セキュリティ
はじめに 突然はじめまして、當摩です。 AWS RDS(以下RDS)でIAMデータベース認証を有効化して、AWS EC2(以下EC2)からパスワードを使用せずにログインできるような設定をしました。 IAMデータベース認証ログインにすると、接続元リソースに追加したロール…
最近ランニングを始めたCI部2課の山﨑です。 今回はOrganizationsを用いたAWS環境を構成する上で、主要なセキュリティサービスを組織で一括で有効化する方法を整理しました。 はじめに Organizations組織への展開イメージ セキュリティサービスの設定方法一…
CI部 佐竹です。 本日は AWS Organizations の SCP を活用し、ジャンプアカウント以外のアカウントで「マネジメントコンソールにログイン可能な IAM ユーザ」の作成を組織レベルで禁止してみます。
こんにちは!サーバーワークスの松井です! 今回は、Amazon S3のパブリックアクセスブロックを有効化するとどうなるのかを検証してみたいと思います。 AWS公式ドキュメントには、以下の機能であると記載がありますが、実際にどのように制限がかかるサービス…
CI部 佐竹です。 今回のブログでは、GWLB 導入時に関係する TGW の重要な設定「アプライアンスモード」について記載しました。VPC 間通信が存在し、かつ Availability Zone を跨いでの通信がある場合に、ネットワークアプライアンス(つまり GWLB )を経由す…
「セキュリティも不安だし、そろそろウチにもWAFを入れてみようか。」 クラウド以前のWAFは非常に高価でしたが、最近は廉価なWAFも増えています。 その中でもAWS WAFは非常に低価格で簡単に試すことができるので、非常にオススメです。 本記事では、AWS WAF…
こんにちは。SRE1課の冨塚です。 RDSへログインする時に利用するユーザパスワードは定期的にローテーションしなければならない!という要件に出くわした時にオロオロせず、そしたらAWS Secrets Managerを使いましょう。というために検証しました。 作業概要 …
SRE部佐竹です。 今回は、AWS Organizations で AWS アカウントを新規に払い出ししたときに、その通知を送りたいという要望に対応します。実装方法は簡単で SNS と CloudWatch Events を設定するだけで、CloudTrail の API をフックして通知が可能です。
宮澤です。EA社から販売している、スターウォーズ・スコードロンで銀河の平和を守っています。作中に登場する中で、好きなスターファイターは、Xウィングです。今回は、re:Invent 2020の"How McAfee assisted Electronic Arts in managing complex environme…
はじめに SSSD で LDAP ユーザの SSH アクセス制御をしたいときに、 id_provider, auth_provider, access_provider の違いに混乱して、結局どの設定が大事なんだよ!!ってなったので検証してみました。 ついでに、ほかのコマンドについてもここら辺のパラメー…
SRE部 佐竹です。 今回は、EC2 のダッシュボードにある Settings の4つの設定について解説します。特に「EBS 暗号化」と「デフォルトのクレジット仕様」の2つの項目は運用において重要な項目になると考えられますので、一度見直しをされてはいかがでしょうか…
クラウドインテグレーション部の村上です。 最近セキュリティに強くなりたいなと思い、その第一歩としてAWS Security Hubを検証してみましたので紹介します。 AWS Security Hubとは AWS Security Hubは、組織内の様々なセキュリティデータを集約して、一元的…
杉村です。 AWS Network Firewall で何ができるのか、その仕組みや基本的な概念、構成図、注意点を分かりやすく記載します。 aws.amazon.com 1. 何ができるのか AWS Network Firewall は VPC の Internet Gateway の手前に置くイメージで VPC に出入りするパ…
こんにちは、CI部の鎌田です。 前回までの手順で、PaloAltoのインスタンスをAWSで展開し、必要な諸設定まで実施しました。 この記事では、PaloAltoにログインし、PaloAltoそのものの設定を進めていきます。 では早速、始めて行きましょう! 7.管理者パスワー…
こんにちは、CI部の鎌田です。 前回までの手順で、PaloAltoをAWSに導入する際のAWS側の基礎準備が出来ました。 この記事では、PaloAltoのEC2インスタンスを構築し、AWSの周辺設定を変更していく部分についてまとめています。 では早速、始めて行きましょう!…
こんにちは、CI部の鎌田です。 AWSでのネットワークのアクセス制御を考えられる際、基本はセキュリティグループを使った方法を考えられるかと思いますが、URLによってのアクセス制御となると、どうでしょうか。 2020年10月現在ではAWSだけの機能では実現でき…
SRE部 佐竹です。 本日は OneLogin で発生するエラーの回避策について記載します。 はじめに 401 Unauthorized Error 実際に試したコマンド エラーの回避策 rfc6750: The OAuth 2.0 Authorization Framework: Bearer Token Usage まとめ はじめに www.server…
SRE部 佐竹です。 今回は WafCharm のアラートが発生した場合に、どのシステムが関係しているのかを調査する方法について記載させていただきました。本調査は AWS WAF の保守を行う場合の基本的な調査手法になってくると思いますので、是非押さえておきたい…
こんにちは。技術5課 長崎です。 AWS環境にてTrend Micro Cloud One – Workload Security(旧DSaaS)をインターネットを介さずにPrivateLink経由で利用する機会が ありましたので、設定方法をまとめておこうと思います。 用語(略称) Trend Micro Cloud One – W…
SRE2課 佐竹です。 AWS Organizations の SCP を設計していくうえで「ハマりやすい」ポイント(制限)をまとめました。AWS Organizations の SCP を設計する前にご一読頂けると嬉しく思います。
SRE2課 佐竹です。 引き続き、AWS Organizations のお話です。今回は IAM ユーザにおけるMFAの強制(MFAが設定されていない状態では、極限られた動作しか実行できない)を AWS Organizations の SCP で実装する方法とその検証結果について記載しました。
2020年8月17日のアップデートです。 ALBとCLBに Desync 緩和モード という設定項目が追加されました。 これはセキュリティ強化のための機能となります。 Application Load Balancer および Classic Load Balancer が Desync Mitigation Mode を導入して高度…
SRE2課 佐竹です。今回は、案件で WafCharm を導入することになりましたのでその構成図を紹介します。 WafCharm は、サイバーセキュリティクラウドが提供する AWS WAF の運用を支援するサービスです。AWS環境で AWS WAF を利用している場合にセットでの導入…
出来立てホヤホヤの徳丸基礎試験に合格してきたので、ドヤしたいと思います。 ウェブ・セキュリティ基礎試験(通称:徳丸基礎試験)とは 2020年7月15日に開始された試験 徳丸本の理解度を測る試験 徳丸浩氏が問題を作成 全40問、制限時間60分、4択問題、正…
テック用語、叫ぶと強そうな技に聞こえる気がする SRE 2 課の手塚です。 「ネクスト・ジェネレーション・ファイアウォール!!」 さて、今回は ASAv を起動したので、この手順を紹介します。 ASAv とは? Cisco Adaptive Security Virtual Appliance の略 ファ…
2020年7月9日のアップデートで、AWS WAF セキュリティーオートメーションがWAFv2 APIをサポートするようになりました。 aws.amazon.com 1. AWS WAF Security Automationsとは AWSには、AWS WAFというWebアプリケーションファイアウォールのサービスがありま…
今回は、弊社のYouTubeチャンネル「サーバーワークス チャンネル」にて先日公開した以下動画についてblogでも内容を紹介いたします。 動画内では、実際にAWSマネジメントコンソールを操作しながら設定を行っていくデモがありますのでもし興味があれば是非、…
今回は、弊社のYouTubeチャンネル「サーバーワークス チャンネル」にて先日公開した以下動画についてblogでも内容を紹介いたします。 動画内では、実際にAWSマネジメントコンソールを操作しながら設定を行っていくデモがありますのでもし興味があれば是非、…
某YouTuberがオススメしていた「あずきのチカラ 目もと用」を最近愛用しているCI部の宮本です。夜眠りにつくときに使用しているのですが、最初は「あったか〜い。。。」と気持ち良さを感じ、温度が徐々に下がると同時に眠りにつくことが出来ます。 また、こ…
今回は、弊社のYouTubeチャンネル「サーバーワークス チャンネル」にて先日公開した以下動画についてblogでも内容を紹介いたします。 動画内では、実際にAWSマネジメントコンソールを操作しながら設定を行っていくデモがありますのでもし興味があれば是非、…
今回は、弊社のYoutubeチャンネル「サーバーワークス チャンネル」にて先日公開した以下動画についてblogでも内容を紹介いたします。 動画内では、実際のAWSマネジメントコンソール画面を利用した説明もありますのでもし興味があれば是非、動画も参照頂けれ…
今回は、弊社のYoutubeチャンネル「サーバーワークス チャンネル」にて先日公開した以下動画についてblogでも内容を紹介いたします。 動画内では、実際にAWSマネジメントコンソールを操作しながら設定を行っていくデモがありますのでもし興味があれば是非、…
表題の通りです。 Security Hubで検出されたアレやコレをSlackに流し込むようにします。 AWS Chatbot が一般公開されました!の記事では、CloudWatchアラームの内容をSlackに流していましたが、今回はCloudWatchイベントの内容をSlackに流します。 全体構成…
2020年4月16日、Security Hubにワークフローステータスという新しい機能が追加されました。 この機能により、Security Hubの検出結果に対し、NEW(新規)、NOTIFIED(通知済み)、 SUPPRESSED(抑制済み)、RESOLVED(解決済み)の4つのステータスのいずれか…
CI部の柿﨑です。 3月初めにスマートフォンを買い替えましたので、 MFAの有効化手順と併せまして機種変更時の対応手順も書こうと考え、今に至ります。 Authyを使えばMFAの設定を別の端末へ簡単に移行できますので、是非ご活用ください。 Authyとは IAM User…
はじめに こんにちは、技術5課の孔です。最近コロナで世界中のみなさんが大変な思いをされてます。一刻も早くこの騒ぎが収まるといいですね。私達にできることはこれ以上ウィルスが拡散しないよう、「私達もかからない・かかっても移さない」を念頭に置いて…
AWSの様々なサービスでは、ログをS3バケットに保管できる仕様になっています。 しかし、残念なことにAmazon InspectorにはS3バケットへの出力機能がありません。 今回は、マルチアカウント・マルチリージョン環境でのInspectorの検知結果を、どのように1つの…
HTTPセキュリティヘッダーとは 「HTTPセキュリティヘッダー」とは、Webブラウザでのセキュリティ対策のために使用されるHTTPヘッダーです。 Webブラウザがセキュリティヘッダーの設定内容に従って動作することで、クロスサイトスクリプティング(XSS)やクリッ…
Cognitoのアドバンスドセキュリティ機能(ASF:Advanced Security Feature)とは Cognitoの「アドバンスドセキュリティ機能」はユーザープールのオプションの一つで 対象のCognitoユーザープールに ・侵害された資格情報(ユーザー名とパスワードのペア)の保…
「Amazon Cognito」とは 「Amazon Cognito」は、Webアプリケーションやモバイルアプリケーションの認証、許可、ユーザ管理をしてくれるサービスです。 アプリユーザは、Cognitoのユーザディレクトリである「ユーザプール」を通じて直接サインインしたり、サ…
こんにちは、技術2課の芳賀です。 最近の仙台はこの日は寒かったり、この日は暖かかったりと日によって寒暖の差が激しいです。 今年も残り1か月を切りましたので、皆さん体調管理に気を付けて楽しい年末年始を過ごせるようにしましょう。(マジメか 今回はAW…
前回 の続き、今回は踏み台サーバーを利用したログオン/ログインの方法について説明します。 ところが、このタイミングで同僚の山本よりこんな記事が。 AWS Systems Manager のポートフォワーディング機能がリリースされました これからはこちらを使えばいい…
こんにちは、MS部の高橋(大)です。 みなさん Vuls と AWS Inspector はご存知でしょうか。 ともに脆弱性検知ツールです。Vuls はフューチャー株式会社が提供しているオープンソース(SaaS版 FutureVulsあり。後述)でして、AWS Inspectorは AWSより提供が…
「rootアカウントですら永久にオブジェクトを削除できなくなるような機能がS3に追加されたらしい・・・」 S3オブジェクトロック機能がローンチされた際ちらほらこんな噂が聞かれました。 こうした「rootですら削除できなくなる」「設定中は無期限で削除でき…
CS課佐竹です。 はじめに 仮想 MFA デバイス、U2Fセキュリティキー 2019年1月までのMFA強制 IAM Policy のベストプラクティス "iam:ListUsers"が問題になるシーン 実際の設定画面を確認する 現在のMFA強制 IAM Policy のベストプラクティス 新しく増えた My …
宮澤です。 今回は、OneLoginとWorkSpacesを組み合わせて、2段階認証を実現する手順を紹介します。 紹介する手順は、事項の前提条件が構築、設定されている必要があります。 前提条件 Active DirectoryとAWS Directry ServiceのAD Conectorが連携している ht…
PS課、佐竹です。 セキュリティグループにて驚きのリリースがありましたのでご連絡いたします。 セキュリティグループにて、最大1,000のルールが記載可能になりました セキュリティグループの250ルールとは セキュリティグループの300ルールとは EC2の「制限…
AWS WAF セキュリティオートメーションソリューションという簡単にAWS WAFを導入できるCloudFormationテンプレートがありますが、気がついたらバージョンアップしてました。 調べてみると、確かに日本語でも情報でていますね。 AWS WAF セキュリティオートメ…
技術4課の渡辺です。 社内でWAF勉強会を行ったので、その時の資料を公開します。 私の最近の担当した案件を元にしていますので、AWS WAFとImperva Incapsulaを例にしています。 資料 20190124 waf from Serverworks Co.,Ltd.
渡辺です。 少し前になりますが、2018年8月末に一部WAF界隈で衝撃が走りました。 AWS WAFは全てのセッションのログが取得できなかったのですが、それが可能になったというニュースです。 AWS WAF の包括的なログ記録機能が新たに利用可能に ログの取得方法は…
