セキュリティ

Amazon Inspector の EC2 スキャンで S3 の利用料が高額になる条件

マネージドサービス部 佐竹です。本ブログでは、意図せず Amazon Inspector (インスペクター) による Amazon EC2 インスタンスのスキャンによって Amazon S3 の API リクエスト費用が高騰してしまったケースについて記載しています。少々再現性の低い前提条…

GitHubのDependabotがパッケージの脆弱性を検知してくれたので解消してみる

こんにちは。アプリケーション部の兼安です。 少し前に脆弱性検知のブログを書かせていただきました。 blog.serverworks.co.jp その時に作った検証用リポジトリでGitHubのDependabotをONにしていたところ、2024年1月になってパッケージの脆弱性を検知してく…

AWS マルチアカウント運用下で WafCharm を追加構築する場合の手順

マネージドサービス部 佐竹です。本ブログでは AWS マルチアカウント運用下で WafCharm を追加構築する場合の手順を記載しています。本ブログの内容が WafCharm の設定ミスの回避に少しでも役立てば幸いです。

参加レポート:AWS Security Forum Japan 2023

このブログは、サーバーワークス Advent Calendar 2023 の 19日目のエントリーです。 qiita.com こんにちは。 最近急に冷え込んできてあんこう鍋が食べたくなってきたマネージドサービス部の中山です。 今冬はまだあんこう鍋を食べていないので1月には茨城の…

AWS WAF の可視化や分析に役立つ CloudFront セキュリティダッシュボードが実装されました

マネージドサービス部 佐竹です。本ブログでは、AWS WAF の分析に役立つ新機能 CloudFront セキュリティダッシュボードについてご紹介します。調べていくうちに、CloudFront における AWS WAF のログの可視化や分析・調査において、まずは使いたくなる機能だ…

AWS Security Forum Japan 2023へ行ってきました

Security Forum Japan 2023に行ってきたレポートになります。

AMI ブロックパブリックアクセスが2023年10月16日から全リージョンでデフォルト有効となります

マネージドサービス部 佐竹です。 本ブログでは、AMI ブロックパブリックアクセスが2023年10月16日から「全ての AWS アカウント」の「全てのリージョン」において、デフォルト「有効」となるよう、順次変更が開始されるとのアナウンスがメールで一斉通知され…

AWS CLI を MFA を都度入力せずにスイッチロールと共に12時間連続で利用する方法

マネージドサービス部 佐竹です。本ブログでは、AWS CLI を MFA を都度入力せずにスイッチロールと共に12時間連続で利用する方法として、実際のコマンドと設定について記載しています。この内容に関するブログは世の中に色々あると思うのですが、今回は比較…

EC2のIMDSv2設定確認がAWSマネージメントコンソールからも出来るようになりました。

こんにちは、Enterprise Cloud部 技術1課 宮形 です。 EC2のインスタンスメタデータのアクセス方法は、下記2つが用意されており、セキュリティ的には後者 IMDSv2 に限定することが望ましいとされています。 インスタンスメタデータサービスバージョン 1 (IMD…

ELBでのHTTPS暗号化通信のうちTLS1.0、TLS1.1を無効化する手順

こんにちは、Enterprise Cloud部 技術1課 宮形 です。今回BLOGでは、Elastic Load Balancing (以下ELB) をご利用の環境において、 HTTPS暗号化通信のうちTLS1.0、TLS1.1を無効化する設定手順を記載します。 TLS1.0、TLS1.1 を無効化する理由 現状の確認 設定…

Dependabot と Slack GitHub Apps を使って脆弱性情報を楽して把握できる仕組みを作る

依存関係の CVE を Dependabot から通知してもらって、能動的にチェックしなくても開発者としてすべきことが見える状態を作りたかったブログ

Amazon GuardDuty の 検出結果「高」のみを Slack へと連携する方法

マネージドサービス部 佐竹です。 本ブログでは、Amazon GuardDuty の 検出結果のうち「漏れなくリアルタイムで確認したい Severity が High の検出結果」を Amazon EventBridge と AWS Chatbot を活用し Slack チャンネルへと連携する設定方法について記載…

Your AWS Abuse Reportという通知がきた!これってどういうもの?

こんにちは!CI2部1課濱岡です! クリスマスだからという理由でケーキを買って食べたんですが、ショートケーキってめちゃくちゃ甘いんですね、、、 普段はタルトやモンブランを食べていたのでショートケーキの甘さに驚きです、、、 さて、今回はAbuse Report…

IAM ユーザの MFA デバイス名を IAM ユーザ名のみに制限する方法

カスタマーサクセス部 佐竹です。 以前ご連絡しました「MFA デバイスを複数登録が可能となった」アナウンスに関連して「元通り1台のみの制限状態で運用したい」というご要望が寄せられましたので、これを可能とする IAM ポリシーを考案しました。

Amazon GuardDuty RDS Protectionが発表されました!!

2023/3/17 更新 2023/3/17にGeneral Availableとなりました。 本ブログの内容はパブリックプレビュー時の内容になります。 aws.amazon.com こんにちは。CI部の島村です。 11/30(水)のKeynoteでAmazon GuardDuty RDS Protectionのパブリックプレビューが発表…

IAM で MFA デバイスを複数登録が可能となった影響で MFA 強制の IAM ポリシーに修正が必要です

カスタマーサクセス部 佐竹です。 IAM User に MFA デバイスを複数登録が可能となったアップデートの影響で MFA 強制の IAM ポリシーに修正が必要となりました。You need permissions エラーが発生してお困りの場合本ブログが参考になると存じます。

AWS と Azure のパブリック IP 空間について

コーヒーが好きな木谷映見です。 本日は AWS と Azure のパブリック IP 空間について調べたことをまとめていきます。 Amazon VPC 外のリソースの通信 AWS 独自のネットワーク VPC 外のサービスはすべて VPC エンドポイントで接続するべきか Azure 独自のネッ…

【やってみた】Yubikeyを買ったので多要素認証の設定をしたら楽になった!

こんにちわ!サーバーワークス日本最南端社員の久保玉井(くぼたまい)です。最近の沖縄は梅雨時期で湿度がすごい事になってます。 さて今回はYubikeyなる多要素認証のハードウェアを購入しましたので、AWS IAMユーザーでのログインやOneLoginで利用できるか…

AWS WAF を利用して特定の IP アドレス以外からのアクセスをブロックする

こんにちは、テクニカルサポート課の大石(一)です。 AWS WAF を利用して特定の IP アドレス以外からのアクセスをブロックする方法についてご紹介します。 AWS WAF についての詳細な説明は、以下の記事をご一読ください。 blog.serverworks.co.jp 検証の構成 …

AWS Config Rules のカスタムルールを作成してみる

2022年に入ってからPythonの勉強を少しずつ始めました。CI2部 技術2課の山﨑です。 今回のブログでは AWS Config Rules のカスタムルールを作成してみようと思います。 AWS Config Rulesとは(おさらい) 機能 構成チェック 修復アクション(Remediation) 料…

EventBridge を利用して IAM User の SwitchRole 通知を行う

営業部 佐竹です。本日は、EventBridge で SwitchRole の通知を行う設定方法について記載します。また「SwitchTo」と「SwitchFrom」についてもその違いを記載し、通知が2通届く背景もご説明します。

AWS 環境における暗号通貨採掘悪用に備える

営業部 佐竹です。本日は、AWS 上のリソースを悪用され Crypto Currency (仮想通貨/暗号通貨)の採掘をされてしまわないように、利用者側にどのような対策がとれるのか、また実際に採掘を行われてしまった場合の対応について記載します。

AWS Security Hubの指摘をSlackで通知されるようにしたい

今回のゴール AWS上の環境を精査して、セキュリティ的に良くないところがないか指摘してくれるAWSのサービス『AWS Security Hub』があります。 一度Security Hubを有効化すれば毎日チェックしてくれて「ここがダメ」と指摘してくれるのですが、AWSマネジメン…

(翻訳) 続報版 - Apache Log4j2 の脆弱性 "CVE-2021-44228" に関する AWS からのアナウンス

Log4j2 の CVE-2021-44228 について、AWS から続報のアナウンスが出ましたので、翻訳版をご案内します。

AWS ユーザーのための基本的セキュリティ情報源

IT システムを運用していると、脆弱性情報などのセキュリティを気に掛ける必要が常にあります。 AWS の EC2 インスタンス上の OS の設定やユーザーがデプロイしたアプリケーションをセキュアに保つのは、主にユーザー側の役割です。 また、 AWS の基盤部分で…

WafCharm で Log4j2 の脆弱性に備えるための対応手法について

営業部 佐竹です。 Apache Log4j2 の脆弱性 "CVE-2021-44228" に関連して、WafCharm をご利用されているお客様への対応方法をお知らせいたします。特に本ブログ記事では AWS WAF の「マネージドルールグループ」において、Log4JRCEの設定方法を詳しく記載い…

(翻訳) Apache Log4j2 の脆弱性 "CVE-2021-44228" に関する AWS からのアナウンス

Apache Log4j2 の脆弱性について、AWS からのアナウンスを翻訳速報します

AWS re:Invent 2021 で発表された S3 のアップデートまとめ セキュリティ関係

営業部 佐竹です。本ブログは「AWS re:Invent 2021 で発表された S3 のアップデートまとめ」と題しまして、Amazon S3 のリリースをまとめました。S3 のアップデートは数が多いため「コスト削減関係」と「セキュリティ関係」で2つの記事に分けてのご紹介とな…

【セッションレポート】FunPlusのDDoS対策

本日からラスベガスではAWS re:Inventが開催されています。 まあ私は現地に行けなかったので、オンラインでセッションを見ています。 では、FunPlus社によるDDoS防御に関するセッションのレポートをします。 セッション概要 原題 Funplus在亚马逊云科技上抵…

SOPSで秘密情報ファイルを安全に管理する

マルチクラウド対応の暗号化ツール「SOPS」を用いた秘密情報管理について記事化しました。

RDSにIAMデータベース認証でログインする

はじめに 突然はじめまして、當摩です。 AWS RDS(以下RDS)でIAMデータベース認証を有効化して、AWS EC2(以下EC2)からパスワードを使用せずにログインできるような設定をしました。 IAMデータベース認証ログインにすると、接続元リソースに追加したロール…

【Organizations】 主要なガバナンス・セキュリティサービスを組織で一括で有効化する

最近ランニングを始めたCI部2課の山﨑です。 今回はOrganizationsを用いたAWS環境を構成する上で、主要なセキュリティサービスを組織で一括で有効化する方法を整理しました。 はじめに Organizations組織への展開イメージ セキュリティサービスの設定方法一…

SCP を活用してマネジメントコンソールにログイン可能な IAM ユーザの作成を禁止する

CI部 佐竹です。 本日は AWS Organizations の SCP を活用し、ジャンプアカウント以外のアカウントで「マネジメントコンソールにログイン可能な IAM ユーザ」の作成を組織レベルで禁止してみます。

【検証】Amazon S3のパブリックアクセスブロックを有効にするとどうなるのか?

こんにちは!サーバーワークスの松井です! 今回は、Amazon S3のパブリックアクセスブロックを有効化するとどうなるのかを検証してみたいと思います。 AWS公式ドキュメントには、以下の機能であると記載がありますが、実際にどのように制限がかかるサービス…

GWLB 導入に関わる TGW の重要な設定「アプライアンスモード」について

CI部 佐竹です。 今回のブログでは、GWLB 導入時に関係する TGW の重要な設定「アプライアンスモード」について記載しました。VPC 間通信が存在し、かつ Availability Zone を跨いでの通信がある場合に、ネットワークアプライアンス(つまり GWLB )を経由す…

AWS WAFをどのように導入するか

「セキュリティも不安だし、そろそろウチにもWAFを入れてみようか。」 クラウド以前のWAFは非常に高価でしたが、最近は廉価なWAFも増えています。 その中でもAWS WAFは非常に低価格で簡単に試すことができるので、非常にオススメです。 本記事では、AWS WAF…

AWS Secrets Managerに保存されたRDSのログインパスワードをローテーションしてみた件

こんにちは。SRE1課の冨塚です。 RDSへログインする時に利用するユーザパスワードは定期的にローテーションしなければならない!という要件に出くわした時にオロオロせず、そしたらAWS Secrets Managerを使いましょう。というために検証しました。 作業概要 …

AWS Organizations でのアカウント新規作成を通知する

SRE部佐竹です。 今回は、AWS Organizations で AWS アカウントを新規に払い出ししたときに、その通知を送りたいという要望に対応します。実装方法は簡単で SNS と CloudWatch Events を設定するだけで、CloudTrail の API をフックして通知が可能です。

【re:Invent 2020】EA社の複雑な環境を、McAfeeがどのように支援したのか

宮澤です。EA社から販売している、スターウォーズ・スコードロンで銀河の平和を守っています。作中に登場する中で、好きなスターファイターは、Xウィングです。今回は、re:Invent 2020の"How McAfee assisted Electronic Arts in managing complex environme…

SSSD で LDAP ユーザのSSHアクセス制御する時 id_provider, auth_provider, access_provider をどうすればいいのか調査してみた

はじめに SSSD で LDAP ユーザの SSH アクセス制御をしたいときに、 id_provider, auth_provider, access_provider の違いに混乱して、結局どの設定が大事なんだよ!!ってなったので検証してみました。 ついでに、ほかのコマンドについてもここら辺のパラメー…

EC2 の Settings で EBS 暗号化 や Unlimited モードのデフォルト値を変更する

SRE部 佐竹です。 今回は、EC2 のダッシュボードにある Settings の4つの設定について解説します。特に「EBS 暗号化」と「デフォルトのクレジット仕様」の2つの項目は運用において重要な項目になると考えられますので、一度見直しをされてはいかがでしょうか…

AWS Security Hubでセキュリティリスクを自動修復する

クラウドインテグレーション部の村上です。 最近セキュリティに強くなりたいなと思い、その第一歩としてAWS Security Hubを検証してみましたので紹介します。 AWS Security Hubとは AWS Security Hubは、組織内の様々なセキュリティデータを集約して、一元的…

AWS Network Firewallを分かりやすく解説してみる

杉村です。 AWS Network Firewall で何ができるのか、その仕組みや基本的な概念、構成図、注意点を分かりやすく記載します。 aws.amazon.com 1. 何ができるのか AWS Network Firewall は VPC の Internet Gateway の手前に置くイメージで VPC に出入りするパ…

PaloAltoをAWSに導入する ~#3 PaloAltoの設定編~

こんにちは、CI部の鎌田です。 前回までの手順で、PaloAltoのインスタンスをAWSで展開し、必要な諸設定まで実施しました。 この記事では、PaloAltoにログインし、PaloAltoそのものの設定を進めていきます。 では早速、始めて行きましょう! 7.管理者パスワー…

PaloAltoをAWSに導入する ~#2 PaloAlto用インスタンスの作成とAWS上の各種設定編~

こんにちは、CI部の鎌田です。 前回までの手順で、PaloAltoをAWSに導入する際のAWS側の基礎準備が出来ました。 この記事では、PaloAltoのEC2インスタンスを構築し、AWSの周辺設定を変更していく部分についてまとめています。 では早速、始めて行きましょう!…

PaloAltoをAWSに導入する ~#1 事前準備編~

こんにちは、CI部の鎌田です。 AWSでのネットワークのアクセス制御を考えられる際、基本はセキュリティグループを使った方法を考えられるかと思いますが、URLによってのアクセス制御となると、どうでしょうか。 2020年10月現在ではAWSだけの機能では実現でき…

OneLogin の API v2(OAuth 2.0) で発生する 401 Unauthorized Error を回避する

SRE部 佐竹です。 本日は OneLogin で発生するエラーの回避策について記載します。 はじめに 401 Unauthorized Error 実際に試したコマンド エラーの回避策 rfc6750: The OAuth 2.0 Authorization Framework: Bearer Token Usage まとめ はじめに www.server…

AWS WAF のログからブロックが発生したAWSリソースを特定する

SRE部 佐竹です。 今回は WafCharm のアラートが発生した場合に、どのシステムが関係しているのかを調査する方法について記載させていただきました。本調査は AWS WAF の保守を行う場合の基本的な調査手法になってくると思いますので、是非押さえておきたい…

Trend Micro Cloud One – Workload Security(旧DSaaS)をPrivateLinkで利用する

こんにちは。技術5課 長崎です。 AWS環境にてTrend Micro Cloud One – Workload Security(旧DSaaS)をインターネットを介さずにPrivateLink経由で利用する機会が ありましたので、設定方法をまとめておこうと思います。 用語(略称) Trend Micro Cloud One – W…

AWS Organizations の SCP で 設計時に気を付けるべきポイント

SRE2課 佐竹です。 AWS Organizations の SCP を設計していくうえで「ハマりやすい」ポイント(制限)をまとめました。AWS Organizations の SCP を設計する前にご一読頂けると嬉しく思います。