セキュリティ

AWS Security Hubでセキュリティリスクを自動修復する

クラウドインテグレーション部の村上です。 最近セキュリティに強くなりたいなと思い、その第一歩としてAWS Security Hubを検証してみましたので紹介します。 AWS Security Hubとは AWS Security Hubは、組織内の様々なセキュリティデータを集約して、一元的…

AWS Network Firewallを分かりやすく解説してみる

杉村です。 AWS Network Firewall で何ができるのか、その仕組みや基本的な概念、構成図、注意点を分かりやすく記載します。 aws.amazon.com 1. 何ができるのか AWS Network Firewall は VPC の Internet Gateway や VGW (AWS Site-to-Site VPN/AWS Direct C…

PaloAltoをAWSに導入する ~#3 PaloAltoの設定編~

こんにちは、CI部の鎌田です。 前回までの手順で、PaloAltoのインスタンスをAWSで展開し、必要な諸設定まで実施しました。 この記事では、PaloAltoにログインし、PaloAltoそのものの設定を進めていきます。 では早速、始めて行きましょう! 7.管理者パスワー…

PaloAltoをAWSに導入する ~#2 PaloAlto用インスタンスの作成とAWS上の各種設定編~

こんにちは、CI部の鎌田です。 前回までの手順で、PaloAltoをAWSに導入する際のAWS側の基礎準備が出来ました。 この記事では、PaloAltoのEC2インスタンスを構築し、AWSの周辺設定を変更していく部分についてまとめています。 では早速、始めて行きましょう!…

PaloAltoをAWSに導入する ~#1 事前準備編~

こんにちは、CI部の鎌田です。 AWSでのネットワークのアクセス制御を考えられる際、基本はセキュリティグループを使った方法を考えられるかと思いますが、URLによってのアクセス制御となると、どうでしょうか。 2020年10月現在ではAWSだけの機能では実現でき…

OneLogin の API v2(OAuth 2.0) で発生する 401 Unauthorized Error を回避する

SRE部 佐竹です。 本日は OneLogin で発生するエラーの回避策について記載します。 はじめに 401 Unauthorized Error 実際に試したコマンド エラーの回避策 rfc6750: The OAuth 2.0 Authorization Framework: Bearer Token Usage まとめ はじめに www.server…

AWS WAF のログからブロックが発生したAWSリソースを特定する

SRE部 佐竹です。 今回は WafCharm のアラートが発生した場合に、どのシステムが関係しているのかを調査する方法について記載させていただきました。本調査は AWS WAF の保守を行う場合の基本的な調査手法になってくると思いますので、是非押さえておきたい…

Trend Micro Cloud One – Workload Security(旧DSaaS)をPrivateLinkで利用する

こんにちは。技術5課 長崎です。 AWS環境にてTrend Micro Cloud One – Workload Security(旧DSaaS)をインターネットを介さずにPrivateLink経由で利用する機会が ありましたので、設定方法をまとめておこうと思います。 用語(略称) Trend Micro Cloud One – W…

AWS Organizations の SCP で 設計時に気を付けるべきポイント

SRE2課 佐竹です。 AWS Organizations の SCP を設計していくうえで「ハマりやすい」ポイント(制限)をまとめました。AWS Organizations の SCP を設計する前にご一読頂けると嬉しく思います。

AWS Organizations の SCP で MFA を組織の全 IAM ユーザに強制する

SRE2課 佐竹です。 引き続き、AWS Organizations のお話です。今回は IAM ユーザにおけるMFAの強制(MFAが設定されていない状態では、極限られた動作しか実行できない)を AWS Organizations の SCP で実装する方法とその検証結果について記載しました。

ALBとCLBに追加されたDesync Mitigation Mode の動作を確認

2020年8月17日のアップデートです。 ALBとCLBに Desync 緩和モード という設定項目が追加されました。 これはセキュリティ強化のための機能となります。 Application Load Balancer および Classic Load Balancer が Desync Mitigation Mode を導入して高度…

WafCharm の AWS 環境構成図

SRE2課 佐竹です。今回は、案件で WafCharm を導入することになりましたのでその構成図を紹介します。 WafCharm は、サイバーセキュリティクラウドが提供する AWS WAF の運用を支援するサービスです。AWS環境で AWS WAF を利用している場合にセットでの導入…

ウェブ・セキュリティ基礎試験(通称:徳丸基礎試験)に合格してきた

出来立てホヤホヤの徳丸基礎試験に合格してきたので、ドヤしたいと思います。 ウェブ・セキュリティ基礎試験(通称:徳丸基礎試験)とは 2020年7月15日に開始された試験 徳丸本の理解度を測る試験 徳丸浩氏が問題を作成 全40問、制限時間60分、4択問題、正…

AWS 上に Cisco ASAv を起動する

テック用語、叫ぶと強そうな技に聞こえる気がする SRE 2 課の手塚です。 「ネクスト・ジェネレーション・ファイアウォール!!」 さて、今回は ASAv を起動したので、この手順を紹介します。 ASAv とは? Cisco Adaptive Security Virtual Appliance の略 ファ…

AWS WAF セキュリティーオートメーションがWAFv2で利用できるようになりました

2020年7月9日のアップデートで、AWS WAF セキュリティーオートメーションがWAFv2 APIをサポートするようになりました。 aws.amazon.com 1. AWS WAF Security Automationsとは AWSには、AWS WAFというWebアプリケーションファイアウォールのサービスがありま…

【はじめてのAWS】管理用IAMユーザーを作成しよう

今回は、弊社のYouTubeチャンネル「サーバーワークス チャンネル」にて先日公開した以下動画についてblogでも内容を紹介いたします。 動画内では、実際にAWSマネジメントコンソールを操作しながら設定を行っていくデモがありますのでもし興味があれば是非、…

【はじめてのAWS】AWS Security Hub を設定しよう

今回は、弊社のYouTubeチャンネル「サーバーワークス チャンネル」にて先日公開した以下動画についてblogでも内容を紹介いたします。 動画内では、実際にAWSマネジメントコンソールを操作しながら設定を行っていくデモがありますのでもし興味があれば是非、…

Snowflake のセキュリティについて調べてみた

某YouTuberがオススメしていた「あずきのチカラ 目もと用」を最近愛用しているCI部の宮本です。夜眠りにつくときに使用しているのですが、最初は「あったか〜い。。。」と気持ち良さを感じ、温度が徐々に下がると同時に眠りにつくことが出来ます。 また、こ…

【はじめてのAWS】AWS IAM Access Analyzer を設定しよう

今回は、弊社のYouTubeチャンネル「サーバーワークス チャンネル」にて先日公開した以下動画についてblogでも内容を紹介いたします。 動画内では、実際にAWSマネジメントコンソールを操作しながら設定を行っていくデモがありますのでもし興味があれば是非、…

【はじめてのAWS】Amazon GuardDuty を設定しよう

今回は、弊社のYoutubeチャンネル「サーバーワークス チャンネル」にて先日公開した以下動画についてblogでも内容を紹介いたします。 動画内では、実際にAWSマネジメントコンソールを操作しながら設定を行っていくデモがありますのでもし興味があれば是非、…

Security HubのイベントをAWS ChatbotでSlackへ通知

表題の通りです。 Security Hubで検出されたアレやコレをSlackに流し込むようにします。 AWS Chatbot が一般公開されました!の記事では、CloudWatchアラームの内容をSlackに流していましたが、今回はCloudWatchイベントの内容をSlackに流します。 全体構成…

Security Hubのワークフローステータスで検出結果を運用しよう

2020年4月16日、Security Hubにワークフローステータスという新しい機能が追加されました。 この機能により、Security Hubの検出結果に対し、NEW(新規)、NOTIFIED(通知済み)、 SUPPRESSED(抑制済み)、RESOLVED(解決済み)の4つのステータスのいずれか…

【Authy】IAM UserのMFA有効化、機種変更時の対応手順【2段階認証】

CI部の柿﨑です。 3月初めにスマートフォンを買い替えましたので、 MFAの有効化手順と併せまして機種変更時の対応手順も書こうと考え、今に至ります。 Authyを使えばMFAの設定を別の端末へ簡単に移行できますので、是非ご活用ください。 目次 Authyとは IAM …

Amazon Inspectorの評価結果をS3に集約する

AWSの様々なサービスでは、ログをS3バケットに保管できる仕様になっています。 しかし、残念なことにAmazon InspectorにはS3バケットへの出力機能がありません。 今回は、マルチアカウント・マルチリージョン環境でのInspectorの検知結果を、どのように1つの…

CloudFront+S3環境でLambda@Edgeを用いてHTTPセキュリティヘッダーを付与する方法

HTTPセキュリティヘッダーとは 「HTTPセキュリティヘッダー」とは、Webブラウザでのセキュリティ対策のために使用されるHTTPヘッダーです。 Webブラウザがセキュリティヘッダーの設定内容に従って動作することで、クロスサイトスクリプティング(XSS)やクリッ…

【Amazon Cognitoのセキュリティ】ログイン連続失敗時の「アカウントロック機能」について

「Amazon Cognito」とは 「Amazon Cognito」は、Webアプリケーションやモバイルアプリケーションの認証、許可、ユーザ管理をしてくれるサービスです。 アプリユーザは、Cognitoのユーザディレクトリである「ユーザプール」を通じて直接サインインしたり、サ…

【AWS Transfer for SFTP】WinSCPを使用してファイル転送する

こんにちは、技術2課の芳賀です。 最近の仙台はこの日は寒かったり、この日は暖かかったりと日によって寒暖の差が激しいです。 今年も残り1か月を切りましたので、皆さん体調管理に気を付けて楽しい年末年始を過ごせるようにしましょう。(マジメか 今回はAW…

【VPC】踏み台経由でのログオン・ログイン

前回 の続き、今回は踏み台サーバーを利用したログオン/ログインの方法について説明します。 ところが、このタイミングで同僚の山本よりこんな記事が。 AWS Systems Manager のポートフォワーディング機能がリリースされました これからはこちらを使えばいい…

IAMユーザにMFA設定を強制するにあたりiam:ListUsersが必須では無くなった話

CS課佐竹です。 はじめに 仮想 MFA デバイス、U2Fセキュリティキー 2019年1月までのMFA強制 IAM Policy のベストプラクティス "iam:ListUsers"が問題になるシーン 実際の設定画面を確認する 現在のMFA強制 IAM Policy のベストプラクティス 新しく増えた My …

OneLoginのMFAを利用してWorkSpacesの2段階認証を実現する

宮澤です。 今回は、OneLoginとWorkSpacesを組み合わせて、2段階認証を実現する手順を紹介します。 紹介する手順は、事項の前提条件が構築、設定されている必要があります。 前提条件 Active DirectoryとAWS Directry ServiceのAD Conectorが連携している ht…

セキュリティグループで最大1,000のルールが記載可能になりました

PS課、佐竹です。 セキュリティグループにて驚きのリリースがありましたのでご連絡いたします。 セキュリティグループにて、最大1,000のルールが記載可能になりました セキュリティグループの250ルールとは セキュリティグループの300ルールとは EC2の「制限…

AWS WAF セキュリティオートメーションソリューション2.2.0

AWS WAF セキュリティオートメーションソリューションという簡単にAWS WAFを導入できるCloudFormationテンプレートがありますが、気がついたらバージョンアップしてました。 調べてみると、確かに日本語でも情報でていますね。 AWS WAF セキュリティオートメ…

【社内勉強会】『WAF勉強会』

技術4課の渡辺です。 社内でWAF勉強会を行ったので、その時の資料を公開します。 私の最近の担当した案件を元にしていますので、AWS WAFとImperva Incapsulaを例にしています。 資料 20190124 waf from Serverworks Co.,Ltd.

AWS WAFのログをAthenaで整形する

渡辺です。 少し前になりますが、2018年8月末に一部WAF界隈で衝撃が走りました。 AWS WAFは全てのセッションのログが取得できなかったのですが、それが可能になったというニュースです。 AWS WAF の包括的なログ記録機能が新たに利用可能に ログの取得方法は…

AWS Certificate Manager(ACM)でワイルドカード証明書を発行する際の注意事項

こんにちは。プロフェッショナルサービス課 佐竹です。AWSサミット真っ最中で、界隈は「東京にEFSが来た!」とか「ALBにCognito連携(Application Load Balancer Authentication)が実装された!」とか、色んな話題で賑わっておりますね!!が、地味にACMにフ…

Create Auto-Scaling Container HPC with CfnCluster and Singularity

日本語版はこちら In my previous article, I used Singularity, a container specialized for HPC, on Amazon EC2. A procedure to install Singularity, build and exec (execute) a container of OpenFOAM was introduced. However, the environment is n…

CfnClusterとSingularityで、伸縮自在なコンテナHPC環境をつくる

Click here to read in English. 前回の記事では、HPC用途に特化したコンテナSingularityをAmazon EC2で動かしました。EC2インスタンスにSingularityをインストールし、OpenFOAMのコンテナをつくったり(build)実行したり(exec)してみました。ただし前回使用…

【re:Invent発表】AWS WAFでマネージドルールが利用可能になりました。

AWS WAFでサードパーティーベンダーによるマネージドルールが利用可能になりました。 すぐに使用できるマネージドルールがAWS WAFで利用可能に これまでは、ユーザ自身が細かなルールを作成する必要がありましたが、セキュリティーの専門家でなければ、適切…

AWS WAFを簡単に設定するCloudFormationのテンプレート

はじめに AWS WAFをつかってみたいけど、設定が面倒くさいと思っているそこの貴方に、朗報です。 流すだけで、AWS WAFのいい感じの設定がされるCloudFormationのテンプレートが提供されています。 AWS WAFの概要 AWSでは、WEBアプリケーションファイアウォー…

【AWSリバイバル】CloudFrontの署名付きURLで「3分で見れなくなってしまう秘密のページ」をつくってみよう!

こんにちは。最近新しくなったサーバーワークスのロゴが弥治郎系のこけしにマッチしすぎていていることに驚いているこけし部 部長の坂本(@t_sakam)です。 さて、今回から勝手にはじまった「AWSリバイバル」シリーズ、AWSに結構前からあるけれど、個人的に…

OneLoginのアカウントをセキュアに -物理MFA編-

情報システム課の宮澤です。 今回は、OneLoginのユーザーアカウントにMFA(物理)設定をする手順を紹介します。

Active Directoryを通して知る認証・認可(承認)

技術2課の鎌田です。 前回記事で、AWSとActive Directoryとの連携をご紹介しました。 今回は、仕組みを見てみたいと思います。 ※なお、この記事では広く用いられているSAMLプロトコルの用語をベースとし、Active Directoryの用語は()書きで補足しています。…

AWS Certificate ManagerでSSLをお手軽に!

こんにちは。技術1課の高橋です。最近日比谷公園の鉄棒やつり輪でトレーニングをしています。Street Workoutってやつですな。さて今回は AWS Certificate Manager を利用して、簡単にSSLを利用する方法をご紹介します。 AWS Certificate Manager とは AWS Ce…

次世代FirewallをHAでガッチガチに・前編

サーバーワークス大阪オフィスの久保です。 そういえば半年前にこの記事の前フリを書いていた気がするのですが、続編を書かないまま時の流れに身を委ねて今日に至ります。このままでは「ああ、あいつ結局本採用されんかったんやな」と言われそうなので、この…

【アナウンス】 WindowsおよびSamba脆弱性【Badlock】

サーバーワークス サポート窓口よりお知らせいたします。 ​ 報告 MicrosoftとSambaチームのエンジニアよりWindowsおよびSambaのほぼ全バージョンに存在する、 重大な脆弱性に関する情報を2016年4月12日に開示しパッチを提供すると予告されました。 この脆弱…

【アナウンス】 glibc脆弱性 【CVE-2015-7547】

サーバーワークス サポート窓口よりお知らせいたします。 報告 glibc の getaddrinfo において スタックベースオーバーフローの脆弱性が発見されました。 脆弱性の概要 脆弱性の詳細は以下の記事をご覧下さい。 CVE-2015-7547: glibc getaddrinfo stack-base…

【速報】Linuxカーネル脆弱性【CVE-2016-0728】

サーバーワークス サポート窓口より緊急でお知らせいたします。 速報 Linuxカーネル3.8以降のシステムにおいて ローカルユーザがroot権限を取得可能となる脆弱性が発見されました。 脆弱性の概要 脆弱性の詳細は以下の記事をご参照ください ANALYSIS AND EXP…

LT大会 第6戦の資料を公開しました。

サーバーワークスLT連盟です。 今回はLT大会第6戦の資料を公開したのでお知らせいたします。 昨今IoTが盛り上がりを見せており、AWSでもAWS IoTがリリースされました。 今回、AWS IoTとIntel Edisonを利用して、オフィスのワイワイガヤガヤを可視化するシス…

LT大会 第5回戦の資料を公開しました

サーバーワークスLT連盟です。 今回はLT大会第5戦の資料を公開したのでお知らせいたします。 ハニーポットの概要と目的の説明、あとは比較的導入しやすいハニーポットであるKippoの紹介を行った資料です。 Kippoで釣り from Serverworks Co.,Ltd. 登場以来…

PagerDutyを使ってみた

みなさんこんにちは。 技術研究課の山田です。 さて、私が所属している技術研究課ではR&Dを継続的に実施することで、業務フローの改善や他課をサポートする活動を日々行っています。 今回はその一環で PagerDuty を触る機会があったのでレポートします。 Pag…