Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
セキュリティパッチを支える サーバ家畜化技術の紹介
Search
takuya542
April 25, 2018
Programming
1
1.5k
セキュリティパッチを支える サーバ家畜化技術の紹介
DevOpsDays Tokyo 2018登壇資料です。
セキュリティパッチを継続的に適用するためのパブリッククラウド前提のアーキテクチャ実例についてです。
takuya542
April 25, 2018
Tweet
Share
More Decks by takuya542
See All by takuya542
爆速成長を続けるタイミーを支える システム基板とAWSの関係
takuya542
0
170
タイミーを支えるプラットフォームエンジニアリング・成果指標設計から考える組織作り事例の紹介
takuya542
1
3.4k
Security / AuditabilityをSREチームの成果指標に加えた話
takuya542
0
1.8k
Webサービスの品質とは何か?アラート地獄と監視の失敗、サービスレベル目標設計 から学んだ3つの答え
takuya542
5
7.5k
継続的な脆弱性検知とパッチマネジメント手法の紹介
takuya542
0
2.8k
継続的な脆弱性検知とパッチマネジメント手法の紹介
takuya542
0
840
技術エントロピー増大との戦い。エウレカSREチームの事例
takuya542
0
180
投稿監視マイクロサービスの継続的なデプロイと構成変更の実現手段の紹介
takuya542
0
600
pairsのプロビジョニング要件とInfrastructure as Code実例
takuya542
0
420
Other Decks in Programming
See All in Programming
StarlingMonkeyを触ってみた話 - 2024冬
syumai
3
270
バグを見つけた?それAppleに直してもらおう!
uetyo
0
180
Spatial Rendering for Apple Vision Pro
warrenm
0
110
Security_for_introducing_eBPF
kentatada
0
110
Kaigi on Railsに初参加したら、その日にLT登壇が決定した件について
tama50505
0
100
今年のアップデートで振り返るCDKセキュリティのシフトレフト/2024-cdk-security-shift-left
tomoki10
0
210
Semantic Kernelのネイティブプラグインで知識拡張をしてみる
tomokusaba
0
180
nekko cloudにおけるProxmox VE利用事例
irumaru
3
440
良いユニットテストを書こう
mototakatsu
8
2.7k
Go の GC の不得意な部分を克服したい
taiyow
3
800
Beyond ORM
77web
7
940
htmxって知っていますか?次世代のHTML
hiro_ghap1
0
340
Featured
See All Featured
4 Signs Your Business is Dying
shpigford
181
21k
Speed Design
sergeychernyshev
25
670
Rebuilding a faster, lazier Slack
samanthasiow
79
8.7k
Building Flexible Design Systems
yeseniaperezcruz
327
38k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5.1k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
365
25k
Optimizing for Happiness
mojombo
376
70k
How to Think Like a Performance Engineer
csswizardry
22
1.2k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
2
290
GraphQLの誤解/rethinking-graphql
sonatard
67
10k
Fashionably flexible responsive web design (full day workshop)
malarkey
405
66k
The Art of Programming - Codeland 2020
erikaheidi
53
13k
Transcript
Copyright © 2009-2018 eureka, inc. All rights reserved. Takuya Onda
/ eureka, Inc. 2018-04-25 DevOpsDays Tokyo ηΩϡϦςΟύονΛࢧ͑Δ αʔόՈசԽٕज़ͷհ
Introduction ▪ Takuya Onda – eureka, Inc. – SRE team
Head
CONFIDENTIAL
None
About Us - IAC/Match Group
Agenda ▪ 1.ܧଓతͳ੬ऑੑஅख๏ͷհ ▪ 2.੬ऑੑରԠͷৗԽͷઓ ▪ 3.αʔόՈசԽͷ࣮ફͱϕετϓϥΫςΟε ▪ 4.·ͱΊ
ܧଓతͳ੬ऑੑஅख๏ͷհ
લఏ ▪ ੬ऑੑஅͷతձࣾϦεΫͷՄࢹԽ – ϗετܕஅͰΘ͔Δ੬ऑੑϦεΫͷ΄ΜͷҰଆ໘ ▪ ηΩϡϦςΟରԠʹۜͷؙͳ͍ – ܧଓతͳऔΓΈ͕େࣄ
AWS Inspector x Lambda x CloudWatchʹΑΔఆظஅ Role : API Env
: Prod Is_target : True εέδϡʔϧ ࣗಈൃՐ Ansible Golden AMI Packer Lambda Inspector ධՁ࣮ߦ Apply
அ݁ՌͱϨϏϡʔ & ରԠαΠΫϧ Inspector அ݁Ռ ରԠ༗ແͷ அ νʔϜόοΫϩά मਖ਼ ணख
Patch & Build Apply Inspector அఆظ࣮ߦ CVEݕग़ Best Practiceҳ ϧʔϧύοέʔδ Golden AMI SRE
੬ऑੑରԠͷৗԽͷઓ
੬ऑੑஅͱରԠͷؒʹଘࡏ͢Δน ▪ அΧόϨοδΛߴΊΔ – அ—> ҙࢥܾఆ —> ࣮ߦ —> ࠶அͷαΠΫϧΛճ͢
– ҙࢥܾఆɿϦεΫͷݮ / อ༗ / ճආ / Ҡస ▪ ੬ऑੑରԠΛৗԽ͍ͨ͠ – ΕΔ >> |น| >> Մೳ > ෆՄೳ – ϦεΫͷՄࢹԽ —> ରԠͷϦʔυλΠϜΛݮΒ͍ͨ͠
੬ऑੑஅܗ֚Խͷಓ Inspector அ݁Ռ ରԠ༗ແͷ அ νʔϜόοΫϩά मਖ਼ ணख Patch &
Build Apply Inspector அఆظ࣮ߦ ຊ൪ͷมߋ͕πϥΠͱ ୭ରԠ͠ͳ͘ͳΔ ରԠνέοτ͕ ͨͩͨͩੵ·Ε͍ͯ͘
αʔόՈசԽͷత ▪ ՔಇதͷγεςϜมߋΛՃ͑͘͢͢Δ – Deployͱಉ͡ɻૣ͘খࣦ͘͞ഊ͘͢͠ – ຊ൪ͷมߋΛৗԽ ▪ αʔόͷަੑΛߴ͘͠ɺଘ໋ظؒΛ͘͢Δ –
ަ > ܧ͗͠ – ImmutableͳServer Configuration
αʔόՈசԽͷ࣮ફͱϕετϓϥΫςΟε
Tips1:ਐతͳαʔόϩʔϧΞτ ▪ খ͘͞ࢼͤΕා͘ͳ͍ – ΧφϦΞαʔό / xx%ϦϦʔεͱখ͞ͳࣦഊ Patched AMI Update
LaunchConfig 1/xx ϦϦʔε
Tips2:ୀ࿏ͷ֬อ ▪ ͙͢ؾ͚ͮΔ & ͙ͤ͢Δ – SLOͷՄࢹԽͱΰʔϧσϯΠϝʔδͷόʔδϣχϯά Golden AMI’s Update
LaunchConfig Πϝʔδ͝ͱ Γ͠
Tips3:εςʔτϨεԽͱεέδϡʔϦϯά͞Εͨୀ ▪ αʔόϩʔςʔτͷखஈͱͯ͠ͷAuto Scaling – αʔόͷࣗಈୀ > ϫʔΫϩʔυͷௐ Scheduling Rotate
API Bastion
Tips4:࠶ݱੑͷߴ͍εςʔδϯάڥ ▪ ಉ͡ϓϩϏδϣχϯάϓϩηεͱٕज़ελοΫ – ݕূਫ਼ΛߴΊΔͨΊͷInfrastructure as Codeͷపఈ Production Staging Production
Capacity Less Capacity
Tips5:ϚωʔδυαʔϏεͷੵۃ׆༻ ▪ ঢ়ଶΛอͭαʔόަ͕େม – ڊਓ(AWS)ͷݞʹΔɻཧରΛݮΒ͢Ξϓϩʔν S3 Aurora Dynamo ElastiCache SQS
·ͱΊ
·ͱΊ ▪ ੬ऑੑஅΧόϨοδΛߴΊΔධՁࣗಈԽ – AWS Inspector x Lambda x CloudWatchʹΑΔఆظ࣮ߦ
▪ ੬ऑੑରԠΛৗԽ͢Δ – มߋΛՃ͍͑͢ΞʔΩςΫνϟ = αʔόՈசԽͷ࣮ફ ▪ αʔόՈசԽϕετϓϥΫςΟεͷհ – ࠶ݱੑ/ਐతϦϦʔε/ୀ࿏ͷ֬อ/ࣗಈୀ/Ϛωʔδυར༻
ͦͷଞ ▪ ੬ऑੑஅͷతձࣾϦεΫͷՄࢹԽ – ϗετܕஅͰΘ͔Δ੬ऑੑϦεΫͷ΄ΜͷҰଆ໘ ▪ ηΩϡϦςΟରԠʹۜͷؙͳ͍ – ܧଓతͳऔΓΈ͕େࣄ
CONFIDENTIAL Thank you :) Thank you :)
Any Questions??