Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS re:Inforce recap 2019
Search
Masayoshi Mizutani
July 30, 2019
Technology
1
4.3k
AWS re:Inforce recap 2019
AWS re:Inforce 2019 re:Cap イベントで話したスライドです
https://awsreinforce2019recap.splashthat.com/
Masayoshi Mizutani
July 30, 2019
Tweet
Share
More Decks by Masayoshi Mizutani
See All by Masayoshi Mizutani
MCPの基礎とUbieにおける活用事例 /ubie-mcp
mizutani
3
1.9k
クラウドセキュリティのベストプラクティスと実装例 /cloudsec-bestpractice-example
mizutani
9
3k
汎用ポリシー言語Rego + OPAと認可・検証事例の紹介 / Introduction Rego & OPA for authorization and validation
mizutani
2
800
Ubieにおけるセキュリティ課題管理の自動化 / ubie-sec-issue-automation
mizutani
0
900
Trivy + Regoを用いたパッケージ脆弱性管理 /trivy-rego
mizutani
7
4.6k
リモートワークを支える 社内セキュリティ基盤の構築と運用 /secueiry-for-wfh
mizutani
0
750
SOARによるセキュリティ監視業務の効率化とSecOps /soar-and-secops
mizutani
1
1.1k
Amazon Athena を使った セキュリティログ検索基盤の構築 /seclog-athena
mizutani
5
3k
Webサービス事業会社におけるEDRの検討と導入の事例 /falcon2019
mizutani
1
790
Other Decks in Technology
See All in Technology
赤煉瓦倉庫勉強会「Databricksを選んだ理由と、絶賛真っ只中のデータ基盤移行体験記」
ivry_presentationmaterials
2
360
Beyond Kaniko: Navigating Unprivileged Container Image Creation
f30
0
130
【5分でわかる】セーフィー エンジニア向け会社紹介
safie_recruit
0
27k
開発生産性を組織全体の「生産性」へ! 部門間連携の壁を越える実践的ステップ
sudo5in5k
2
7.2k
事業成長の裏側:エンジニア組織と開発生産性の進化 / 20250703 Rinto Ikenoue
shift_evolve
PRO
2
22k
OSSのSNSツール「Misskey」をさわってみよう(右下ワイプで私のOSCの20年を振り返ります) / 20250705-osc2025-do
akkiesoft
0
170
整頓のジレンマとの戦い〜Tidy First?で振り返る事業とキャリアの歩み〜/Fighting the tidiness dilemma〜Business and Career Milestones Reflected on in Tidy First?〜
bitkey
2
16k
AI時代の開発生産性を加速させるアーキテクチャ設計
plaidtech
PRO
3
160
OPENLOGI Company Profile
hr01
0
67k
SmartNewsにおける 1000+ノード規模 K8s基盤 でのコスト最適化 – Spot・Gravitonの大規模導入への挑戦
vsanna2
0
130
NewSQLや分散データベースを支えるRaftの仕組み - 仕組みを理解して知る得意不得意
hacomono
PRO
2
160
fukabori.fm 出張版: 売上高617億円と高稼働率を陰で支えた社内ツール開発のあれこれ話 / 20250704 Yoshimasa Iwase & Tomoo Morikawa
shift_evolve
PRO
2
7.8k
Featured
See All Featured
Visualization
eitanlees
146
16k
Gamification - CAS2011
davidbonilla
81
5.4k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
138
34k
Reflections from 52 weeks, 52 projects
jeffersonlam
351
20k
VelocityConf: Rendering Performance Case Studies
addyosmani
332
24k
[RailsConf 2023] Rails as a piece of cake
palkan
55
5.7k
Making Projects Easy
brettharned
116
6.3k
GraphQLとの向き合い方2022年版
quramy
49
14k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
248
1.3M
Build The Right Thing And Hit Your Dates
maggiecrowley
36
2.8k
The Pragmatic Product Professional
lauravandoore
35
6.7k
Navigating Team Friction
lara
187
15k
Transcript
AWS re:Inforce recap クックパッド株式会社 技術部セキュリティグループ 水谷 正慶 2019.7.30 (Tue)
自己紹介 •水谷 正慶 (@m_mizutani) •クックパッド株式会社 ‣ 技術部セキュリティグループ グループ長 ‣ セキュリティ監視基盤の設計・構築・運用を主に担当
•AWS歴 ‣ 現職に転職した1年半程前から
None
None
AWS re:Inforce 2019 @Boston
None
Security as Code
None
セキュリティ設定の自動修復 ‣ 設定の変更をCloudWatch Eventsで検出 ‣ ルールに沿っていない設定変更を検出した場合、自動 的に修復する ‣ 例:S3バケットの暗号化
None
IAM ポリシー作成の自動化 •IAMのポリシーは雑にFullAccessなどにしがち ‣ ちゃんと制限されたポリシーを作成するのは大変 •解決策 ‣ 開発環境などでFullAccessで動かす ‣ CloudTrailでどのAPIがどこから呼ばれたのかを集計する
‣ APIから必要な権限を導出して自動でポリシーを作成する
https://www.youtube.com/watch?v=w2FH12ZUgdY
https://www.youtube.com/watch?v=w2FH12ZUgdY 機械学習を使ったWAFルール更新 •様々なデータソースから集めたログをS3に蓄積 •定期的にSageMakerのジョブを実行して訓練 •生成されたモデルを使ってWAFのblock対象を更新する
Security as Codeの実現 by AWSサービス •自分たちの組織・ビジネスに必要な機能をマネージ ド・サービスの組み合わせで実現 ‣ 組み合わせ次第と発想次第で様々な機能を実現 ‣
セキュリティにまつわる仕事を自動化 ‣ 開発やサービス提供の省力化・サポートを実現
クックパッドでの事例
セキュリティログの変換と転送 •Lambdaでログのフォーマットを変換+Graylogへ転送
セキュリティログの変換と転送 •Lambdaでログのフォーマットを変換+Graylogへ転送 •1日あたり約3億件のログを処理 •料金は1日あたり約 $1.6 •SNS 〜 Lambdaで転送するまで •内訳:Lambda $1
+ Kinesis Data Stream $0.6 •Kinesis Data Streamを挟むことで障害時のリトライが容易に •Lambdaの同時起動数限界までスケールアウト可能(通常は10 ぐらい)
AWS Security Hub のインテグレーション •Security Hub の Findings を S3
にエクスポート IUUQTHJUIVCDPNNNJ[VUBOJBXTTFDVSJUZIVCFYQPSUFS
AWS Security Hub のインテグレーション IUUQTHJUIVCDPNNNJ[VUBOJBXTTFDVSJUZIVCFYQPSUFS •Lambdaで取得する際に少し長めの期間を指定して Findingsを取得 •S3を挟むことでバックアップ 兼 冪等に処理可能
•AWSで(今後サポートしてほしい)まだできていない 機能も実現できる
セキュリティアラートの自動分析 •アラート発生時に分析・対応を サポートしてくれるフレーム ワーク ‣ 出現したIPアドレス、ドメイン 名、ユーザの調査 ‣ 調査した結果をもとにリスクを 自動判定
‣ 判定結果を元に通知や対応
セキュリティアラートの自動分析 •アラート発生時に分析・対応を サポートしてくれるフレーム ワーク ‣ 出現したIPアドレス、ドメイン 名、ユーザの調査 ‣ 調査した結果をもとにリスクを 自動判定
‣ 判定結果を元に通知や対応 •実行部分がすべてLambdaでスケールアウト可能 •Pluggableな機能拡張 •1日1000件アラートが発生した場合、コストは約 $0.3/日 •詳しくは後日弊社技術ブログで公開予定 •https://techlife.cookpad.com/
None