Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS環境にTenableしたら わらわら問題がでた話
Search
hiyanger
November 18, 2023
Technology
0
110
AWS環境にTenableしたら わらわら問題がでた話
2023 11/21 Cloud Security Day 2023
https://increments.connpass.com/event/298906/
hiyanger
November 18, 2023
Tweet
Share
More Decks by hiyanger
See All by hiyanger
Terraform CI/CD パイプラインにおける AWS CodeCommit の代替手段
hiyanger
1
240
AWS 構成図を S3 にアップするだけで Terraform のコードを git push / pull request から terraform plan まで自動で動作するシステム
hiyanger
9
2.4k
テックブログのレベルを上げるために 抑えておくべき3つのポイント
hiyanger
0
85
もくもく会はなぜ良いのか?
hiyanger
0
67
AWS Codeシリーズ Terraformパイプライン 勉強会/ハンズオン
hiyanger
0
110
AWS Codeシリーズで構築したTerraformパイプラインのユーザー側IAM
hiyanger
0
140
AWS Codeシリーズを使った TerraformのCICDパイプラインの作り方
hiyanger
1
560
Codeシリーズで作るTerraformのCICDパイプラインの概要
hiyanger
2
330
技術領域や裁量を飛躍させる転職
hiyanger
0
53
Other Decks in Technology
See All in Technology
データプロダクトの定義からはじめる、データコントラクト駆動なデータ基盤
chanyou0311
2
310
【若手エンジニア応援LT会】ソフトウェアを学んできた私がインフラエンジニアを目指した理由
kazushi_ohata
0
150
インフラとバックエンドとフロントエンドをくまなく調べて遅いアプリを早くした件
tubone24
1
430
初心者向けAWS Securityの勉強会mini Security-JAWSを9ヶ月ぐらい実施してきての近況
cmusudakeisuke
0
120
マルチプロダクトな開発組織で 「開発生産性」に向き合うために試みたこと / Improving Multi-Product Dev Productivity
sugamasao
1
300
EventHub Startup CTO of the year 2024 ピッチ資料
eventhub
0
110
New Relicを活用したSREの最初のステップ / NRUG OKINAWA VOL.3
isaoshimizu
2
600
透過型SMTPプロキシによる送信メールの可観測性向上: Update Edition / Improved observability of outgoing emails with transparent smtp proxy: Update edition
linyows
2
210
Oracle Cloud Infrastructure データベース・クラウド:各バージョンのサポート期間
oracle4engineer
PRO
28
12k
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
oracle4engineer
PRO
2
3.2k
スクラムチームを立ち上げる〜チーム開発で得られたもの・得られなかったもの〜
ohnoeight
2
350
AWS Lambdaと歩んだ“サーバーレス”と今後 #lambda_10years
yoshidashingo
1
170
Featured
See All Featured
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
A better future with KSS
kneath
238
17k
Git: the NoSQL Database
bkeepers
PRO
427
64k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
48k
How to train your dragon (web standard)
notwaldorf
88
5.7k
Building Your Own Lightsaber
phodgson
103
6.1k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
250
21k
Bootstrapping a Software Product
garrettdimon
PRO
305
110k
Documentation Writing (for coders)
carmenintech
65
4.4k
Side Projects
sachag
452
42k
Testing 201, or: Great Expectations
jmmastey
38
7.1k
Transcript
AWS環境にTenableしたら わらわら問題がでた話
プロフィール 名前:檜山 準(ひやま じゅん) 所属:I◯◯◯ お仕事:クラウドエンジニア(設計、構築、運用保守) https://twitter.com/hiyanger https://qiita.com/hiyanger https://zenn.dev/hiyanger 最近よく使う技術:AWS、IaC、CI/CD
出身:栃木県 よかったら フォローしてね!
もくじ Tenableとは 既存システムにTenableかけたらどうなったか 診断結果の対策
Tenableってなんですか?
Tenableとは 脆弱性診断ツールです。AWSに流せばわら わら脆弱性を洗い出してくれます。 外部から診断する方法か、内部で専用の EC2をたててそこから診断する方法があり ます。
診断してみたww
診断結果 診断の対象は2019年ごろに構築したAWS上の分析基盤システムです。 分析基盤なのでかなりセキュアなシステムです。 IAM ・不要なアクセスキーが残っている ・ポリシーのユーザー/ロール直当て ・アクセスアナライザー無効 Config CloudTrail ・使われていたが、
初期導入ツールで 設定されたものだけだった ・そもそも動いてなかった KMS マスターキーがローテされてない CloudWatch ・APIコールの通知 ・IAMポリシーの変更通知 ・ネットワーク系のモニタ通知
診断結果 診断の対象は2019年ごろに構築したAWS上の分析基盤システムです。 分析基盤なのでかなりセキュアなシステムです。 IAM ・不要なアクセスキーが残っている ・ポリシーのユーザー/ロール直当て ・アクセスアナライザー無効 Config CloudTrail ・使われていたが、
初期導入ツールで 設定されたものだけだった ・そもそも動いてなかった KMS マスターキーがローテされてない CloudWatch ・APIコールの通知 ・IAMポリシーの変更通知 ・ネットワーク系のモニタ通知 刷新!
対処します
監査ログ用 別AWSアカウント cron cron cron config S3アクセスログ TrailとConfigのバックアップを強固に あ Trail
・CloudWatchへの出力 ・S3へ出力しアクセスログも取得、 さらに監査用ログとして別アカウントS3へコピー Config ・S3へ出力 ・監査用ログとして別アカウントS3へコピー ・ConfigのSNS通知はうるさくなりすぎるので やらない方向に倒した ※別アカウントへのコピーはちょっとアナログだけど、 EC2からS3コマンドをcronで流している。 ここはLambdaとEventBridgeでもできるはず。たぶん。
IAM Access Analyzer 有効化 ポチッとして名前いいれるだけです。超簡単。 お金 かかりません。やらない損です。やりましょう。 何ができるのか ポリシーにおける外部からのアクセスが できるようになりえるものを検知してくれます。
Thanks!! 古いシステムだとやっぱり考慮もれとかでいろいろやれ てないことが多いです。 Tenableは脆弱性診断という意味ではもちろん、システ ムを見直すきっかけとして良いので、構築してから時間 たってるシステムはぜひ見直ししましょう。 本資料 https://speakerdeck.com/hiyanger/cloud-security-da y-2023-awshuan-jing-nitenablesitara-warawarawen-ti -gadetahua
https://twitter.com/hiyanger https://qiita.com/hiyanger https://zenn.dev/hiyanger
hiyanger
chanyou0311
kazushi_ohata
tubone24
cmusudakeisuke
sugamasao
eventhub
isaoshimizu
linyows
oracle4engineer
ohnoeight
yoshidashingo
thoeni
denniskardys
kneath
bkeepers
chrisshort
notwaldorf
phodgson
smashingmag
garrettdimon
carmenintech
sachag
jmmastey
