Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Bastion ~ AWS Fargateで実現するサーバーレスな踏み台設計 / Bastio...

iselegant
September 25, 2020
22k

Bastion ~ AWS Fargateで実現するサーバーレスな踏み台設計 / Bastion using AWS Fargate

Infra Study Meetup #6でのLT登壇資料になります。

iselegant

September 25, 2020
Tweet

More Decks by iselegant

Transcript

  1. A W S F a r g a t e

    Ͱ ࣮ ݱ ͢ Δ α ʔ ό ʔ Ϩ ε ͳ ౿ Έ ୆ ઃ ܭ B a s t i o n Infra Study Meetup #6 Lightning Talk @msy78
  2. ύϒϦοΫͳωοτϫʔΫ͔Βɺ ϓϥΠϕʔτωοτϫʔΫ಺ʹΞΫηε͢ΔͨΊͷαʔόʔ Bastion ϗετͱ͸ʁ ...a system identified by the firewall

    administrator as a critical strong point in the network security. Generally, bastion hosts will have some degree of extra attention paid to their security, may undergo regular audits, and may have modified software. Bastion Λհ͞ͳ͍ͱϓϥΠϕʔτ಺ʹ͸৵ೖͰ͖ͳ͍ɻ Ref: http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.31.6790&rep=rep1&type=pdf discussing firewalls in 1990 by Marcus J. Ranum
  3. EC2 ͷઃܭɾӡ༻͸खؒͳͷͰ΋ͬͱָʹ͍ͨ͠ AWS提⽰のセキュリティ責任共有モデルに従ってユーザー側で担当する範囲が広い վળ఺ͦͷɿ Ref: https://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-online-seminar-2016 ސ٬σʔλ ΫϥΠΞϯτଆͷσʔλ҉߸Խ ͱσʔλͷ੔߹ੑݕূ αʔόଆͷ҉߸Խ

    ʢϑΝΠϧγεςϜ͓Αͼσʔλʣ /8τϥϑΟοΫͷอޢ ʢ҉߸Խ੔߹ੑΞΠσϯςΟςΟʣ ϓϥοτϑΥʔϜɺΞϓϦέʔγϣϯ ϑΝΠΞ΢Υʔϧߏ੒ ΦϖϨʔςΟϯάɾγεςϜɺωοτϫʔΫߏ੒ ΞΠσϯςΟςΟ ΞΫηε؅ཧ ج൫αʔϏε ίϯϐϡʔςΟϯά ετϨʔδ σʔλϕʔε ωοτϫʔΫ AWS άϩʔόϧ ΠϯϑϥετϥΫνϟ ΞϕΠϥϏϦςΟκʔϯ Ϧʔδϣϯ Τοδ ϩʔέʔγϣϯ "84*". 利⽤者 による管理 AWS による管理
  4. ウィルス/マルウェア対 策 ・ 監 査 ロ グ 取 得 ・

    パーミッション設計・OS ユーザー/グループ設計・ OSライブラリバージョン 管理・カーネルパラメー タ・ネットワークセキュ リ テ ィ ・ デ ィ ス ク パ ー ティショニング・SSH鍵 管 理 ・ P A M 設 計 FISC 安全対策基準 ۀքඪ४ίϯϓϥΠΞϯε΍ ن੍ͷ४ڌཁٻ͸ OS ྖҬ΋ର৅ ӡ༻ෛՙ͕ߴ͘ͳΓ͕ͪɻ
  5. Ref: https://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-online-seminar-2016 ސ٬σʔλ ΫϥΠΞϯτଆͷσʔλ҉߸Խ ͱσʔλͷ੔߹ੑݕূ αʔόଆͷ҉߸Խ ʢϑΝΠϧγεςϜ͓Αͼσʔλʣ /8τϥϑΟοΫͷอޢ ʢ҉߸Խ੔߹ੑΞΠσϯςΟςΟʣ ϓϥοτϑΥʔϜɺΞϓϦέʔγϣϯ

    ϑΝΠΞ΢Υʔϧߏ੒ ΦϖϨʔςΟϯάɾγεςϜɺωοτϫʔΫߏ੒ ΞΠσϯςΟςΟ ΞΫηε؅ཧ ج൫αʔϏε ίϯϐϡʔςΟϯά ετϨʔδ σʔλϕʔε ωοτϫʔΫ AWS άϩʔόϧ ΠϯϑϥετϥΫνϟ ΞϕΠϥϏϦςΟκʔϯ Ϧʔδϣϯ Τοδ ϩʔέʔγϣϯ "84*". 利⽤者 による管理 AWS による管理 ίϯςφΠϝʔδ &$4ίϯϑΟά Ref: https://www.slideshare.net/AmazonWebServices/operational-excellence-with-containerized-workloads-using-aws-fargate-con320r1-aws-reinvent-2018 OSɺNW ߏ੒ɺίϯςφϓϥοτϑΥʔϜ͸ AWS ଆ͕؅ཧ 各種業界標準のコンプライアンスには AWS 側が準拠している Ref: https://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-online-seminar-2016
  6. AWS Fargate AWS Systems Manager (Session Manager) Fargate λεΫʹ SSM

    ΤʔδΣϯτΛಋೖ͢Ε͹ EC2 ಉ༷ΞΫηεՄೳʹͳΓͦ͏ʜ ✕