営業部 佐竹です。本日は、AWS 上のリソースを悪用され Crypto Currency （仮想通貨/暗号通貨）の採掘をされてしまわないように、利用者側にどのような対策がとれるのか、また実際に採掘を行われてしまった場合の対応について記載します。

今回のゴール AWS上の環境を精査して、セキュリティ的に良くないところがないか指摘してくれるAWSのサービス『AWS Security Hub』があります。 一度Security Hubを有効化すれば毎日チェックしてくれて「ここがダメ」と指摘してくれるのですが、AWSマネジメン…

Log4j2 の CVE-2021-44228 について、AWS から続報のアナウンスが出ましたので、翻訳版をご案内します。

IT システムを運用していると、脆弱性情報などのセキュリティを気に掛ける必要が常にあります。 AWS の EC2 インスタンス上の OS の設定やユーザーがデプロイしたアプリケーションをセキュアに保つのは、主にユーザー側の役割です。 また、 AWS の基盤部分で…

営業部 佐竹です。 Apache Log4j2 の脆弱性 "CVE-2021-44228" に関連して、WafCharm をご利用されているお客様への対応方法をお知らせいたします。特に本ブログ記事では AWS WAF の「マネージドルールグループ」において、Log4JRCEの設定方法を詳しく記載い…

Apache Log4j2 の脆弱性について、AWS からのアナウンスを翻訳速報します

営業部 佐竹です。本ブログは「AWS re:Invent 2021 で発表された S3 のアップデートまとめ」と題しまして、Amazon S3 のリリースをまとめました。S3 のアップデートは数が多いため「コスト削減関係」と「セキュリティ関係」で２つの記事に分けてのご紹介とな…

本日からラスベガスではAWS re:Inventが開催されています。 まあ私は現地に行けなかったので、オンラインでセッションを見ています。 では、FunPlus社によるDDoS防御に関するセッションのレポートをします。 セッション概要 原題 Funplus在亚马逊云科技上抵…

マルチクラウド対応の暗号化ツール「SOPS」を用いた秘密情報管理について記事化しました。

はじめに 突然はじめまして、當摩です。 AWS RDS（以下RDS）でIAMデータベース認証を有効化して、AWS EC2（以下EC2）からパスワードを使用せずにログインできるような設定をしました。 IAMデータベース認証ログインにすると、接続元リソースに追加したロール…

最近ランニングを始めたCI部2課の山﨑です。 今回はOrganizationsを用いたAWS環境を構成する上で、主要なセキュリティサービスを組織で一括で有効化する方法を整理しました。 はじめに Organizations組織への展開イメージ セキュリティサービスの設定方法一…

CI部 佐竹です。 本日は AWS Organizations の SCP を活用し、ジャンプアカウント以外のアカウントで「マネジメントコンソールにログイン可能な IAM ユーザ」の作成を組織レベルで禁止してみます。

こんにちは！サーバーワークスの松井です！ 今回は、Amazon S3のパブリックアクセスブロックを有効化するとどうなるのかを検証してみたいと思います。 AWS公式ドキュメントには、以下の機能であると記載がありますが、実際にどのように制限がかかるサービス…

CI部 佐竹です。 今回のブログでは、GWLB 導入時に関係する TGW の重要な設定「アプライアンスモード」について記載しました。VPC 間通信が存在し、かつ Availability Zone を跨いでの通信がある場合に、ネットワークアプライアンス（つまり GWLB ）を経由す…

「セキュリティも不安だし、そろそろウチにもWAFを入れてみようか。」 クラウド以前のWAFは非常に高価でしたが、最近は廉価なWAFも増えています。 その中でもAWS WAFは非常に低価格で簡単に試すことができるので、非常にオススメです。 本記事では、AWS WAF…

こんにちは。SRE1課の冨塚です。 RDSへログインする時に利用するユーザパスワードは定期的にローテーションしなければならない！という要件に出くわした時にオロオロせず、そしたらAWS Secrets Managerを使いましょう。というために検証しました。 作業概要 …

SRE部佐竹です。 今回は、AWS Organizations で AWS アカウントを新規に払い出ししたときに、その通知を送りたいという要望に対応します。実装方法は簡単で SNS と CloudWatch Events を設定するだけで、CloudTrail の API をフックして通知が可能です。

宮澤です。EA社から販売している、スターウォーズ・スコードロンで銀河の平和を守っています。作中に登場する中で、好きなスターファイターは、Xウィングです。今回は、re:Invent 2020の"How McAfee assisted Electronic Arts in managing complex environme…

はじめに SSSD で LDAP ユーザの SSH アクセス制御をしたいときに、 id_provider, auth_provider, access_provider の違いに混乱して、結局どの設定が大事なんだよ!!ってなったので検証してみました。 ついでに、ほかのコマンドについてもここら辺のパラメー…

SRE部 佐竹です。 今回は、EC2 のダッシュボードにある Settings の4つの設定について解説します。特に「EBS 暗号化」と「デフォルトのクレジット仕様」の2つの項目は運用において重要な項目になると考えられますので、一度見直しをされてはいかがでしょうか…

クラウドインテグレーション部の村上です。 最近セキュリティに強くなりたいなと思い、その第一歩としてAWS Security Hubを検証してみましたので紹介します。 AWS Security Hubとは AWS Security Hubは、組織内の様々なセキュリティデータを集約して、一元的…

杉村です。 AWS Network Firewall で何ができるのか、その仕組みや基本的な概念、構成図、注意点を分かりやすく記載します。 aws.amazon.com 1. 何ができるのか AWS Network Firewall は VPC の Internet Gateway の手前に置くイメージで VPC に出入りするパ…

こんにちは、CI部の鎌田です。 前回までの手順で、PaloAltoのインスタンスをAWSで展開し、必要な諸設定まで実施しました。 この記事では、PaloAltoにログインし、PaloAltoそのものの設定を進めていきます。 では早速、始めて行きましょう！ 7.管理者パスワー…

こんにちは、CI部の鎌田です。 前回までの手順で、PaloAltoをAWSに導入する際のAWS側の基礎準備が出来ました。 この記事では、PaloAltoのEC2インスタンスを構築し、AWSの周辺設定を変更していく部分についてまとめています。 では早速、始めて行きましょう！…

こんにちは、CI部の鎌田です。 AWSでのネットワークのアクセス制御を考えられる際、基本はセキュリティグループを使った方法を考えられるかと思いますが、URLによってのアクセス制御となると、どうでしょうか。 2020年10月現在ではAWSだけの機能では実現でき…

SRE部 佐竹です。 本日は OneLogin で発生するエラーの回避策について記載します。 はじめに 401 Unauthorized Error 実際に試したコマンド エラーの回避策 rfc6750: The OAuth 2.0 Authorization Framework: Bearer Token Usage まとめ はじめに www.server…

SRE部 佐竹です。 今回は WafCharm のアラートが発生した場合に、どのシステムが関係しているのかを調査する方法について記載させていただきました。本調査は AWS WAF の保守を行う場合の基本的な調査手法になってくると思いますので、是非押さえておきたい…

こんにちは。技術5課 長崎です。 AWS環境にてTrend Micro Cloud One – Workload Security(旧DSaaS)をインターネットを介さずにPrivateLink経由で利用する機会が ありましたので、設定方法をまとめておこうと思います。 用語(略称) Trend Micro Cloud One – W…

SRE2課 佐竹です。 AWS Organizations の SCP を設計していくうえで「ハマりやすい」ポイント（制限）をまとめました。AWS Organizations の SCP を設計する前にご一読頂けると嬉しく思います。

SRE2課 佐竹です。 引き続き、AWS Organizations のお話です。今回は IAM ユーザにおけるMFAの強制（MFAが設定されていない状態では、極限られた動作しか実行できない）を AWS Organizations の SCP で実装する方法とその検証結果について記載しました。

2020年8月17日のアップデートです。 ALBとCLBに Desync 緩和モード という設定項目が追加されました。 これはセキュリティ強化のための機能となります。 Application Load Balancer および Classic Load Balancer が Desync Mitigation Mode を導入して高度…

SRE2課 佐竹です。今回は、案件で WafCharm を導入することになりましたのでその構成図を紹介します。 WafCharm は、サイバーセキュリティクラウドが提供する AWS WAF の運用を支援するサービスです。AWS環境で AWS WAF を利用している場合にセットでの導入…

出来立てホヤホヤの徳丸基礎試験に合格してきたので、ドヤしたいと思います。 ウェブ・セキュリティ基礎試験（通称：徳丸基礎試験）とは 2020年7月15日に開始された試験 徳丸本の理解度を測る試験 徳丸浩氏が問題を作成 全40問、制限時間60分、４択問題、正…

テック用語、叫ぶと強そうな技に聞こえる気がする SRE 2 課の手塚です。 「ネクスト・ジェネレーション・ファイアウォール!!」 さて、今回は ASAv を起動したので、この手順を紹介します。 ASAv とは? Cisco Adaptive Security Virtual Appliance の略 ファ…

2020年7月9日のアップデートで、AWS WAF セキュリティーオートメーションがWAFv2 APIをサポートするようになりました。 aws.amazon.com 1. AWS WAF Security Automationsとは AWSには、AWS WAFというWebアプリケーションファイアウォールのサービスがありま…

今回は、弊社のYouTubeチャンネル「サーバーワークス チャンネル」にて先日公開した以下動画についてblogでも内容を紹介いたします。 動画内では、実際にAWSマネジメントコンソールを操作しながら設定を行っていくデモがありますのでもし興味があれば是非、…

今回は、弊社のYouTubeチャンネル「サーバーワークス チャンネル」にて先日公開した以下動画についてblogでも内容を紹介いたします。 動画内では、実際にAWSマネジメントコンソールを操作しながら設定を行っていくデモがありますのでもし興味があれば是非、…

某YouTuberがオススメしていた「あずきのチカラ 目もと用」を最近愛用しているCI部の宮本です。夜眠りにつくときに使用しているのですが、最初は「あったか〜い。。。」と気持ち良さを感じ、温度が徐々に下がると同時に眠りにつくことが出来ます。 また、こ…

今回は、弊社のYouTubeチャンネル「サーバーワークス チャンネル」にて先日公開した以下動画についてblogでも内容を紹介いたします。 動画内では、実際にAWSマネジメントコンソールを操作しながら設定を行っていくデモがありますのでもし興味があれば是非、…

今回は、弊社のYoutubeチャンネル「サーバーワークス チャンネル」にて先日公開した以下動画についてblogでも内容を紹介いたします。 動画内では、実際のAWSマネジメントコンソール画面を利用した説明もありますのでもし興味があれば是非、動画も参照頂けれ…

今回は、弊社のYoutubeチャンネル「サーバーワークス チャンネル」にて先日公開した以下動画についてblogでも内容を紹介いたします。 動画内では、実際にAWSマネジメントコンソールを操作しながら設定を行っていくデモがありますのでもし興味があれば是非、…

表題の通りです。 Security Hubで検出されたアレやコレをSlackに流し込むようにします。 AWS Chatbot が一般公開されました！の記事では、CloudWatchアラームの内容をSlackに流していましたが、今回はCloudWatchイベントの内容をSlackに流します。 全体構成…

2020年4月16日、Security Hubにワークフローステータスという新しい機能が追加されました。 この機能により、Security Hubの検出結果に対し、NEW（新規）、NOTIFIED（通知済み）、 SUPPRESSED（抑制済み）、RESOLVED（解決済み）の4つのステータスのいずれか…

CI部の柿﨑です。 3月初めにスマートフォンを買い替えましたので、 MFAの有効化手順と併せまして機種変更時の対応手順も書こうと考え、今に至ります。 Authyを使えばMFAの設定を別の端末へ簡単に移行できますので、是非ご活用ください。 Authyとは IAM User…

はじめに こんにちは、技術5課の孔です。最近コロナで世界中のみなさんが大変な思いをされてます。一刻も早くこの騒ぎが収まるといいですね。私達にできることはこれ以上ウィルスが拡散しないよう、「私達もかからない・かかっても移さない」を念頭に置いて…

AWSの様々なサービスでは、ログをS3バケットに保管できる仕様になっています。 しかし、残念なことにAmazon InspectorにはS3バケットへの出力機能がありません。 今回は、マルチアカウント・マルチリージョン環境でのInspectorの検知結果を、どのように1つの…

HTTPセキュリティヘッダーとは 「HTTPセキュリティヘッダー」とは、Webブラウザでのセキュリティ対策のために使用されるHTTPヘッダーです。 Webブラウザがセキュリティヘッダーの設定内容に従って動作することで、クロスサイトスクリプティング(XSS)やクリッ…

Cognitoのアドバンスドセキュリティ機能（ASF:Advanced Security Feature)とは Cognitoの「アドバンスドセキュリティ機能」はユーザープールのオプションの一つで 対象のCognitoユーザープールに ・侵害された資格情報（ユーザー名とパスワードのペア）の保…

「Amazon Cognito」とは 「Amazon Cognito」は、Webアプリケーションやモバイルアプリケーションの認証、許可、ユーザ管理をしてくれるサービスです。 アプリユーザは、Cognitoのユーザディレクトリである「ユーザプール」を通じて直接サインインしたり、サ…

こんにちは、技術2課の芳賀です。 最近の仙台はこの日は寒かったり、この日は暖かかったりと日によって寒暖の差が激しいです。 今年も残り1か月を切りましたので、皆さん体調管理に気を付けて楽しい年末年始を過ごせるようにしましょう。（マジメか 今回はAW…