Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュリティ強化のための自動化 / security-automation

Avatar for Manabu Sakai Manabu Sakai
December 12, 2017
Technology
3
11k

セキュリティ強化のための自動化 / security-automation

SRE-SET Automation Night
Avatar for Manabu Sakai

Manabu Sakai

December 12, 2017
Tweet

More Decks by Manabu Sakai

See All by Manabu Sakai
アウトプットが切り拓いた自分のエンジニア人生 / Infra Study 2nd #8
Avatar for Manabu Sakai manabusakai
0
28k
GitHub Actions の self-hosted runner と Amazon EKS を使った Docker のビルドパイプライン / secure-docker-build-pipeline
Avatar for Manabu Sakai manabusakai
0
2.1k
SaaS における EKS のシングルテナントクラスタ戦略とスポットインスタンス活用術 / EKS single-tenant cluster strategy and Spot Instances
Avatar for Manabu Sakai manabusakai
0
7.2k
freee のエンジニアは障害から何を学び、どう改善しているのか? / What do freee engineers learn and improve from failures?
Avatar for Manabu Sakai manabusakai
8
19k
我々は Kubernetes の何を監視すればいいのか? / CloudNative Days Kansai 2019
Avatar for Manabu Sakai manabusakai
25
8.6k
CI/CD パイプラインを最速で組み立てるための 4 つのポイント / Four points to assemble the CI CD pipeline fastest
Avatar for Manabu Sakai manabusakai
9
3.7k
Kubernetes を使ってエンジニア組織の生産性を上げよう / kubernetes-and-engineer-productivity
Avatar for Manabu Sakai manabusakai
3
7.3k
freee のマイクロサービスを K8s + Go で組む! 短期プロジェクト成功の記録 / microservices-using-k8s-and-go
Avatar for Manabu Sakai manabusakai
4
10k
Kubernetes 入門者が 3 か月で本番導入するためにやったこと / kubernetes-beginner
Avatar for Manabu Sakai manabusakai
7
14k

Other Decks in Technology

See All in Technology
Azure & DevSecOps
Avatar for KAMEGAWA Kazushi kkamegawa
2
200
[新卒向け研修資料] テスト文字列に「うんこ」と入れるな(2025年版)
Avatar for Infiniteloop infiniteloop_inc
13
43k
Ruby on Rails の楽しみ方
Avatar for morihirok morihirok
6
2.9k
技術選定を突き詰める 懇親会LT
Avatar for Kaoru okaru
2
1.1k
正式リリースされた Semantic Kernel の Agent Framework 全部紹介!
Avatar for Kazuki okazuki
1
1.2k
計装を見直してアプリケーションパフォーマンスを改善させた話
Avatar for Kazuki Obata donkomura
2
150
SRE本出版からまもなく10年!〜これまでに何が起こり、これから何が起こるのか〜
Avatar for katsuhisa_ katsuhisa91
PRO
0
350
ペアーズにおける評価ドリブンな AI Agent 開発のご紹介
Avatar for fukubaka0825 fukubaka0825
11
2.7k
kernelvm-brain-net
Avatar for らすぴー raspython3
0
630
SaaS公式MCPサーバーをリリースして得た学び
Avatar for ryo kawamataryo
5
1.4k
"発信文化"をどうやって計測する?技術広報のKPI探索記/How do we measure communication culture?
Avatar for 株式会社ビットキー / Bitkey Inc. bitkey
4
330
AWSを利用する上で知っておきたい名前解決の話
Avatar for nagisa_53 nagisa53
6
840

Featured

See All Featured
Practical Orchestrator
Avatar for Shlomi Noach shlominoach
187
11k
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1031
460k
A better future with KSS
Avatar for Kyle Neath kneath
239
17k
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
693
190k
Designing Experiences People Love
Avatar for Jonathan Moore moore
142
24k
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
54
5.5k
The Success of Rails: Ensuring Growth for the Next 100 Years
Avatar for Eileen M. Uchitelle eileencodes
45
7.2k
Java REST API Framework Comparison - PWX 2021
Avatar for Matt Raible mraible
31
8.6k
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
PRO
19
1.2k
Raft: Consensus for Rubyists
Avatar for Patrick Van Stee vanstee
137
6.9k
How to Ace a Technical Interview
Avatar for Jacob Kaplan-Moss jacobian
276
23k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
Avatar for Marc Duiker marcduiker
30
2k

Transcript

  1. セキュリティ強化のための自動化 SRE-SET Automation Night

  2. 自己紹介 • 坂井 学(さかい まなぶ) • 2016 年に SRE エンジニアとして入社

    • 最近は Ruby / Go を書いています • 得意分野は AWS ◦ AWS 認定ソリューションアーキテクト - プロフェッショナル ◦ AWS 認定 DevOps エンジニア - プロフェッショナル

  3. 自己紹介 Twitter / GitHub @manabusakai

  4. スモールビジネスに携わる方が より創造的な活動にフォーカスできるよう

  5. freee が提供するサービス • 会計 freee • 人事労務 freee • 会社設立

    freee • 開業 freee • マイナンバー管理 freee お金 人 人

  6. “人やお金”に関わる情報漏洩は 絶対に起こしてはならない

  7. そのためには… • セキュリティパッチが出たらすぐに適用したい ◦ 場合によっては 1 分 1 秒を争うがすぐに適用できる? •

    外部からの怪しい攻撃は自動的に遮断したい ◦ 攻撃されてから気づくことの方が多い? 他にも様々なポイントがありますが今回は割愛します。

  8. CodeBuild を使った AMI 作成 • Context ◦ freee で運用している EC2

    は Golden AMI 方式 ◦ パッチを当てるには AMI を作り直して Auto Scaling で入れ替え ◦ Ansible + Packer でコード管理

  9. CodeBuild を使った AMI 作成 • Before ◦ SRE が手動で Packer

    を実行して AMI を作成 ◦ AMI の種類が多いのですべて作り直すには時間がかかる ◦ 脆弱性が発見されると手分けしてやっていた…

  10. CodeBuild を使った AMI 作成 1 コマンドを 流すだけ 数に応じて並 列化 ref:

    https://blog.manabusakai.com/2017/07/create-ami-with-codebuild/

  11. CodeBuild を使った AMI 作成 • After ◦ 面倒で時間のかかる作業を完全に自動化 ◦ ビルドを並列化することで時間短縮

    ◦ 本番環境に迅速にパッチを適用できるようになった

  12. AWS WAF を使った攻撃の自動遮断 • Before ◦ DoS 攻撃やリスト型攻撃の検知が後手に回る ◦ 攻撃側の

    IP アドレスが頻繁に変わるので、 Security Group や Network ACL の遮断では限界がある ◦ 深夜や早朝など手薄な時間帯ができてしまう

  13. DoS 攻撃は 自動的に遮断 サーバの負荷 は上がらない AWS WAF を使った攻撃の自動遮断 ref: https://blog.manabusakai.com/2017/07/aws-waf-rate-based-rule/

  14. AWS WAF を使った攻撃の自動遮断 • After ◦ DoS 攻撃やリスト型攻撃を自動的に遮断できる ◦ 自動的に遮断してくれるので余裕を持って調査できる

    ◦ ALB で遮断するので Web サーバの負荷が上がらない

  15. まとめ • アイデア次第でセキュリティ強化も自動化できる時代 • freee の SRE はユーザーに本質的な価値を届けるために、 安心して使えるインフラ環境を目指しています!