanger hiyanger
2
81
これからクラウドエンジニアになるために本当に必要なスキル 5選
Avatar for hiyanger hiyanger
1
620
クラウド食堂とは?
Avatar for hiyanger hiyanger
0
230
Amazon ECS とマイクロサービスから考えるシステム構成
Avatar for hiyanger hiyanger
2
870
全身全霊で取り組んだ 2024 Qiita アドベントカレンダー
Avatar for hiyanger hiyanger
0
55
Terraform で作る Amazon ECS の CI/CD パイプライン
Avatar for hiyanger hiyanger
1
250
【AWS】EC2 基本アーキテクチャ(ハンズオン付き)
Avatar for hiyanger hiyanger
0
98
もういっそ AWS できなくても AWS できるようになるシステム作った
Avatar for hiyanger hiyanger
3
310

Other Decks in Technology

See All in Technology
cdk initで生成されるあのファイル達は何なのか/cdk-init-generated-files
Avatar for tomoki10 tomoki10
1
540
Lakebaseを使ったAIエージェントを実装してみる
Avatar for camay kameitomohiro
0
180
AWS CDKの仕組み / how-aws-cdk-works
Avatar for k.goto gotok365
10
890
SRE不在の開発チームが障害対応と 向き合った100日間 / 100 days dealing with issues without SREs
Avatar for katsukamaru shin1988
2
1.5k
【LT会登壇資料】TROCCO新コネクタ「スマレジ」を活用した直営店データの分析
Avatar for sho choma kazari0425
1
170
AI エージェントと考え直すデータ基盤
Avatar for na0 na0
18
7.3k
United airlines®️ USA Contact Numbers: Complete 2025 Support Guide
Avatar for heron31238 unitedflyhelp
0
340
freeeのアクセシビリティの現在地 / freee's Current Position on Accessibility
Avatar for ymrl ymrl
2
280
ABEMAの本番環境負荷試験への挑戦
Avatar for Miyazaki Taiga mk2taiga
5
810
DBのスキルで生き残る技術 - AI時代におけるテーブル設計の勘所
Avatar for soudai sone soudai
PRO
55
22k
アクセスピークを制するオートスケール再設計: 障害を乗り越えKEDAで実現したリソース管理の最適化
Avatar for M-Yamashita myamashii
1
330
united airlines ™®️ USA Contact Numbers: Complete 2025 Support Guide
Avatar for yasam flyunitedhelp
1
470

Featured

See All Featured
Optimizing for Happiness
Avatar for Tom Preston-Werner mojombo
379
70k
Writing Fast Ruby
Avatar for Erik Berlin sferik
628
62k
The Power of CSS Pseudo Elements
Avatar for Geoffrey Crofte geoffreycrofte
77
5.9k
How to Think Like a Performance Engineer
Avatar for Harry Roberts csswizardry
25
1.7k
ReactJS: Keep Simple. Everything can be a component!
Avatar for Pedro Nauck pedronauck
667
120k
Adopting Sorbet at Scale
Avatar for Ufuk Kayserilioglu ufuk
77
9.5k
Practical Orchestrator
Avatar for Shlomi Noach shlominoach
189
11k
How GitHub (no longer) Works
Avatar for Zach Holman holman
314
140k
Designing Experiences People Love
Avatar for Jonathan Moore moore
142
24k
Fashionably flexible responsive web design (full day workshop)
Avatar for Andy Clarke malarkey
407
66k
JavaScript: Past, Present, and Future - NDC Porto 2020
Avatar for David Neal reverentgeek
50
5.5k
Fantastic passwords and where to find them - at NoRuKo
Avatar for Phil Nash philnash
51
3.3k

Transcript

  1. AWS環境にTenableしたら わらわら問題がでた話

  2. プロフィール 名前:檜山 準(ひやま じゅん) 所属:I◯◯◯ お仕事:クラウドエンジニア(設計、構築、運用保守) https://twitter.com/hiyanger https://qiita.com/hiyanger https://zenn.dev/hiyanger 最近よく使う技術:AWS、IaC、CI/CD 

    出身:栃木県 よかったら フォローしてね!

  3. もくじ Tenableとは 既存システムにTenableかけたらどうなったか 診断結果の対策

  4. Tenableってなんですか?

  5. Tenableとは 脆弱性診断ツールです。AWSに流せばわら わら脆弱性を洗い出してくれます。 外部から診断する方法か、内部で専用の EC2をたててそこから診断する方法があり ます。

  6. 診断してみたww

  7. 診断結果 診断の対象は2019年ごろに構築したAWS上の分析基盤システムです。 分析基盤なのでかなりセキュアなシステムです。 IAM ・不要なアクセスキーが残っている ・ポリシーのユーザー/ロール直当て ・アクセスアナライザー無効 Config CloudTrail ・使われていたが、

     初期導入ツールで  設定されたものだけだった ・そもそも動いてなかった KMS マスターキーがローテされてない CloudWatch ・APIコールの通知 ・IAMポリシーの変更通知 ・ネットワーク系のモニタ通知

  8. 診断結果 診断の対象は2019年ごろに構築したAWS上の分析基盤システムです。 分析基盤なのでかなりセキュアなシステムです。 IAM ・不要なアクセスキーが残っている ・ポリシーのユーザー/ロール直当て ・アクセスアナライザー無効 Config CloudTrail ・使われていたが、

     初期導入ツールで  設定されたものだけだった ・そもそも動いてなかった KMS マスターキーがローテされてない CloudWatch ・APIコールの通知 ・IAMポリシーの変更通知 ・ネットワーク系のモニタ通知 刷新!

  9. 対処します

  10. 監査ログ用 別AWSアカウント cron cron cron config S3アクセスログ TrailとConfigのバックアップを強固に あ Trail

    ・CloudWatchへの出力 ・S3へ出力しアクセスログも取得、  さらに監査用ログとして別アカウントS3へコピー Config ・S3へ出力 ・監査用ログとして別アカウントS3へコピー ・ConfigのSNS通知はうるさくなりすぎるので  やらない方向に倒した ※別アカウントへのコピーはちょっとアナログだけど、  EC2からS3コマンドをcronで流している。  ここはLambdaとEventBridgeでもできるはず。たぶん。

  11. IAM Access Analyzer 有効化 ポチッとして名前いいれるだけです。超簡単。 お金 かかりません。やらない損です。やりましょう。 何ができるのか ポリシーにおける外部からのアクセスが できるようになりえるものを検知してくれます。

  12. Thanks!! 古いシステムだとやっぱり考慮もれとかでいろいろやれ てないことが多いです。 Tenableは脆弱性診断という意味ではもちろん、システ ムを見直すきっかけとして良いので、構築してから時間 たってるシステムはぜひ見直ししましょう。 本資料 https://speakerdeck.com/hiyanger/cloud-security-da y-2023-awshuan-jing-nitenablesitara-warawarawen-ti -gadetahua

    https://twitter.com/hiyanger https://qiita.com/hiyanger https://zenn.dev/hiyanger