最小権限実現への4ステップアプローチ 後編 | Amazon Web Services
Amazon Web Services ブログ 最小権限実現への4ステップアプローチ 後編 AWS のセキュリティベストプラクティスを実現するに当たり、「最小権限の原則」に戸惑ったことはありませんか? AWS の利用では AWS Identity and Access Management (IAM) サービスを避けて通ることは出来ません。そのベストプラクティスとして掲げられているのが、最小権限の原則です。特に強固なセキュリティを求めるユースケースではこの原則の実現が課題になることが多いかと思います。本ブログでは、この最小権限の原則をシステマチックに検討するアプローチの一例をご紹介します。 前編では、システムが必要とする権限と、そこに内在する「受容できないビジネス影響をもたらしうる権限」を可視化する方法を3つのステップでご紹介しました。後編である今回は、前編で可視化した権限について統制のメ
最小権限実現への4ステップアプローチ 前編 | Amazon Web Services
Amazon Web Services ブログ 最小権限実現への4ステップアプローチ 前編 AWS のセキュリティベストプラクティスを実現するに当たり、「最小権限の原則」に戸惑ったことはありませんか? AWS の利用では AWS Identity and Access Management (IAM)サービスを避けて通ることは出来ません。そのベストプラクティスとして掲げられているのが、最小権限の原則です。特に強固なセキュリティを求めるユースケースではこの原則の実現が課題になることが多いかと思います。本ブログでは、この最小権限の原則をシステマチックに検討するアプローチの一例をご紹介します。 はじめに 「最小権限を適切に運用する」ことを計画する際、まず思いつくのはシステムの運用や開発の視点で「必要」となる操作の権限のみを人やアプリケーションに付与するというアプローチです。シンプルですが、権限が
Terraform, Dockerfile, KubernetesなどIaCの脆弱な設定をCI/CDで検知する - knqyf263's blog
概要 自分の所属企業であるAqua SecurityがTFsecというOSSを買収しました。 blog.aquasec.com TFsecはどういうツールかというとTerraformの静的解析スキャナーです。Terraformの設定ファイルを渡すことでセキュリティに関する設定ミスを主に検知してくれます。 github.com そのアナウンスに伴い、TFsecは自分が開発している脆弱性スキャナーであるTrivyに統合されました。TrivyではTerraformに加えDockerfileやKubernetesなど、いわゆるInfrastructure as Code(IaC)の設定ミスを検知するマネージドポリシーも提供しています。他にもJSONやYAMLなど一般的なファイルフォーマットに対応しているため自分でポリシーを書くことでそれらの検知にも使えます。CloudFormationやAnsib
Cloud One File Storage Securityを使ってS3バケットの擬似ウィルスファイルを検知してみた | DevelopersIO
こんにちはコカコーラ大好きカジです。 待望のS3バケット内の不正なファイルを検知するCloud One File Storage Securityを試してみました。 (トレンドマイクロのホームページから画像引用) S3内ではファイル操作が発生せずファイルが操作・動作しないため直接の影響はないのですが、ダウンロード先で更なる拡散防止のためにお問い合わせ頂くことが多いものの、簡単に導入可能な製品がなかったのが現状でした。 オープンソースのClamAVを利用した以下のブログもありましたが、セキュリティ製品の企業から、ついにリリースされました。 セットアップはすごく簡単なのでご紹介します。 事前準備 Cloud Oneアカウントを取得している必要があります。 同じブラウザ上で、AWSアカウントにAdministrator権限のユーザでログインをしておきます。 また、スキャン対象のS3バケットを構築
CIS AWS Foundations Benchmark v1.3.0 の変更点 - Qiita
はじめに 2020/8/7 に CIS AWS Foundations Benchmark が v1.3.0 に更新されたため、 2018年にリリースされた v1.2.0 からの変更点を確認しました。 項目レベルの変更点で、参照ドキュメント追加などの細かなアップデートは除きます。 CIS AWS Foundations Benchmark とは 米国の非営利団体である CIS (Center for Internet Secuirty) が公開している AWS アカウントの基本的なセキュリティを実装するための技術的なベストプラクティスです。 CIS は 各種 OS、サーバー、クラウド環境などを強化するためのガイドラインとして 140 以上の CIS Benchmark を発行されており、PCI DSS などのコンプライアンス要件で 業界標準のベストプラクティスとの記載があった場合などに参照
HashiCorp Vault 1.0
PackerBuild and manage images as code
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018 | CyberAgent Developers Blog
(2019/04 追記 現在メディア管轄のAWSアカウントでは、IAMユーザーの管理に、Permissions Boundaries を活用しています。) メディア事業で、AWSやGCPといったパブリッククラウド関連の業務を担当しているインフラエンジニアの柿島大貴です。前回、ホンネテレビの負荷対策プロマネのホンネ を書いてから半年ぶりの投稿となります。 本日、チームメンバーの東とAWS Summit Tokyo 2018で、「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み というタイトルで発表をさせていただきました。発表資料は以下となります。 今回、2016年にアドベントカレンダーの記事として公開した以下の記事がきっかけで登壇のお話をいただきました。 「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み 発表の中でも紹介していますが、このブログの公開後、一度この
AWS サービスや Azure サービスと Google Cloud を比較する | Documentation
フィードバックを送信 AWS サービスや Azure サービスと Google Cloud を比較する コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 最終更新: 2024 年 5 月 24 日 次の表に、一般提供の Google Cloud サービスと、それに対応するアマゾン ウェブ サービス(AWS)または Microsoft Azure のサービスを示します。この表は、サービスタイプ、機能、サービス名などのキーワードでフィルタできます。今後も最新の情報をお届けするために、フィードバックをお寄せください。 Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform i
Subiamを使いAWSのIAM管理をコードベースでおこなう | GREE Engineering
矢口です。 みなさんはAWSのIAMをどのように管理されていますか? グリーでは色々な要件からMiamというツールをforkして Subiam というツールを開発し利用しはじめました。 Subiamは既存のAWSアカウントのIAM運用を阻害せずにコードベースで安全なIAM管理を始めることのできるツールです。 https://github.com/gree/subiam 特徴 コードでIAMを管理できる 差分を自動検出して適用 IAM全体ではなく任意の範囲だけを切り取って管理でき、システム全体に影響を与えないよう配慮されている dryrunできる 現在の状態をユーザーが管理し保存しておく必要がない 複数AWSアカウントで扱いやすいようRole Nameなどを自分で定義でき共通にできる 既存ツールとの比較 ツールの優劣を示すものではなく、自分たちに必要であった要件についてのみ比較しています。
IAMで踏み台ホストのユーザーとSSH公開鍵を一元管理する - Qiita
key_ids=$(aws iam list-ssh-public-keys --user-name $iam_user | jq -r 'select(.SSHPublicKeys[].Status == "Active") | .SSHPublicKeys[].SSHPublicKeyId') for key_id in $key_ids; do aws iam get-ssh-public-key --user-name $iam_user --ssh-public-key-id $key_id --encoding SSH | jq -r '.SSHPublicKey.SSHPublicKeyBody' >> authorized_keys done #!/bin/bash PATH=$PATH:/sbin:/bin:/usr/sbin:/usr/bin:/opt/aws/bin
セキュリティ監査状況を採点〜CISベンチマークを読んでみた(Amazon Linux編) | DevelopersIO
西澤です。先日、CIS(Center for Internet Security) Benchmarkを読んでみたところ、とても勉強になったので、セキュリティに対する知見を深める為、少し古いものなのですが、Amazon Linux版もしっかり読んでみることにしました。 CISベンチマークの説明等、前回の記事はこちら あなたのAWSセキュリティ監査状況を採点〜CISベンチマークを読んでみた | Developers.IO Amazon Linux版CISベンチマーク Amazon Linuxの最新版は、先日リリースされたAmazon Linux AMI 2016.03ですが、CISベンチマークの対応は2015.03までのようです。少々古いバージョンにはなりますが、必ず参考になる点があるはずです。 Level1、Scoredを優先に読み進めて行くところは先日の記事と同様です。それでは、早速詳し
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ハニートークン型ハニーポットによる攻撃者の行動分析と脆弱性の発見と報告まで / AWS HoneyToken HoneyPot
20180803_Security JAWS 【第10回】#1「すぐ出来る!デスクトップSSOはサーバレスで」
