Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS環境にTenableしたら わらわら問題がでた話

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for hiyanger hiyanger
November 18, 2023
Technology
0
230

AWS環境にTenableしたら わらわら問題がでた話

2023 11/21 Cloud Security Day 2023
https://increments.connpass.com/event/298906/

Avatar for hiyanger

hiyanger

November 18, 2023
Tweet

More Decks by hiyanger

See All by hiyanger
Terraform やるなら公式スタイルガイドを読もう 〜重要項目 10選〜
Avatar for hiyanger hiyanger
14
3.8k
(Amazon Bedrock 基礎)生成 AI の活用に導くシステム構築の基本とセキュリティの実装
Avatar for hiyanger hiyanger
4
120
CIer に在籍した 3年間 でやったこと
Avatar for hiyanger hiyanger
2
310
これからクラウドエンジニアになるために本当に必要なスキル 5選
Avatar for hiyanger hiyanger
1
770
クラウド食堂とは?
Avatar for hiyanger hiyanger
0
400
Amazon ECS とマイクロサービスから考えるシステム構成
Avatar for hiyanger hiyanger
2
1.4k
全身全霊で取り組んだ 2024 Qiita アドベントカレンダー
Avatar for hiyanger hiyanger
0
110
Terraform で作る Amazon ECS の CI/CD パイプライン
Avatar for hiyanger hiyanger
1
440
【AWS】EC2 基本アーキテクチャ(ハンズオン付き)
Avatar for hiyanger hiyanger
0
220

Other Decks in Technology

See All in Technology
ReactのdangerouslySetInnerHTMLは“dangerously”だから危険 / Security.any #09 卒業したいセキュリティLT
Avatar for GMO Flatt Security flatt_security
0
390
【社内勉強会】新年度からコーディングエージェントを使いこなす - 構造と制約で引き出すClaude Codeの実践知
Avatar for nwiizo nwiizo
9
5.2k
「お金で解決」が全てではない!大規模WebアプリのCI高速化 #phperkaigi
Avatar for すてにゃん stefafafan
4
2.1k
スケールアップ企業でQA組織が機能し続けるための組織設計と仕組み〜ボトムアップとトップダウンを両輪としたアプローチ〜

Avatar for tarappo tarappo
3
300
【Λ(らむだ)】最近のアプデ情報 / RPALT20260318
Avatar for Λ lambda
0
140
テストプロセスにおけるAI活用 :人間とAIの共存
Avatar for hacomono Inc. hacomono
PRO
0
120
ABEMAのバグバウンティの取り組み
Avatar for Kurochan kurochan
1
150
ガバメントクラウドにおけるAWSの長期継続割引について
Avatar for takeda_h takeda_h
2
5.4k
Phase12_総括_自走化
Avatar for overflow ,Inc overflowinc
0
500
フロントエンド刷新 4年間の軌跡
Avatar for nus3 yotahada3
0
530
CyberAgentの生成AI戦略 〜変わるものと変わらないもの〜
Avatar for katayan katayan
0
280
スピンアウト講座06_認証系(API-OAuth-MCP)入門
Avatar for overflow ,Inc overflowinc
0
390

Featured

See All Featured
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
32
2.5k
Evolving SEO for Evolving Search Engines
Avatar for Ryan Jones ryanjones
0
160
Efficient Content Optimization with Google Search Console & Apps Script
Avatar for Katarina Dahlin katarinadahlin
PRO
1
420
Ethics towards AI in product and experience design
Avatar for Skipper Chong Warson skipperchong
2
230
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
55
9.8k
Technical Leadership for Architectural Decision Making
Avatar for Kenny Baas-Schwegler baasie
3
300
KATA
Avatar for Megan Lloyd mclloyd
PRO
35
15k
Fireside Chat
Avatar for paigeccino paigeccino
42
3.8k
Statistics for Hackers
Avatar for Jake VanderPlas jakevdp
799
230k
How to Grow Your eCommerce with AI & Automation
Avatar for Katarina Dahlin katarinadahlin
PRO
1
150
Collaborative Software Design: How to facilitate domain modelling decisions
Avatar for Kenny Baas-Schwegler baasie
0
160
Mind Mapping
Avatar for Hélio Medeiros helmedeiros
PRO
1
130

Transcript

  1. AWS環境にTenableしたら わらわら問題がでた話

  2. プロフィール 名前:檜山 準(ひやま じゅん) 所属:I◯◯◯ お仕事:クラウドエンジニア(設計、構築、運用保守) https://twitter.com/hiyanger https://qiita.com/hiyanger https://zenn.dev/hiyanger 最近よく使う技術:AWS、IaC、CI/CD 

    出身:栃木県 よかったら フォローしてね!

  3. もくじ Tenableとは 既存システムにTenableかけたらどうなったか 診断結果の対策

  4. Tenableってなんですか?

  5. Tenableとは 脆弱性診断ツールです。AWSに流せばわら わら脆弱性を洗い出してくれます。 外部から診断する方法か、内部で専用の EC2をたててそこから診断する方法があり ます。

  6. 診断してみたww

  7. 診断結果 診断の対象は2019年ごろに構築したAWS上の分析基盤システムです。 分析基盤なのでかなりセキュアなシステムです。 IAM ・不要なアクセスキーが残っている ・ポリシーのユーザー/ロール直当て ・アクセスアナライザー無効 Config CloudTrail ・使われていたが、

     初期導入ツールで  設定されたものだけだった ・そもそも動いてなかった KMS マスターキーがローテされてない CloudWatch ・APIコールの通知 ・IAMポリシーの変更通知 ・ネットワーク系のモニタ通知

  8. 診断結果 診断の対象は2019年ごろに構築したAWS上の分析基盤システムです。 分析基盤なのでかなりセキュアなシステムです。 IAM ・不要なアクセスキーが残っている ・ポリシーのユーザー/ロール直当て ・アクセスアナライザー無効 Config CloudTrail ・使われていたが、

     初期導入ツールで  設定されたものだけだった ・そもそも動いてなかった KMS マスターキーがローテされてない CloudWatch ・APIコールの通知 ・IAMポリシーの変更通知 ・ネットワーク系のモニタ通知 刷新!

  9. 対処します

  10. 監査ログ用 別AWSアカウント cron cron cron config S3アクセスログ TrailとConfigのバックアップを強固に あ Trail

    ・CloudWatchへの出力 ・S3へ出力しアクセスログも取得、  さらに監査用ログとして別アカウントS3へコピー Config ・S3へ出力 ・監査用ログとして別アカウントS3へコピー ・ConfigのSNS通知はうるさくなりすぎるので  やらない方向に倒した ※別アカウントへのコピーはちょっとアナログだけど、  EC2からS3コマンドをcronで流している。  ここはLambdaとEventBridgeでもできるはず。たぶん。

  11. IAM Access Analyzer 有効化 ポチッとして名前いいれるだけです。超簡単。 お金 かかりません。やらない損です。やりましょう。 何ができるのか ポリシーにおける外部からのアクセスが できるようになりえるものを検知してくれます。

  12. Thanks!! 古いシステムだとやっぱり考慮もれとかでいろいろやれ てないことが多いです。 Tenableは脆弱性診断という意味ではもちろん、システ ムを見直すきっかけとして良いので、構築してから時間 たってるシステムはぜひ見直ししましょう。 本資料 https://speakerdeck.com/hiyanger/cloud-security-da y-2023-awshuan-jing-nitenablesitara-warawarawen-ti -gadetahua

    https://twitter.com/hiyanger https://qiita.com/hiyanger https://zenn.dev/hiyanger