セキュリティ

AWS 環境における暗号通貨採掘悪用に備える

営業部 佐竹です。本日は、AWS 上のリソースを悪用され Crypto Currency (仮想通貨/暗号通貨)の採掘をされてしまわないように、利用者側にどのような対策がとれるのか、また実際に採掘を行われてしまった場合の対応について記載します。

AWS Security Hubの指摘をSlackで通知されるようにしたい

今回のゴール AWS上の環境を精査して、セキュリティ的に良くないところがないか指摘してくれるAWSのサービス『AWS Security Hub』があります。 一度Security Hubを有効化すれば毎日チェックしてくれて「ここがダメ」と指摘してくれるのですが、AWSマネジメン…

(翻訳) 続報版 - Apache Log4j2 の脆弱性 "CVE-2021-44228" に関する AWS からのアナウンス

Log4j2 の CVE-2021-44228 について、AWS から続報のアナウンスが出ましたので、翻訳版をご案内します。

AWS ユーザーのための基本的セキュリティ情報源

IT システムを運用していると、脆弱性情報などのセキュリティを気に掛ける必要が常にあります。 AWS の EC2 インスタンス上の OS の設定やユーザーがデプロイしたアプリケーションをセキュアに保つのは、主にユーザー側の役割です。 また、 AWS の基盤部分で…

WafCharm で Log4j2 の脆弱性に備えるための対応手法について

営業部 佐竹です。 Apache Log4j2 の脆弱性 "CVE-2021-44228" に関連して、WafCharm をご利用されているお客様への対応方法をお知らせいたします。特に本ブログ記事では AWS WAF の「マネージドルールグループ」において、Log4JRCEの設定方法を詳しく記載い…

(翻訳) Apache Log4j2 の脆弱性 "CVE-2021-44228" に関する AWS からのアナウンス

Apache Log4j2 の脆弱性について、AWS からのアナウンスを翻訳速報します

AWS re:Invent 2021 で発表された S3 のアップデートまとめ セキュリティ関係

営業部 佐竹です。本ブログは「AWS re:Invent 2021 で発表された S3 のアップデートまとめ」と題しまして、Amazon S3 のリリースをまとめました。S3 のアップデートは数が多いため「コスト削減関係」と「セキュリティ関係」で2つの記事に分けてのご紹介とな…

【セッションレポート】FunPlusのDDoS対策

本日からラスベガスではAWS re:Inventが開催されています。 まあ私は現地に行けなかったので、オンラインでセッションを見ています。 では、FunPlus社によるDDoS防御に関するセッションのレポートをします。 セッション概要 原題 Funplus在亚马逊云科技上抵…

SOPSで秘密情報ファイルを安全に管理する

マルチクラウド対応の暗号化ツール「SOPS」を用いた秘密情報管理について記事化しました。

RDSにIAMデータベース認証でログインする

はじめに 突然はじめまして、當摩です。 AWS RDS(以下RDS)でIAMデータベース認証を有効化して、AWS EC2(以下EC2)からパスワードを使用せずにログインできるような設定をしました。 IAMデータベース認証ログインにすると、接続元リソースに追加したロール…

【Organizations】 主要なガバナンス・セキュリティサービスを組織で一括で有効化する

最近ランニングを始めたCI部2課の山﨑です。 今回はOrganizationsを用いたAWS環境を構成する上で、主要なセキュリティサービスを組織で一括で有効化する方法を整理しました。 はじめに Organizations組織への展開イメージ セキュリティサービスの設定方法一…

SCP を活用してマネジメントコンソールにログイン可能な IAM ユーザの作成を禁止する

CI部 佐竹です。 本日は AWS Organizations の SCP を活用し、ジャンプアカウント以外のアカウントで「マネジメントコンソールにログイン可能な IAM ユーザ」の作成を組織レベルで禁止してみます。

【検証】Amazon S3のパブリックアクセスブロックを有効にするとどうなるのか?

こんにちは!サーバーワークスの松井です! 今回は、Amazon S3のパブリックアクセスブロックを有効化するとどうなるのかを検証してみたいと思います。 AWS公式ドキュメントには、以下の機能であると記載がありますが、実際にどのように制限がかかるサービス…

GWLB 導入に関わる TGW の重要な設定「アプライアンスモード」について

CI部 佐竹です。 今回のブログでは、GWLB 導入時に関係する TGW の重要な設定「アプライアンスモード」について記載しました。VPC 間通信が存在し、かつ Availability Zone を跨いでの通信がある場合に、ネットワークアプライアンス(つまり GWLB )を経由す…

AWS WAFをどのように導入するか

「セキュリティも不安だし、そろそろウチにもWAFを入れてみようか。」 クラウド以前のWAFは非常に高価でしたが、最近は廉価なWAFも増えています。 その中でもAWS WAFは非常に低価格で簡単に試すことができるので、非常にオススメです。 本記事では、AWS WAF…

AWS Secrets Managerに保存されたRDSのログインパスワードをローテーションしてみた件

こんにちは。SRE1課の冨塚です。 RDSへログインする時に利用するユーザパスワードは定期的にローテーションしなければならない!という要件に出くわした時にオロオロせず、そしたらAWS Secrets Managerを使いましょう。というために検証しました。 作業概要 …

AWS Organizations でのアカウント新規作成を通知する

SRE部佐竹です。 今回は、AWS Organizations で AWS アカウントを新規に払い出ししたときに、その通知を送りたいという要望に対応します。実装方法は簡単で SNS と CloudWatch Events を設定するだけで、CloudTrail の API をフックして通知が可能です。

【re:Invent 2020】EA社の複雑な環境を、McAfeeがどのように支援したのか

宮澤です。EA社から販売している、スターウォーズ・スコードロンで銀河の平和を守っています。作中に登場する中で、好きなスターファイターは、Xウィングです。今回は、re:Invent 2020の"How McAfee assisted Electronic Arts in managing complex environme…

SSSD で LDAP ユーザのSSHアクセス制御する時 id_provider, auth_provider, access_provider をどうすればいいのか調査してみた

はじめに SSSD で LDAP ユーザの SSH アクセス制御をしたいときに、 id_provider, auth_provider, access_provider の違いに混乱して、結局どの設定が大事なんだよ!!ってなったので検証してみました。 ついでに、ほかのコマンドについてもここら辺のパラメー…

EC2 の Settings で EBS 暗号化 や Unlimited モードのデフォルト値を変更する

SRE部 佐竹です。 今回は、EC2 のダッシュボードにある Settings の4つの設定について解説します。特に「EBS 暗号化」と「デフォルトのクレジット仕様」の2つの項目は運用において重要な項目になると考えられますので、一度見直しをされてはいかがでしょうか…

AWS Security Hubでセキュリティリスクを自動修復する

クラウドインテグレーション部の村上です。 最近セキュリティに強くなりたいなと思い、その第一歩としてAWS Security Hubを検証してみましたので紹介します。 AWS Security Hubとは AWS Security Hubは、組織内の様々なセキュリティデータを集約して、一元的…

AWS Network Firewallを分かりやすく解説してみる

杉村です。 AWS Network Firewall で何ができるのか、その仕組みや基本的な概念、構成図、注意点を分かりやすく記載します。 aws.amazon.com 1. 何ができるのか AWS Network Firewall は VPC の Internet Gateway の手前に置くイメージで VPC に出入りするパ…

PaloAltoをAWSに導入する ~#3 PaloAltoの設定編~

こんにちは、CI部の鎌田です。 前回までの手順で、PaloAltoのインスタンスをAWSで展開し、必要な諸設定まで実施しました。 この記事では、PaloAltoにログインし、PaloAltoそのものの設定を進めていきます。 では早速、始めて行きましょう! 7.管理者パスワー…

PaloAltoをAWSに導入する ~#2 PaloAlto用インスタンスの作成とAWS上の各種設定編~

こんにちは、CI部の鎌田です。 前回までの手順で、PaloAltoをAWSに導入する際のAWS側の基礎準備が出来ました。 この記事では、PaloAltoのEC2インスタンスを構築し、AWSの周辺設定を変更していく部分についてまとめています。 では早速、始めて行きましょう!…

PaloAltoをAWSに導入する ~#1 事前準備編~

こんにちは、CI部の鎌田です。 AWSでのネットワークのアクセス制御を考えられる際、基本はセキュリティグループを使った方法を考えられるかと思いますが、URLによってのアクセス制御となると、どうでしょうか。 2020年10月現在ではAWSだけの機能では実現でき…

OneLogin の API v2(OAuth 2.0) で発生する 401 Unauthorized Error を回避する

SRE部 佐竹です。 本日は OneLogin で発生するエラーの回避策について記載します。 はじめに 401 Unauthorized Error 実際に試したコマンド エラーの回避策 rfc6750: The OAuth 2.0 Authorization Framework: Bearer Token Usage まとめ はじめに www.server…

AWS WAF のログからブロックが発生したAWSリソースを特定する

SRE部 佐竹です。 今回は WafCharm のアラートが発生した場合に、どのシステムが関係しているのかを調査する方法について記載させていただきました。本調査は AWS WAF の保守を行う場合の基本的な調査手法になってくると思いますので、是非押さえておきたい…

Trend Micro Cloud One – Workload Security(旧DSaaS)をPrivateLinkで利用する

こんにちは。技術5課 長崎です。 AWS環境にてTrend Micro Cloud One – Workload Security(旧DSaaS)をインターネットを介さずにPrivateLink経由で利用する機会が ありましたので、設定方法をまとめておこうと思います。 用語(略称) Trend Micro Cloud One – W…

AWS Organizations の SCP で 設計時に気を付けるべきポイント

SRE2課 佐竹です。 AWS Organizations の SCP を設計していくうえで「ハマりやすい」ポイント(制限)をまとめました。AWS Organizations の SCP を設計する前にご一読頂けると嬉しく思います。

AWS Organizations の SCP で MFA を組織の全 IAM ユーザに強制する

SRE2課 佐竹です。 引き続き、AWS Organizations のお話です。今回は IAM ユーザにおけるMFAの強制(MFAが設定されていない状態では、極限られた動作しか実行できない)を AWS Organizations の SCP で実装する方法とその検証結果について記載しました。

ALBとCLBに追加されたDesync Mitigation Mode の動作を確認

2020年8月17日のアップデートです。 ALBとCLBに Desync 緩和モード という設定項目が追加されました。 これはセキュリティ強化のための機能となります。 Application Load Balancer および Classic Load Balancer が Desync Mitigation Mode を導入して高度…

WafCharm の AWS 環境構成図

SRE2課 佐竹です。今回は、案件で WafCharm を導入することになりましたのでその構成図を紹介します。 WafCharm は、サイバーセキュリティクラウドが提供する AWS WAF の運用を支援するサービスです。AWS環境で AWS WAF を利用している場合にセットでの導入…

ウェブ・セキュリティ基礎試験(通称:徳丸基礎試験)に合格してきた

出来立てホヤホヤの徳丸基礎試験に合格してきたので、ドヤしたいと思います。 ウェブ・セキュリティ基礎試験(通称:徳丸基礎試験)とは 2020年7月15日に開始された試験 徳丸本の理解度を測る試験 徳丸浩氏が問題を作成 全40問、制限時間60分、4択問題、正…

AWS 上に Cisco ASAv を起動する

テック用語、叫ぶと強そうな技に聞こえる気がする SRE 2 課の手塚です。 「ネクスト・ジェネレーション・ファイアウォール!!」 さて、今回は ASAv を起動したので、この手順を紹介します。 ASAv とは? Cisco Adaptive Security Virtual Appliance の略 ファ…

AWS WAF セキュリティーオートメーションがWAFv2で利用できるようになりました

2020年7月9日のアップデートで、AWS WAF セキュリティーオートメーションがWAFv2 APIをサポートするようになりました。 aws.amazon.com 1. AWS WAF Security Automationsとは AWSには、AWS WAFというWebアプリケーションファイアウォールのサービスがありま…

【はじめてのAWS】管理用IAMユーザーを作成しよう

今回は、弊社のYouTubeチャンネル「サーバーワークス チャンネル」にて先日公開した以下動画についてblogでも内容を紹介いたします。 動画内では、実際にAWSマネジメントコンソールを操作しながら設定を行っていくデモがありますのでもし興味があれば是非、…

【はじめてのAWS】AWS Security Hub を設定しよう

今回は、弊社のYouTubeチャンネル「サーバーワークス チャンネル」にて先日公開した以下動画についてblogでも内容を紹介いたします。 動画内では、実際にAWSマネジメントコンソールを操作しながら設定を行っていくデモがありますのでもし興味があれば是非、…

Snowflake のセキュリティについて調べてみた

某YouTuberがオススメしていた「あずきのチカラ 目もと用」を最近愛用しているCI部の宮本です。夜眠りにつくときに使用しているのですが、最初は「あったか〜い。。。」と気持ち良さを感じ、温度が徐々に下がると同時に眠りにつくことが出来ます。 また、こ…

【はじめてのAWS】AWS IAM Access Analyzer を設定しよう

今回は、弊社のYouTubeチャンネル「サーバーワークス チャンネル」にて先日公開した以下動画についてblogでも内容を紹介いたします。 動画内では、実際にAWSマネジメントコンソールを操作しながら設定を行っていくデモがありますのでもし興味があれば是非、…

【AWSセキュリティ】VPCフローログ

今回は、弊社のYoutubeチャンネル「サーバーワークス チャンネル」にて先日公開した以下動画についてblogでも内容を紹介いたします。 動画内では、実際のAWSマネジメントコンソール画面を利用した説明もありますのでもし興味があれば是非、動画も参照頂けれ…

【はじめてのAWS】Amazon GuardDuty を設定しよう

今回は、弊社のYoutubeチャンネル「サーバーワークス チャンネル」にて先日公開した以下動画についてblogでも内容を紹介いたします。 動画内では、実際にAWSマネジメントコンソールを操作しながら設定を行っていくデモがありますのでもし興味があれば是非、…

Security HubのイベントをAWS ChatbotでSlackへ通知

表題の通りです。 Security Hubで検出されたアレやコレをSlackに流し込むようにします。 AWS Chatbot が一般公開されました!の記事では、CloudWatchアラームの内容をSlackに流していましたが、今回はCloudWatchイベントの内容をSlackに流します。 全体構成…

Security Hubのワークフローステータスで検出結果を運用しよう

2020年4月16日、Security Hubにワークフローステータスという新しい機能が追加されました。 この機能により、Security Hubの検出結果に対し、NEW(新規)、NOTIFIED(通知済み)、 SUPPRESSED(抑制済み)、RESOLVED(解決済み)の4つのステータスのいずれか…

【Authy】IAM UserのMFA有効化、機種変更時の対応手順【2段階認証】

CI部の柿﨑です。 3月初めにスマートフォンを買い替えましたので、 MFAの有効化手順と併せまして機種変更時の対応手順も書こうと考え、今に至ります。 Authyを使えばMFAの設定を別の端末へ簡単に移行できますので、是非ご活用ください。 Authyとは IAM User…

AWS WAF用 AWS Managed Rules(AMR)とは?

はじめに こんにちは、技術5課の孔です。最近コロナで世界中のみなさんが大変な思いをされてます。一刻も早くこの騒ぎが収まるといいですね。私達にできることはこれ以上ウィルスが拡散しないよう、「私達もかからない・かかっても移さない」を念頭に置いて…

Amazon Inspectorの評価結果をS3に集約する

AWSの様々なサービスでは、ログをS3バケットに保管できる仕様になっています。 しかし、残念なことにAmazon InspectorにはS3バケットへの出力機能がありません。 今回は、マルチアカウント・マルチリージョン環境でのInspectorの検知結果を、どのように1つの…

CloudFront+S3環境でLambda@Edgeを用いてHTTPセキュリティヘッダーを付与する方法

HTTPセキュリティヘッダーとは 「HTTPセキュリティヘッダー」とは、Webブラウザでのセキュリティ対策のために使用されるHTTPヘッダーです。 Webブラウザがセキュリティヘッダーの設定内容に従って動作することで、クロスサイトスクリプティング(XSS)やクリッ…

【Amazon Cognito】ユーザープールのアドバンスドセキュリティ機能(ASF:Advanced Security Feature)について

Cognitoのアドバンスドセキュリティ機能(ASF:Advanced Security Feature)とは Cognitoの「アドバンスドセキュリティ機能」はユーザープールのオプションの一つで 対象のCognitoユーザープールに ・侵害された資格情報(ユーザー名とパスワードのペア)の保…

【Amazon Cognitoのセキュリティ】ログイン連続失敗時の「アカウントロック機能」について

「Amazon Cognito」とは 「Amazon Cognito」は、Webアプリケーションやモバイルアプリケーションの認証、許可、ユーザ管理をしてくれるサービスです。 アプリユーザは、Cognitoのユーザディレクトリである「ユーザプール」を通じて直接サインインしたり、サ…

【AWS Transfer for SFTP】WinSCPを使用してファイル転送する

こんにちは、技術2課の芳賀です。 最近の仙台はこの日は寒かったり、この日は暖かかったりと日によって寒暖の差が激しいです。 今年も残り1か月を切りましたので、皆さん体調管理に気を付けて楽しい年末年始を過ごせるようにしましょう。(マジメか 今回はAW…