Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS環境にTenableしたら わらわら問題がでた話
Search
hiyanger
November 18, 2023
Technology
0
170
AWS環境にTenableしたら わらわら問題がでた話
2023 11/21 Cloud Security Day 2023
https://increments.connpass.com/event/298906/
hiyanger
November 18, 2023
Tweet
Share
More Decks by hiyanger
See All by hiyanger
これからクラウドエンジニアになるために本当に必要なスキル 5選
hiyanger
1
530
クラウド食堂とは?
hiyanger
0
200
Amazon ECS とマイクロサービスから考えるシステム構成
hiyanger
2
710
全身全霊で取り組んだ 2024 Qiita アドベントカレンダー
hiyanger
0
40
Terraform で作る Amazon ECS の CI/CD パイプライン
hiyanger
1
180
【AWS】EC2 基本アーキテクチャ(ハンズオン付き)
hiyanger
0
71
もういっそ AWS できなくても AWS できるようになるシステム作った
hiyanger
3
290
Terraform CI/CD パイプラインにおける AWS CodeCommit の代替手段
hiyanger
2
670
AWS 構成図を S3 にアップするだけで Terraform のコードを git push / pull request から terraform plan まで自動で動作するシステム
hiyanger
10
3.3k
Other Decks in Technology
See All in Technology
LLM とプロンプトエンジニアリング/チューターをビルドする / LLM, Prompt Engineering and Building Tutors
ks91
PRO
1
250
AWSLambdaMCPServerを使ってツールとMCPサーバを分離する
tkikuchi
1
3k
より良い開発者体験を実現するために~開発初心者が感じた生成AIの可能性~
masakiokuda
0
160
バクラクの認証基盤の成長と現在地 / bakuraku-authn-platform
convto
1
380
watsonx.data上のベクトル・データベース Milvusを見てみよう/20250418-milvus-dojo
mayumihirano
0
110
プロダクト開発におけるAI時代の開発生産性
shnjtk
2
240
AWSで作るセキュアな認証基盤with OAuth mTLS / Secure Authentication Infrastructure with OAuth mTLS on AWS
kaminashi
0
150
バックオフィス向け toB SaaS バクラクにおけるレコメンド技術活用 / recommender-systems-in-layerx-bakuraku
yuya4
5
530
Amazon CloudWatchで始める エンドユーザー体験のモニタリング
o11yfes2023
0
190
Linuxのパッケージ管理とアップデート基礎知識
go_nishimoto
0
150
DuckDB MCPサーバーを使ってAWSコストを分析させてみた / AWS cost analysis with DuckDB MCP server
masahirokawahara
0
1.2k
新卒エンジニアがCICDをモダナイズしてみた話
akashi_sn
2
220
Featured
See All Featured
Building Flexible Design Systems
yeseniaperezcruz
329
38k
Into the Great Unknown - MozCon
thekraken
37
1.7k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
32
2.2k
We Have a Design System, Now What?
morganepeng
52
7.5k
Build The Right Thing And Hit Your Dates
maggiecrowley
35
2.6k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.4k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
8
660
Producing Creativity
orderedlist
PRO
344
40k
YesSQL, Process and Tooling at Scale
rocio
172
14k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
129
19k
Embracing the Ebb and Flow
colly
85
4.6k
Optimizing for Happiness
mojombo
377
70k
Transcript
AWS環境にTenableしたら わらわら問題がでた話
プロフィール 名前:檜山 準(ひやま じゅん) 所属:I◯◯◯ お仕事:クラウドエンジニア(設計、構築、運用保守) https://twitter.com/hiyanger https://qiita.com/hiyanger https://zenn.dev/hiyanger 最近よく使う技術:AWS、IaC、CI/CD
出身:栃木県 よかったら フォローしてね!
もくじ Tenableとは 既存システムにTenableかけたらどうなったか 診断結果の対策
Tenableってなんですか?
Tenableとは 脆弱性診断ツールです。AWSに流せばわら わら脆弱性を洗い出してくれます。 外部から診断する方法か、内部で専用の EC2をたててそこから診断する方法があり ます。
診断してみたww
診断結果 診断の対象は2019年ごろに構築したAWS上の分析基盤システムです。 分析基盤なのでかなりセキュアなシステムです。 IAM ・不要なアクセスキーが残っている ・ポリシーのユーザー/ロール直当て ・アクセスアナライザー無効 Config CloudTrail ・使われていたが、
初期導入ツールで 設定されたものだけだった ・そもそも動いてなかった KMS マスターキーがローテされてない CloudWatch ・APIコールの通知 ・IAMポリシーの変更通知 ・ネットワーク系のモニタ通知
診断結果 診断の対象は2019年ごろに構築したAWS上の分析基盤システムです。 分析基盤なのでかなりセキュアなシステムです。 IAM ・不要なアクセスキーが残っている ・ポリシーのユーザー/ロール直当て ・アクセスアナライザー無効 Config CloudTrail ・使われていたが、
初期導入ツールで 設定されたものだけだった ・そもそも動いてなかった KMS マスターキーがローテされてない CloudWatch ・APIコールの通知 ・IAMポリシーの変更通知 ・ネットワーク系のモニタ通知 刷新!
対処します
監査ログ用 別AWSアカウント cron cron cron config S3アクセスログ TrailとConfigのバックアップを強固に あ Trail
・CloudWatchへの出力 ・S3へ出力しアクセスログも取得、 さらに監査用ログとして別アカウントS3へコピー Config ・S3へ出力 ・監査用ログとして別アカウントS3へコピー ・ConfigのSNS通知はうるさくなりすぎるので やらない方向に倒した ※別アカウントへのコピーはちょっとアナログだけど、 EC2からS3コマンドをcronで流している。 ここはLambdaとEventBridgeでもできるはず。たぶん。
IAM Access Analyzer 有効化 ポチッとして名前いいれるだけです。超簡単。 お金 かかりません。やらない損です。やりましょう。 何ができるのか ポリシーにおける外部からのアクセスが できるようになりえるものを検知してくれます。
Thanks!! 古いシステムだとやっぱり考慮もれとかでいろいろやれ てないことが多いです。 Tenableは脆弱性診断という意味ではもちろん、システ ムを見直すきっかけとして良いので、構築してから時間 たってるシステムはぜひ見直ししましょう。 本資料 https://speakerdeck.com/hiyanger/cloud-security-da y-2023-awshuan-jing-nitenablesitara-warawarawen-ti -gadetahua
https://twitter.com/hiyanger https://qiita.com/hiyanger https://zenn.dev/hiyanger