Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS環境にTenableしたら わらわら問題がでた話
Search
hiyanger
November 18, 2023
Technology
0
110
AWS環境にTenableしたら わらわら問題がでた話
2023 11/21 Cloud Security Day 2023
https://increments.connpass.com/event/298906/
hiyanger
November 18, 2023
Tweet
Share
More Decks by hiyanger
See All by hiyanger
AWS 構成図を S3 にアップするだけで Terraform のコードを git push / pull request から terraform plan まで自動で動作するシステム
hiyanger
7
2k
テックブログのレベルを上げるために 抑えておくべき3つのポイント
hiyanger
0
81
もくもく会はなぜ良いのか?
hiyanger
0
61
AWS Codeシリーズ Terraformパイプライン 勉強会/ハンズオン
hiyanger
0
98
AWS Codeシリーズで構築したTerraformパイプラインのユーザー側IAM
hiyanger
0
130
AWS Codeシリーズを使った TerraformのCICDパイプラインの作り方
hiyanger
1
530
Codeシリーズで作るTerraformのCICDパイプラインの概要
hiyanger
2
320
技術領域や裁量を飛躍させる転職
hiyanger
0
51
IaC(CloudFormaitonでログ運用と監視システムを作ってみて)
hiyanger
0
94
Other Decks in Technology
See All in Technology
Databricksで構築する初めての複合AIシステム - ML15min
taka_aki
2
1.3k
API開発健全性 〜 持続可能で高品質なAPIのためのアプローチ 〜
nagix
2
210
DevOpsに関連するツールとその概要を淡々と読み上げる会
devops_vtj
1
140
AIを使って小説を書こう!【2024/10/25講演資料】
kamomeashizawa
0
160
30万人が利用するチャットをFirebase Realtime DatabaseからActionCableへ移行する方法
ryosk7
2
240
Overview of file type identifiers
ange
0
200
生成AI、LLMの いまさら聞けないキホンのキ!/ Generative AI and LLM 101
gakumura
1
240
Data Migration on Rails
ohbarye
6
3.4k
JPOUG_10_20241018_OracleDB_AWS_v1.3.pdf
asahihidehiko
2
240
都市伝説バスターズ「WebアプリのボトルネックはDBだから言語の性能は関係ない」 - Kaigi on Rails 2024
osyoyu
8
3k
日経ビジュアルデータにおける スクロールテリングと地図/nikkei-tech-talk-26
nikkei_engineer_recruiting
0
150
カメラ単体で物体の3次元 座標を扱う方法
kenmatsu4
1
210
Featured
See All Featured
Java REST API Framework Comparison - PWX 2021
mraible
PRO
28
7.8k
Agile that works and the tools we love
rasmusluckow
327
21k
Reflections from 52 weeks, 52 projects
jeffersonlam
346
20k
How to Ace a Technical Interview
jacobian
275
23k
Building Applications with DynamoDB
mza
90
6k
Intergalactic Javascript Robots from Outer Space
tanoku
268
27k
Being A Developer After 40
akosma
86
590k
Optimizing for Happiness
mojombo
376
69k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.1k
Fashionably flexible responsive web design (full day workshop)
malarkey
404
65k
What's new in Ruby 2.0
geeforr
342
31k
Bash Introduction
62gerente
608
210k
Transcript
AWS環境にTenableしたら わらわら問題がでた話
プロフィール 名前:檜山 準(ひやま じゅん) 所属:I◯◯◯ お仕事:クラウドエンジニア(設計、構築、運用保守) https://twitter.com/hiyanger https://qiita.com/hiyanger https://zenn.dev/hiyanger 最近よく使う技術:AWS、IaC、CI/CD
出身:栃木県 よかったら フォローしてね!
もくじ Tenableとは 既存システムにTenableかけたらどうなったか 診断結果の対策
Tenableってなんですか?
Tenableとは 脆弱性診断ツールです。AWSに流せばわら わら脆弱性を洗い出してくれます。 外部から診断する方法か、内部で専用の EC2をたててそこから診断する方法があり ます。
診断してみたww
診断結果 診断の対象は2019年ごろに構築したAWS上の分析基盤システムです。 分析基盤なのでかなりセキュアなシステムです。 IAM ・不要なアクセスキーが残っている ・ポリシーのユーザー/ロール直当て ・アクセスアナライザー無効 Config CloudTrail ・使われていたが、
初期導入ツールで 設定されたものだけだった ・そもそも動いてなかった KMS マスターキーがローテされてない CloudWatch ・APIコールの通知 ・IAMポリシーの変更通知 ・ネットワーク系のモニタ通知
診断結果 診断の対象は2019年ごろに構築したAWS上の分析基盤システムです。 分析基盤なのでかなりセキュアなシステムです。 IAM ・不要なアクセスキーが残っている ・ポリシーのユーザー/ロール直当て ・アクセスアナライザー無効 Config CloudTrail ・使われていたが、
初期導入ツールで 設定されたものだけだった ・そもそも動いてなかった KMS マスターキーがローテされてない CloudWatch ・APIコールの通知 ・IAMポリシーの変更通知 ・ネットワーク系のモニタ通知 刷新!
対処します
監査ログ用 別AWSアカウント cron cron cron config S3アクセスログ TrailとConfigのバックアップを強固に あ Trail
・CloudWatchへの出力 ・S3へ出力しアクセスログも取得、 さらに監査用ログとして別アカウントS3へコピー Config ・S3へ出力 ・監査用ログとして別アカウントS3へコピー ・ConfigのSNS通知はうるさくなりすぎるので やらない方向に倒した ※別アカウントへのコピーはちょっとアナログだけど、 EC2からS3コマンドをcronで流している。 ここはLambdaとEventBridgeでもできるはず。たぶん。
IAM Access Analyzer 有効化 ポチッとして名前いいれるだけです。超簡単。 お金 かかりません。やらない損です。やりましょう。 何ができるのか ポリシーにおける外部からのアクセスが できるようになりえるものを検知してくれます。
Thanks!! 古いシステムだとやっぱり考慮もれとかでいろいろやれ てないことが多いです。 Tenableは脆弱性診断という意味ではもちろん、システ ムを見直すきっかけとして良いので、構築してから時間 たってるシステムはぜひ見直ししましょう。 本資料 https://speakerdeck.com/hiyanger/cloud-security-da y-2023-awshuan-jing-nitenablesitara-warawarawen-ti -gadetahua
https://twitter.com/hiyanger https://qiita.com/hiyanger https://zenn.dev/hiyanger