Contenu connexe
Similaire à CloudTrail でログとれ〜る
Similaire à CloudTrail でログとれ〜る (20)
CloudTrail でログとれ〜る
- 3. 自己紹介
• 星 北斗 / Hokuto Hoshi
a.k.a. カルビ生焼け王
• @kani_b / id: kani_b
• クックパッド株式会社
インフラストラクチャー部
セキュリティ担当
• 2013年度旧卒
• 社会人13ヶ月目になりました
- 4. 自己紹介
• 好きなサービス:
IAM & CloudFront & CloudTrail
• ここ1週間のマイブーム:
秘密 の交換と証明書失効
• 嫌いなもの:
パスワードリスト攻撃
行儀の悪いスクレイピング
- 10. AWS と Heartbleed
• かなりのマッハ対応 :+1:
• 直接リモートで攻撃を受けるところは全部潰れた
=> これ以上メモリガチャは引かれない
• ELB
• CloudFront
• EC2 上のインスタンスは自分で OpenSSL を
アップデートしましょう
- 11. AWS と Heartbleed
• さらにやるべきこと (SSL 使ってた全サービスで!)
• 新規生成した秘密 から証明書を再度作成して
入れ替え
• ELB, CloudFront ならオンラインでさくさく!
• 元々使ってた証明書を失効 (revoke)
• なりすませる可能性がある
• 忘れがちだけど確実に
- 12. AWS と Heartbleed
• ついでに CipherSuite を見なおそう
• MD5 を落としたり
• ELB に追加された PFS (Perfect Forward
Secrecy) w/ ECDHE の様子を見たり
• 検証は必要 (ブラウザ対応やパフォーマンス)
- 16. ログが欲しい
• 基本的に AWS はログが残らない
• けどログは欲しい
• 監査
• バージョニング
• トラブルシューティング
• etc…
• どうロギングしたものか…
- 17. • 解 (?): HTTP プロキシをはさむ
API ログの取得
HTTP Proxy
API Endpoint
- 18. HTTP Proxy…
• Proxy が落ちる = API コールできなくなる
• クラウドとは…
• HTTP の生ログパースしたくない
• クライアントに制約がかかる
• Management Console で取るの難しい。。
- 24. • ログ形式は JSON
• 色々入ってる(おトク!)
• アカウント ID, IAM のユーザ名, タイムスタンプ,
コール先リージョン, 対象 API, UA, リクエストパ
ラメータ,レスポンス, Access Key ID, etc…
About
- 26. • 勝手にパースしてよしなに扱うのが基本
• AWS 側では特に何も提供されてない
• Mongo や ElasticSearch に突っ込む
• 解析してくれるサービス使うのもあり
• SumoLogic, Splunk, Stackdriver, loggly, etc…
• ログのパース、検索、サマライズがメイン
• 色々紹介されてるので今回は特に紹介しません
How to use
- 38. About Game Day
• 4行でまとめ
• チームを作り敵味方に別れる
• お互いに AWS でシステム構築
• 相手の IAM アカウントをもらい
システムを美しく壊す
• 壊されたシステムを美しく修復する
- 39. 2014 の場合 (一部)
• 相手は他の会場にいるチーム (東京 vs どこか)
• 相手に渡す IAM アカウントは Power User
• リージョンは us-east
- 40. 2014 の場合 (一部)
• 相手は他の会場にいるチーム (東京 vs どこか)
• 相手に渡す IAM アカウントは Power User
• リージョンは us-east
- 41. というわけで
• Game Day で CloudTrail を使ってみる
• どんな攻撃が来てもログとれ∼る!ばっちり解析!
最高便利!!!
• というわけにはいかない
- 42. Game Day と CloudTrail
• 対象サービスが狭い
• 構築に使ったサービスは EC2, VPC, SQS,
SNS, S3
• 相手に渡す IAM アカウントは Power User
• ではここでその Policy を見てみましょう
- 47. 実運用のための学び
• IAM ユーザから CloudTrail 周りの権限を取り除く
• Power User Template から抜いてほしい。。
• ログの保持方法を固める
• ログ集約用のアカウントにまとめる
• S3 versioning + MFA delete を使う
(こちらのほうがスマート?)
- 52. わかってくること
• … SQS と SNS メインの攻撃 (́・ω・`)
• Instance が Terminate された以外は特に被害
なさそう
- 54. まとめ
• CloudTrail は API リクエストを
まるっとロギングしてくれ∼る
• 運用時の IAM 権限と S3 バケットの扱いに
気をつける
• まだ対応サービスが少ないので正座して待ちましょう
• まだ太平洋を渡ってないので正座して待ちましょう
- 57. ex. IAM の Policy 追加
追加対象や内容も
取得できる
=> 変更履歴取得に
使えそう
- 60. どう使うか
• CloudTrail => SNS への通知設定
• SNS => SQS へ吐き出す設定
!
• CloudTrail のログパース, 管理用ディレクトリに
書き込み, git 差分管理