セキュリティ

【VPC】踏み台経由でのログオン・ログイン

前回 の続き、今回は踏み台サーバーを利用したログオン/ログインの方法について説明します。 ところが、このタイミングで同僚の山本よりこんな記事が。 AWS Systems Manager のポートフォワーディング機能がリリースされました これからはこちらを使えばいい…

Vuls と AWS Inspector のご紹介

こんにちは、MS部の高橋(大)です。 みなさん Vuls と AWS Inspector はご存知でしょうか。 ともに脆弱性検知ツールです。Vuls はフューチャー株式会社が提供しているオープンソース(SaaS版 FutureVulsあり。後述)でして、AWS Inspectorは AWSより提供が…

3ステップでS3オブジェクトロックの概要と特徴をざっくり理解する

「rootアカウントですら永久にオブジェクトを削除できなくなるような機能がS3に追加されたらしい・・・」 S3オブジェクトロック機能がローンチされた際ちらほらこんな噂が聞かれました。 こうした「rootですら削除できなくなる」「設定中は無期限で削除でき…

IAMユーザにMFA設定を強制するにあたりiam:ListUsersが必須では無くなった話

CS課佐竹です。 はじめに 仮想 MFA デバイス、U2Fセキュリティキー 2019年1月までのMFA強制 IAM Policy のベストプラクティス "iam:ListUsers"が問題になるシーン 実際の設定画面を確認する 現在のMFA強制 IAM Policy のベストプラクティス 新しく増えた My …

OneLoginのMFAを利用してWorkSpacesの2段階認証を実現する

宮澤です。 今回は、OneLoginとWorkSpacesを組み合わせて、2段階認証を実現する手順を紹介します。 紹介する手順は、事項の前提条件が構築、設定されている必要があります。 前提条件 Active DirectoryとAWS Directry ServiceのAD Conectorが連携している ht…

セキュリティグループで最大1,000のルールが記載可能になりました

PS課、佐竹です。 セキュリティグループにて驚きのリリースがありましたのでご連絡いたします。 セキュリティグループにて、最大1,000のルールが記載可能になりました セキュリティグループの250ルールとは セキュリティグループの300ルールとは EC2の「制限…

AWS WAF セキュリティオートメーションソリューション2.2.0

AWS WAF セキュリティオートメーションソリューションという簡単にAWS WAFを導入できるCloudFormationテンプレートがありますが、気がついたらバージョンアップしてました。 調べてみると、確かに日本語でも情報でていますね。 AWS WAF セキュリティオートメ…

【社内勉強会】『WAF勉強会』

技術4課の渡辺です。 社内でWAF勉強会を行ったので、その時の資料を公開します。 私の最近の担当した案件を元にしていますので、AWS WAFとImperva Incapsulaを例にしています。 資料 20190124 waf from Serverworks Co.,Ltd.

AWS WAFのログをAthenaで整形する

渡辺です。 少し前になりますが、2018年8月末に一部WAF界隈で衝撃が走りました。 AWS WAFは全てのセッションのログが取得できなかったのですが、それが可能になったというニュースです。 AWS WAF の包括的なログ記録機能が新たに利用可能に ログの取得方法は…

WindowsのWorkSpacesクライアントでデバイス認証

こんにちは、技術4課の城です。 WorkSpacesの接続元を制限する方法の一つとして、Windows、Macのクライアントについては、デバイス認証が用意されています。 Windows端末にて作業を実施する際に必要なことについて、記載します。 やること AWSドキュメントを…

AWS Certificate Manager(ACM)でワイルドカード証明書を発行する際の注意事項

こんにちは。プロフェッショナルサービス課 佐竹です。AWSサミット真っ最中で、界隈は「東京にEFSが来た!」とか「ALBにCognito連携(Application Load Balancer Authentication)が実装された!」とか、色んな話題で賑わっておりますね!!が、地味にACMにフ…

Create Auto-Scaling Container HPC with CfnCluster and Singularity

日本語版はこちら In my previous article, I used Singularity, a container specialized for HPC, on Amazon EC2. A procedure to install Singularity, build and exec (execute) a container of OpenFOAM was introduced. However, the environment is n…

CfnClusterとSingularityで、伸縮自在なコンテナHPC環境をつくる

Click here to read in English. 前回の記事では、HPC用途に特化したコンテナSingularityをAmazon EC2で動かしました。EC2インスタンスにSingularityをインストールし、OpenFOAMのコンテナをつくったり(build)実行したり(exec)してみました。ただし前回使用…

【re:Invent発表】AWS WAFでマネージドルールが利用可能になりました。

AWS WAFでサードパーティーベンダーによるマネージドルールが利用可能になりました。 すぐに使用できるマネージドルールがAWS WAFで利用可能に これまでは、ユーザ自身が細かなルールを作成する必要がありましたが、セキュリティーの専門家でなければ、適切…

AWS WAFを簡単に設定するCloudFormationのテンプレート

はじめに AWS WAFをつかってみたいけど、設定が面倒くさいと思っているそこの貴方に、朗報です。 流すだけで、AWS WAFのいい感じの設定がされるCloudFormationのテンプレートが提供されています。 AWS WAFの概要 AWSでは、WEBアプリケーションファイアウォー…

CloudTrail が自動有効化されるようになったのに合わせて、設定方法を改めて眺めてみる

技術2課の寺田です。 今週は松本と東京を行ったり来たりの1週間です。 松本から新幹線?といつも聞かれるのですが、 新幹線の駅までは遠いので、特急あずさでいつも3時間弱かけて東京まで出ています。 CloudTrailが自動的に有効化されるようになりました AWS…

【AWSリバイバル】CloudFrontの署名付きURLで「3分で見れなくなってしまう秘密のページ」をつくってみよう!

こんにちは。最近新しくなったサーバーワークスのロゴが弥治郎系のこけしにマッチしすぎていていることに驚いているこけし部 部長の坂本(@t_sakam)です。 さて、今回から勝手にはじまった「AWSリバイバル」シリーズ、AWSに結構前からあるけれど、個人的に…

多要素認証を使った運用でもっと安全に

こんにちは、カスタマー・サポート課のマツシタです。 AWSアカウントの特にrootアカウントは多要素認証(MFA)を設定することが強く推奨されています。ただ、多要素認証を設定するだけで安全と言えるでしょうか? 今日はAWSアカウント運用のセキュリティのさ…

サーバーレスへの道(2) ~アーキテクチャとセキュリティ~

前回の記事「サーバーレスへの道(1) ~DevOpsと人~」に続き、A Cloud Guru の John McKim (@johncmckim) さんがサーバーレスについての記事「Adopting Serverless — Architectures and Security」を書いてくれました。John さんに許可をとったうえで翻訳して…

OneLoginにSORACOMコネクタが追加されました

情報システム課の宮澤です。今回は、先日追加された、OneLoginのSORACOMコネクターの利用方法を紹介したいと思います。 SORACOMコネクタについて 今回OneLoginで用意されている、SORACOMのコネクタは、通常のルートアカウントと、SAMの2種類になります。 ルートアカ…

OneLoginのアカウントをセキュアに -物理MFA編-

情報システム課の宮澤です。 今回は、OneLoginのユーザーアカウントにMFA(物理)設定をする手順を紹介します。

Active Directoryを通して知る認証・認可(承認)

技術2課の鎌田です。 前回記事で、AWSとActive Directoryとの連携をご紹介しました。 今回は、仕組みを見てみたいと思います。 ※なお、この記事では広く用いられているSAMLプロトコルの用語をベースとし、Active Directoryの用語は()書きで補足しています。…

OneLogin Desktop for Mac

情報システム課の宮澤です。 今回は、先日リリースされた”OneLogin Desktop for Mac”の紹介をしたいと思います。 OneLogin Desktop for Macとは OneLogin Desktop for MacはOneLoginのディレクトリユーザーを利用してMacへのログインを実現するサービスです…

IISのレスポンスヘッダーからIISバージョン情報を消す方法

IISのHTTPレスポンスにはデフォルトで「Server」ヘッダーにバージョン情報が格納されています。 セキュリティ上好ましくなく、バージョン情報を消したい時は、Microsoftが提供するURL Writeという機能により実現することが可能です。 以下URLからURL Rewrite…

AWS Certificate ManagerでSSLをお手軽に!

こんにちは。技術1課の高橋です。最近日比谷公園の鉄棒やつり輪でトレーニングをしています。Street Workoutってやつですな。さて今回は AWS Certificate Manager を利用して、簡単にSSLを利用する方法をご紹介します。 AWS Certificate Manager とは AWS Ce…

Boxに電子すかし機能が追加されました

情報システム課の宮澤です。 今回は、Boxに追加された電子すかし機能を紹介したいと思います。 電子すかし機能とは Boxでプレビューしたファイルに電子すかしを挿入する機能です。 この機能を有効にすることで、閲覧者のメールアドレスおよびアクセス日が、…

次世代FirewallをHAでガッチガチに・前編

サーバーワークス大阪オフィスの久保です。 そういえば半年前にこの記事の前フリを書いていた気がするのですが、続編を書かないまま時の流れに身を委ねて今日に至ります。このままでは「ああ、あいつ結局本採用されんかったんやな」と言われそうなので、この…

【アナウンス】 WindowsおよびSamba脆弱性【Badlock】

サーバーワークス サポート窓口よりお知らせいたします。 ​ 報告 MicrosoftとSambaチームのエンジニアよりWindowsおよびSambaのほぼ全バージョンに存在する、 重大な脆弱性に関する情報を2016年4月12日に開示しパッチを提供すると予告されました。 この脆弱…

Windowsのイベントログを可視化してみる~CloudWatch Logs,Elasticsearch,Kibana編~

こんにちは。技術1課の高橋です。 先日ジョン・ブルックフィールドの「握力王」という本を買いました。握力を高めるには地道なトレーニングが不可欠のようです。 さて今回、CloudWatch Logs,Amazon Elaticsearch ServiceおよびKibanaで、 Windowsのイベント…

見直すなら今!AWSアカウント セキュリティの基本を総点検

これから新規で構築する際は、IAMベストプラクティスに準じた設計を行いますよね。当然ですよね。 でも、こんなAWSアカウントありませんか? 短納期を実現するためにスピード優先で構築したAWSアカウント 他の会社が構築したAWSアカウントを引き継いで運用中…

【アナウンス】 glibc脆弱性 【CVE-2015-7547】

サーバーワークス サポート窓口よりお知らせいたします。 報告 glibc の getaddrinfo において スタックベースオーバーフローの脆弱性が発見されました。 脆弱性の概要 脆弱性の詳細は以下の記事をご覧下さい。 CVE-2015-7547: glibc getaddrinfo stack-base…

【速報】Linuxカーネル脆弱性【CVE-2016-0728】

サーバーワークス サポート窓口より緊急でお知らせいたします。 速報 Linuxカーネル3.8以降のシステムにおいて ローカルユーザがroot権限を取得可能となる脆弱性が発見されました。 脆弱性の概要 脆弱性の詳細は以下の記事をご参照ください ANALYSIS AND EXP…

JAWS-UG京王線に参加してきました

皆さんJAWS-UG参加していますか? 新人の寺田です。これが使えるのもあと3ヶ月となってしまいました。 ちなみに、私はJAWS-UGはこれで2回目でした。 もう少し参加しなくては。 ということで、今回はJAWS-UG京王線に参加してきました タイトルは->JAWS-UG京王…

IAMの二段階認証としてSMSを設定する(プレビュー版)

この記事は11月24日現在の内容です。 情報システム課の宮澤です。 AWSのSAブログに紹介されていたSMSを利用したIAMについて紹介したいと思います。 http://aws.typepad.com/sajp/2015/11/aws-releases-preview-of-sms-mfa-for-iam-users.html ブログを記載し…

IAM ロールを使いこなす ~切り替え用ロールの作成編~

情報システム課の宮澤です。 今回は、AWSアカウントをセキュアに使うために重要な、IAM ロールについて紹介したいと思います。 IAM ロールとは IAM ロールは、AWSのリソースに対して、アクセス許可/禁止などの権限ポリシーが設定できるという部分においては…

不要になったIAMユーザーはありませんか?

皆さん、こんにちは。サポート窓口のminomです。 今朝の通勤電車にて@itさんの「不要になったユーザープロファイルを削除する」という記事を見ました。 そこからサーバーに入られたりしますからね、リスクですね、きちんと管理して不要なプロファイルは削除…

PagerDutyを使ってみた

みなさんこんにちは。 技術研究課の山田です。 さて、私が所属している技術研究課ではR&Dを継続的に実施することで、業務フローの改善や他課をサポートする活動を日々行っています。 今回はその一環で PagerDuty を触る機会があったのでレポートします。 Pag…

次世代Firewallとログ収集ツールによるセキュアなVDI環境の構築(その1)

はじめまして。サーバーワークス大阪オフィス勤務(執筆時点でまだ試用期間中)の久保(@bokucurry)です。自分が何屋さんなのかいまいちよくわかっていませんが、主にPMと営業活動をメインにしながら、案件によっては構築もやるという、地方拠点エンジニアを地…

OpenSSL (2015/07/09発表予定脆弱性)対象チェックZabbixテンプレートを作成しました。

サーバーワークス Zabbixスペシャリスト くりゅうです。 OpenSSL 1.0.2d, 1.0.1p リリースについて 【緊急】OpenSSL 1.0.2d, 1.0.1p リリース でもご案内させていただいている通り、攻撃者に情報を与えないため 詳細は不明ですが、明日(2015/07/09)OpenSS…

ELBによるSSL Terminationをご利用中の方へ、TLSの脆弱性「Logjam」対策のご案内

こんにちは、サーバーワークスの三井です。 少しばかり遅くなってしまいましたが、HTTPSやSSH、IPSecなどセキュアな接続に幅広く使われているTLSプロトコルに、「Logjam」と呼ばれる脆弱性が見つかり、日本でもぼちぼち話題となっています。まずは慌てずに状…

Impervaでセキュリティを高める~SecureSphere~

Street Workoutを日本に広めたい、高橋(技術1課)です。近頃は鉄棒のある公園が限られていて寂しい限りです。 さて今回はクラウド対応型WAFサービスの、Imperva社のSecureSphereをご紹介します。

OpenSSLに脆弱性が見つかりました。更新しましょう。CVE-2015-0291ほか

OpenSSLに新たに脆弱性が見つかっております。過去のものも含めて内容と対策が発表されておりますのでご紹介します。

Pertino(パティーノ)入門

3月もはじめの頃になると、寒暖の切り替わりと花粉の飛散も本番となり、マスク利用者が多い時期ですね。 かくいう私もマスク利用者であり、花粉症という建前はあるのですが、本心は眠気によるあくびを隠す為、マスクを利用している技術2課の横倉です。 さて…

Pertinoでネットワークもクラウド化

こんにちは、羽柴です。 私達がAWS専業となり早6年が経ち、サーバーのクラウド化においてはスタンダードになってきました。 また、WorkSpacesが出てきたことによりデスクトップのクラウド化にも拍車がかかり、私達のビジョンである「クラウドで、世界を、も…

glibcに重大な脆弱性!すぐにご確認ください!(2015年1月28日)

インプリメンテーション部(大阪)の永田です。 昨日1/27に、Linux系OSで使われているglibcに重大な脆弱性が見つかりました。この脆弱性は"Ghost"と呼ばれ巷でも話題にあがっていますが、当ブログでも影響、対象確認方法、対応方法について、ご紹介させてい…

【30分で動かすシリーズ】FabricでNTP脆弱性に対応してみる

先日、NTPに脆弱性が見つかり対応する必要がありました。 Amazon Linux ALAS-2014-462 Red Hat Enterprise Linux CVE-2014-9296CVE-2014-9294CVE-2014-9295CVE-2014-9293 対応すると言っても一言でいえばNTPを更新すれば良いのですが、対象のサーバが何十台…

複数のDNSソフトに脆弱性!バージョンアップを(2014年12月9日)

DNSソフトウェアにおける実装上の問題で、DNSサーバープロセスに対し外部からの攻撃が可能になる脆弱性が発表されました。 対象となるDNSソフトウェアは以下の通りです。 全てのバージョンのBIND9全てのバージョンのUnbound全てのバージョンのPowerDNS Recur…

JAWS-UG北九州・福岡合同主催-1から学ぶクラウドのセキュリティ勉強会@北九州に参加してきました。

最近北九州が熱いなと感じている小室@福岡です。 先日JAWS-UG北九州・福岡合同主催-1から学ぶクラウドのセキュリティ勉強会@北九州が開催されてたので参加&登壇してきました! 1から学ぶクラウドのセキュリティ勉強会@北九州 http://jaws-kitaq.doorke…

【お知らせ】Windows Server 2012 R2のEC2インスタンスをうっかり再起動すると問題が起こる(2014年9月4日現在)

追記:日本語によるAWSから案内がありました。http://aws.amazon.com/jp/windows/2012r2-network-drivers/2014年9月4日 AWSより重大なお知らせとして告知されています。Important information about Amazon EC2 instances running Windows Server 2012 R2 ざ…

OpenSSLの脆弱性への対応方法(AWSサービス/OSごと)

こちらでは初めまして、大阪で孤軍奮闘中の桶谷です。<br /> 現在、話題になっているOpenSSLの脆弱性への対応方法をまとめてみました。 ※随時更新中。最終更新 2014/04/11&nbsp;12:29 OpenSSLに脆弱性、クライアントやサーバにメモリ露呈の恐れ http://www.itmedia…