Secure AWS Users Meetup #1に行ってきた
AWS上でのセキュリティの現場の声が聞ける、Secure AWS Users Meetup #1に参加してきました。 http://connpass.com/event/11019/
セキュリティというところで、現場のシビアな実情が垣間見えて非常に参考になりました。セキュリティを日々どう守るかとかAWS上でどう安全な環境を作るかという視点は今後もっと大切になると感じました。
様々な要望やシステムを守るためにAWSにまだまだ足りない物事や、AWSの勉強会では普段聞けない話が続々とでてかなりハイレベルな勉強会でした!要望などは本当に伝えたいと思います!
キーワードは、認証情報の管理の仕方、しやすさだと感じました。運営の皆様、発表された皆様、ありがとうございました!
次回もあるということで楽しみです!
メインセッション
@kani_b (Cookpad): How to secure your AWS API
- IAMユーザ 250くらい
- AWSではユーザ側とAWS側でセキュリティを守るべき分界点がある
- ユーザ側の世界は主にEC2インスタンスの話
- 基本的な考え方はAWSだからというところが少ない
- もちろん、ミラーポートやIPS/IDSなど出来ない事もある
- AWSは全リソースがAPIで提供されている
- 事故事例
- まずすること
- 権限の分解・最小化 (IAMのこと)
- rootアカウントはリボーク
- MFAの有効化
- IAM User / Role
- 業務フローに合わせて
- MFA / Instance Role
- MFA
- アクセスキーの管理
- bashrcなどに書きがち
- Macならenvchainに入れる
- アクセスキーの管理は課題
- 権限は必要最低限のグループを作って、スタックしてユーザに割り当てていく
- ポリシーの問題点
- ポリシー数が増加すると見通しが悪い
- 変更履歴を管理したい (gitぽくやりたい)
- miamというツール
- GHEで権限のレビュー
- Instance Role
- コードにkeyを埋め込まないように
- instanceに起動時にしか割り当てられない
- OSにアクセスされるとKey取られる!
- CloudTrailやAWS Config
- ログを丁重に扱う
- 改ざんや削除されないように
- S3に配送されるのでMFA Delete
- 監査用ユーザ以外からアクセスされないように
- 別のアカウントに切り出す(監査用のアカウントつくる・バケットポリシーを移譲)
- ログを解析する
- まとめ
- AWSを信頼して任せる気持ちが必要
- ホワイトペーパーなどをよんだり
- やることはやる
- Security on AWS
- アグレッシブに動きやすい
- サーバのアップデートなどが行い易い
@sowawa (WebPay): Slackで作る社内SOC
- PCIDSSv3 レベル1準拠 (on AWS!)
- SOC = Securty Operation Center
- 24/7で監視
- リアルタイム監視が必要なものはIDS/IPSだけではない
- 入室管理
- CI
- デプロイ
- 不正AP
- めちゃくちゃ運用大変/特にスタートアップ
- 開発・運用で24/7の体制をつくる
- そこで、SlackをSOC基盤にする
- Slackはみんなが生活する場だからみんながログを見ることが大事
- DevOps的にセキュリティチェックを行う
- DMZでfluentdで集めてSlackにながず
- PCIDSSの要件として、DMZを通してしかInternetにしか通信しちゃだめ
- 色んなログあるよ
- /var/log/secure (なんか変なことしてるのがわかる/想定外のOPとか)
- Webpayはssh 2FA
- 不正APの検知
- 四半期に1回とか決まってるけどそんなのだめ
- 小さいPCを設置してAPを常に監視
- 入室管理
- 入退室をリアルタイムに監視
- 見える化することはそれだけでセキュリティに大事
- SOC
- O = Operation
- Security meets ops
- セキュリティは運用指定ことが大事
- 組織は常に変わっていくから今は何をしていくべきかを考える
- 自分で出来ないことは他の人に手伝ってもらうのが大事
- 見える化する事による抑止力
野渡さん (CyberAgent): IAM ユーザー管理:awscliを用いたユーザー管理とIDフェデレーションの比較
- プロジェクト毎にAWSアカウントを用意
- 完全な集中管理は行わない
- 開発者を縛りすぎない
- 全てのユーザに一意なIDを割り当てる
- 両極なことを実現しないといけない
- 既存のディレクトリと連携するか
- private cloudやオンプレ環境で培った
- VPC peer
- CloudTrailのログは共通環境のS3バケットに転送
- SAML連携
- MFA無効のユーザにメールを送るなど
- ログインプロファイル外す
- いけてないところ
- CloudTrailで出したログの解析・解析・アラート
- CloudTrail->SNS->SQS->Splunk
- Trusted Adviserを有効活用したい
- Messusの有料の買うと、AWSのセキュリティベストプラクティスのチェックをしてくれる
LT
@xga : セキュアだ!freeeだ!
- secure!
- 200instances
- SG設計
- 2FA必須
- 攻撃検知・脆弱性検査
- SGが増えると管理が大変
- 1 instance 5SGなのが大変
- SGの棚卸し
- アカウントID/PASSの扱い
- IAMの手動管理
- policy simurator便利
- アプリケーションに脆弱性が会った時の対応
- freeeは今までセキュリティインシデントがない
- Security Monkey使ってみたい
- Google Auth Proxy
@m_mizutani : Attack on AWS, ec2 + honeypot
@nekogeruge_987 : セキュリティの設定、どこまでやってますか?
- 現場感あるアンケート満載!
- SGで行った制限をiptablesでも行う方が意外と多いのが印象的でした
宮崎さん : IAMでの権限設定をひたすらがんばっている話
- 全てのアカウントでIAMを使ってる
- がっちり権限を制限している
- 敵は * (e.g. ec2:*)
- IAM運用のbest practiceをぜひ知りたい!