AWS運用専門の勉強会「Ops JAWS#10」に参加してきました #jawsug #opsjaws

jawsug

森永です。

AWS運用管理コミュニティが主催するAWS運用に関する勉強会Ops JAWS#10に参加したのでレポートします。

IMG_20170214_191224

バレンタインデーということで、チョコをいただきました!

IMG_20170214_191412

今回はLT大会ということでした。

LT大会

Config Rulesを1年使ってわかったこと


TIS 久保さん

  • セキュリティベストプラクティス使ってますか
    • 使いましょう
  • Security at Scale:Governance in AWS
    • チェックリスト的になってるからベストプラクティスと組み合わせると網羅的に出来る
  • Config Rulesとは
    • ガバナンスのサービス
    • 設定の確認と通知がメイン
  • Config Rulesがでて管理が楽になった
  • マネージドルールと自分でLambda書くカスタムルールが有るよ
  • 1年前にConfig Rulesの記事書こうとして断念
    • Config Rulesは使うことに
  • 沢山AWSアカウントがある
    • ひとつひとつに設定するのはだるい
    • ひとつのアカウントで複数のアカウントをまとめて面倒見る!
    • クロスアカウントの設定とLambdaのパーミッション設定が面倒
    • カスタムルールは一元管理しましょう
  • こんなルールも作った
    • IAM Userのアクセスキーがローテーションしてない
    • ELBのSSLまわり
      • ELBはConfigが対応していないのでただ裏にLambda動かしただけ
      • ALBは今対応していますよ!
  • 感想
    • クロスアカウント利用で管理が楽
    • セキュリティ意識づけできた
    • チェック実行は即時ではない
      • 数分タイムラグが起きる
    • 実行エラーを追いづらい
  • AWS Labsでもカスタムルール追加中
  • マネージドルールも追加されている
  • まとめ
    • クロスアカウントで一元化できる
    • 対応リソースは確認しよう

最初からConfigネタで嬉しい!!
Config Rulesを

AWS WAFのログが3時間しか見れないのでなんとかする

僭越ながら私が喋らせて頂きました。

AWS WAFでログ残せるようになったらこれは陳腐化します。
早く陳腐化してください。

詳しい内容はブログを書きます。

多要素認証を使ってもっと安全に

  • 運用でカバーは悪癖かもしれない
    • 運用でカバーしないといけないのは運用設計してない時
    • MFAの設定で終わらずにMFAを設定した環境の運用設計も考えてセキュリティを高めましょう
  • ハードウェアタイプのMFAツール、ソフトウェアタイプのMFAツールが有る
    • ソフトウェアタイプでも複数ある
      • SaaSタイプ(authyなど)クラウド上に保存
      • モバイルタイプ(duo,google authenticatorなど)スマートフォン上に保存
      • ローカルアプリタイプ(winauth)OS上に保存
  • 認証コードを入手する方法
    • QRコード
    • シークレット設定キー
    • スマートフォン
    • 強運
  • MFAを設定すれば外部からの脅威はない
    • 内部の脅威を考える必要がある
      • 総務とサポートなどの一定役職者はAWS環境に誰の力も借りずにアクセスできる
  • ID/パスワードを管理する人とMFAを管理する人を分ける必要がある
  • 信用できる3rd partyに委託する?
    • 運用が面倒そうだが検討してみる
      • 物理デバイスを委ねる→登録・解除時
      • SaaSサービスで共有する→社外からもアクセス可能
      • WinAuthをAWS上で動かす!
  • 担当者がやること
    • Questetra BPM ワークフローを起動
    • 電話を待つ
  • ほんとうに安全?
    • WinAuthが入っているサーバにはVistaraで証跡をとっておく
    • RDPではアクセス出来ないように
    • 情シスのみが登録と削除
    • 3rd partyはコード発行のみ
  • もっと安全に!をいろいろ考えている

脆弱性スキャナVulsのAWS環境への適用


フューチャーアーキテクト 牛田さん

  • 先週WordPress脆弱性が、、、
    • 明日は我が身
  • 脆弱性どう集めてる?
    • 毎日脆弱性情報を収集?
    • 人力じゃ無理
    • 脆弱性自動チェックが必要だ!
    • Vulsが出来た
  • Vulsのカバー範囲
    • 脆弱性大作に必要なのは可視化
    • 出来るのは脆弱性情報を収集、対象マシンを特定
  • Inspectorあるじゃん
    • Amazon Linuxに対するスキャンについてはVulsの方が正確、早い
    • InspectorにはVulsに無い脆弱性チェック機能がある
    • 併用することでお互いの弱点を補う
  • Vulsの特徴
    • オープンソースなので自分でコミットできる
    • エージェントレス、エージェントモード
    • 非破壊にスキャン可能
      • AWSへの事前申請不要
    • オンプレ、クラウドに対応
    • 幅広いLinuxディストリビューションに対応
    • Dockerコンテナに対応
    • 日本語でレポート可能
    • 豊富なレポート手段
      • slack/mail/TUI/Web UIなど
      • Amazon QuickSight連携もできる(BIツールとの連携!)
  • AWSサービスとの連携
    • ec2-vuls-config
    • 脆弱性に応じてEC2にタグ付け
    • LambdaでVuls実行
  • OSSカンファレンスに開発者の神戸さんが登壇!
  • まとめ
    • 脆弱性検知は自動化しないと回らないよ
    • OSSなので無料で使えるよ!
    • 有償サポート、無償サポート、カスタマイズは応相談

EC2 on IAMロールアタッチ

ひとり登壇者が来れなくなったので飛び込みで10分でLT作成!すごい!

  • AWSの神アップデート
    • ローンチ後のEC2にIAMロールがアタッチできるようになった
      • 現状はマネジメントコンソールではなくCLIからのみ
      • CLIを最新にしましょう
    • インスタンスにはIAM Roleではなく、インスタンスプロファイルを割り当てる
      • マネジメントコンソールは自動でIAM Roleと同じ名前のプロファイルで作ってくれる
      • CLIでIAM Roleを作るとプロファイルが作られないので自分で作る必要がある
  • 何故神アップデート?
    • System ManagerやRun Commandの実行に必須
    • サーバを止めずにこれらを使えるように
  • JAWS DAYS先出し
    • Systems Managerの話
      • Systems Managerすごい
      • インスタンスのパッケージ一覧
      • AWS Configでインスタンス内部のパッケージ管理できる!!!!!
      • オンプレも対応している
      • Excel管理からの卒業
    • これに対応するためのIAM Roleがあとから付けられるようになったよ

最後に

OpsJAWS久しぶりの参加&登壇でしたが運用というだけあってスーツの方が多い印象です。
個人的にはかなり興味深い内容ばかりで楽しい勉強会でした!