Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS環境にTenableしたら わらわら問題がでた話
Search
hiyanger
November 18, 2023
Technology
0
170
AWS環境にTenableしたら わらわら問題がでた話
2023 11/21 Cloud Security Day 2023
https://increments.connpass.com/event/298906/
hiyanger
November 18, 2023
Tweet
Share
More Decks by hiyanger
See All by hiyanger
これからクラウドエンジニアになるために本当に必要なスキル 5選
hiyanger
1
570
クラウド食堂とは?
hiyanger
0
200
Amazon ECS とマイクロサービスから考えるシステム構成
hiyanger
2
760
全身全霊で取り組んだ 2024 Qiita アドベントカレンダー
hiyanger
0
41
Terraform で作る Amazon ECS の CI/CD パイプライン
hiyanger
1
190
【AWS】EC2 基本アーキテクチャ(ハンズオン付き)
hiyanger
0
77
もういっそ AWS できなくても AWS できるようになるシステム作った
hiyanger
3
300
Terraform CI/CD パイプラインにおける AWS CodeCommit の代替手段
hiyanger
3
710
AWS 構成図を S3 にアップするだけで Terraform のコードを git push / pull request から terraform plan まで自動で動作するシステム
hiyanger
10
3.4k
Other Decks in Technology
See All in Technology
CARTA HOLDINGS エンジニア向け 採用ピッチ資料 / CARTA-GUIDE-for-Engineers
carta_engineering
0
27k
Previewでもここまで追える! Azure AI Foundryで始めるLLMトレース
tomodo_ysys
2
650
MCP でモノが動くとおもしろい/It is interesting when things move with MCP
bitkey
2
470
続・やっぱり余白が大切だった話
kakehashi
PRO
3
310
LINE 購物幕後推手
line_developers_tw
PRO
0
430
製造業向けIoTソリューション提案資料.pdf
haruki_uiru
0
250
OPENLOGI Company Profile for engineer
hr01
1
26k
地に足の付いた現実的な技術選定から魔力のある体験を得る『AIレシート読み取り機能』のケーススタディ / From Grounded Tech Choices to Magical UX: A Case Study of AI Receipt Scanning
moznion
3
1.2k
LLM アプリケーションのためのクラウドセキュリティ - CSPM の実装ポイント-
osakatechlab
0
400
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
7
63k
時間がないなら、つくればいい 〜数十人規模のチームが自律性を発揮するために試しているいくつかのこと〜
kakehashi
PRO
23
5.3k
250510 StepFunctionのテスト自動化始めました vol.1
east_takumi
1
210
Featured
See All Featured
Building a Modern Day E-commerce SEO Strategy
aleyda
40
7.2k
The Art of Programming - Codeland 2020
erikaheidi
54
13k
Building a Scalable Design System with Sketch
lauravandoore
462
33k
Building Applications with DynamoDB
mza
94
6.4k
Building Adaptive Systems
keathley
41
2.5k
KATA
mclloyd
29
14k
Automating Front-end Workflow
addyosmani
1370
200k
Site-Speed That Sticks
csswizardry
6
540
Designing for humans not robots
tammielis
253
25k
Unsuck your backbone
ammeep
671
58k
Speed Design
sergeychernyshev
29
940
Into the Great Unknown - MozCon
thekraken
38
1.8k
Transcript
AWS環境にTenableしたら わらわら問題がでた話
プロフィール 名前:檜山 準(ひやま じゅん) 所属:I◯◯◯ お仕事:クラウドエンジニア(設計、構築、運用保守) https://twitter.com/hiyanger https://qiita.com/hiyanger https://zenn.dev/hiyanger 最近よく使う技術:AWS、IaC、CI/CD
出身:栃木県 よかったら フォローしてね!
もくじ Tenableとは 既存システムにTenableかけたらどうなったか 診断結果の対策
Tenableってなんですか?
Tenableとは 脆弱性診断ツールです。AWSに流せばわら わら脆弱性を洗い出してくれます。 外部から診断する方法か、内部で専用の EC2をたててそこから診断する方法があり ます。
診断してみたww
診断結果 診断の対象は2019年ごろに構築したAWS上の分析基盤システムです。 分析基盤なのでかなりセキュアなシステムです。 IAM ・不要なアクセスキーが残っている ・ポリシーのユーザー/ロール直当て ・アクセスアナライザー無効 Config CloudTrail ・使われていたが、
初期導入ツールで 設定されたものだけだった ・そもそも動いてなかった KMS マスターキーがローテされてない CloudWatch ・APIコールの通知 ・IAMポリシーの変更通知 ・ネットワーク系のモニタ通知
診断結果 診断の対象は2019年ごろに構築したAWS上の分析基盤システムです。 分析基盤なのでかなりセキュアなシステムです。 IAM ・不要なアクセスキーが残っている ・ポリシーのユーザー/ロール直当て ・アクセスアナライザー無効 Config CloudTrail ・使われていたが、
初期導入ツールで 設定されたものだけだった ・そもそも動いてなかった KMS マスターキーがローテされてない CloudWatch ・APIコールの通知 ・IAMポリシーの変更通知 ・ネットワーク系のモニタ通知 刷新!
対処します
監査ログ用 別AWSアカウント cron cron cron config S3アクセスログ TrailとConfigのバックアップを強固に あ Trail
・CloudWatchへの出力 ・S3へ出力しアクセスログも取得、 さらに監査用ログとして別アカウントS3へコピー Config ・S3へ出力 ・監査用ログとして別アカウントS3へコピー ・ConfigのSNS通知はうるさくなりすぎるので やらない方向に倒した ※別アカウントへのコピーはちょっとアナログだけど、 EC2からS3コマンドをcronで流している。 ここはLambdaとEventBridgeでもできるはず。たぶん。
IAM Access Analyzer 有効化 ポチッとして名前いいれるだけです。超簡単。 お金 かかりません。やらない損です。やりましょう。 何ができるのか ポリシーにおける外部からのアクセスが できるようになりえるものを検知してくれます。
Thanks!! 古いシステムだとやっぱり考慮もれとかでいろいろやれ てないことが多いです。 Tenableは脆弱性診断という意味ではもちろん、システ ムを見直すきっかけとして良いので、構築してから時間 たってるシステムはぜひ見直ししましょう。 本資料 https://speakerdeck.com/hiyanger/cloud-security-da y-2023-awshuan-jing-nitenablesitara-warawarawen-ti -gadetahua
https://twitter.com/hiyanger https://qiita.com/hiyanger https://zenn.dev/hiyanger