AWS
Security

クックパッドセキュリティトーク個人メモ


クックパッドの組織

2011年からクラウド化をすすめる

主にAWS、ファイヤーベースなどもちらほら


組織について

はじめ

インフラ部が管理

部署を横断的にまたがる

セキュリティも対応

脆弱性、レビュー

社員の情報管理など

問題点

管理してる人のタスク総量を超えられない

テストインスタンスなどの管理の対応が遅れる

レビューも遅れたり対応できなかったり

方針を決める

各開発者に権限委任

しかし、管理すべきものは抑える

EX

開発者用アカウント

iamの空間を本番と分離

loginはsaml経由

権限の管理

必要なサービスのadmin権限を付与

基本的には触らせたくないサービスは制限し、それ以外はOK

メリデメ

新サービスがセキュリティに関わるものならちょっとやばいが

まあ自由に使える方がいいでしょ

ログの記録もやってるよ

VPCやflowログ

ログの分析もやってるよ

graylogを使って取り込んで誰が何やったのか

コンフィグ

ファイヤーウォールなどの変更履歴なども記録

アカウントに紐づける

AWSの設定の便利リポジトリがあるので使ってみてね。

ポイント

「問題を未然に防ぐよりも、後からでもいいので問題を検知する」

セキュリティと柔軟性を考慮。

AWS素朴に使えばええんやない


踏み台系

基本的にログインする人の制限

何をやったのかの監査

テレポートというツールあるよ

ブラウザベースでセッションの共有などができる

(難しい操作は画面セッションできて安心『嘘』)

SSHからの解放説がでてます。(現状嘘です)

テレポートの実際の運営の図はちょっと複雑でつらみも多めだそう

今後はいかに機密情報を無くせるか。

秘密キー持ってたらなんでもできてしまうよね。

そういう管理をなくしたい。秘密キーではできなかった、誰がログインして何をしたのかがわかる。

ネットワーク的には

アドミンサーバ

プロキシサーバ

ノードサーバ

落ちたらログインできなくなってしまうので緊急ようもあるよ

なんかよくわからんが、iphoneのストレージに秘密キー入れたりするのもある

つらみ

割と手作業なので自動化しないとね。

サーバ間の定義がそれぞれやらないといけないのしんどいね(中央集権サーバがないことのつらみ)


暗号化復号化

DB接続などの情報暗号化してますか??

AWSにはパラメータストア、シークレットマネジャーがあるのでつかってみてね。

どっちでもい

読み込みをどうするのかってのがあるのだが、ツールを使いましょう。

env-injector

awsの暗号化した値を復号化して環境変数に入れます。


まとめ

AWS系のセキュリティはまだ触れていないのでともかく、深みを感じた。

ハッシュが正義と思ってたが、名前や住所などの情報は検索で使うので復号化が必須。それをどう管理するか。


懇親会

EC系に携わってる人の話を聞いた。

やはりインフラがセキュリティを管理ってのが多いが、曖昧な領域があるので専門でセキュリティエンジニアがいるのはいいことだよね。

バージョンアップの話をしたらもろPHP5.3.2でわろた。

同じやん。

話を聞くとずっとセキュリティの話は上がってたが、実際に問題が起こってはじめて本腰入れたらしい。

同じですよね。バージョン管理とかってお金になりませんから。

セキュリティっていろんなレイヤーがあるので、どこかの層だけではなく全体的にフィルターをかけていくことが大事。

サーバー側で不正アクセスなどを弾けば、アプリケーションの脆弱性などもカバーできる。

第2回に期待


感想

メシウマ

名前とかの情報も暗号化するんですね。

AWSを含めたセキュリティは奥が深い。