タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
SELinuxシリーズ 本記事は、SELinuxシリーズの1記事目です。 Linuxプロセスアクセス制御の概要 ←今ココ SELinuxの概要 SELinux Type Enforcement SELinuxの実践 (参考) SELinuxのRBAC、UBAC、MLS、MCS (参考) SELinux Module Policyのソースコード読解、ビルド 参考URL 1〜3記事目は、4記事目を理解するための前提知識をカバーしています。 4記事目が最も重要で、SELinuxの具体的な操作方法やコマンド、トラブルシューティング手順を紹介しています。 5記事目以降は参考情報です。 SELinuxの関連記事は、SELinuxタグから探せます。 一連の記事はFedora環境を前提として書いています。 FedoraやRHELに類するディストリビューションであればほぼ同等の挙動になると思いますが、他のデ
はじめに 2023年4月に基盤エンジニアとして Ubie に入社しました nerocrux です。主に Ubie の ID 基盤の開発と保守運用を担当しています。 この記事は、2023 Ubie Engineers アドベントカレンダー 5 日目の記事となります。 Ubie では、モジュラモノリスを採用しつつ、マイクロサービスアーキテクチャも採用しており、領域によってサービスを分けて、それぞれの担当チームが開発と保守運用をしています。 クライアントから一つのリクエストを受け取ったあとに、Ubie のバックエンドではリクエストを受け取ったサービスだけがそのリクエストを処理することもあれば、別のサービスにディスパッチし、複数のサービスがひとつのリクエストを処理して結果を返すこともあります。 マイクロサービス間の通信が Ubie の内部で発生したとしても、必ずしも無制限で自由に行われていいわけで
唐突ですが、私は旅行が好きです。学生時代は自転車にキャンプ道具一式を載せ、北海道を旅行したりしていました。旅行の目的はその土地の景色を見たり、美味しいもの食べたり。自分の知らない町の景色を見る事、わくわくしますよね?そんな私、社会人になると旅行に行くのも難しくなり…それを埋め合わすようにライブカメラをみて旅行気分を味わう、そんな楽しみを覚えていた時期がありました。 そんなわたし、これまでもこのblogで紹介をしてきましたshodanを使って、お仕事として様々な調査をしています。ある日、いつものように調査をしていたところ、不思議な光景に出会いました。今回はその不思議な光景について、話をしていこうと思います。 なお、これははじめに目的を明確にしておきたいと思いますが、本BlogにおいてはOSINTツールの使い方を実事例を通して紹介する事と、設定に不備または脆弱性があるカメラを使う事の危険性を啓
[NEW] CloudFrontからS3への新たなアクセス制御方法としてOrigin Access Control (OAC)が発表されました! | DevelopersIO
[NEW] CloudFrontからS3への新たなアクセス制御方法としてOrigin Access Control (OAC)が発表されました! CloudFrontからS3へのアクセス制限として従来のOAIに加えて、新たにOACが利用可能になりました。セキュリティが強化されSSE-KMSなどのサポートが行われています。OAIも引き続き利用可能ですが、今後はOACを使用しましょう。 はじめに 清水です。今朝(日本時間2022/08/26、現地時間2022/08/25)のアップデートでAWSのCDNサービスであるAmazon CloudFrontにOrigin Access Control (OAC)という機能が追加されました。CloudFrontからオブジェクトストレージサービスAmazon S3へのアクセス制限を行う新たな方法となります。これまでもOrigin Access Identi
![[NEW] CloudFrontからS3への新たなアクセス制御方法としてOrigin Access Control (OAC)が発表されました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/17d6fdb640a27970efada177996eba4546025db8/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Famazon-cloudfront.png)
クラウドサービスを使う企業や団体を狙ったサイバー攻撃が日本でも目立ってきた。記憶に新しいのは、セールスフォース・ドットコムが手掛けるクラウドサービスの「設定不備」に起因する不正アクセスだ。2020年12月以降、楽天やPayPay、イオン、神戸市、全日本空輸(ANA)などが次々に被害を公表している。 もっともこの問題は、クラウド利用企業への攻撃としては「氷山の一角」にすぎない。情報処理推進機構(IPA)のセキュリティセンターが2021年2月に公表した「コンピュータウイルス・不正アクセスの届出状況」によると、2020年に届け出のあった不正アクセス被害のうち「クラウドサーバー」が狙われたケースは30件あった。 63件の「Webサーバー」と31件の「クライアントパソコン」に次いで3番目に多い水準だ。クラウドサービス活用の広がりとともに攻撃者の侵入口も増えているわけだ。 クラウド開発環境から認証情報
Amazon API Gateway で API キーを使わずに認証とアクセス制御を行う | Amazon Web Services
Amazon Web Services ブログ Amazon API Gateway で API キーを使わずに認証とアクセス制御を行う はじめに Amazon API Gateway の API キーの利用を検討したものの、API キーの制約によってプロダクトの要件を満たせないことがあります。その際、それぞれ Amazon Cognito を利用した認証と AWS WAF を用いた IP ベースのレート制限を利用するという代替案をご紹介いたします。 背景 筆者は普段、プロトタイピングソリューションアーキテクトとして、お客様のプロダクトのプロトタイプ作りをお手伝いさせていただいております。お客様の中には、ユーザー認証やアクセス制御として Amazon API Gateway の API キーの利用を検討している場合があります。しかし、API キーでお客様の要件を満たせるかどうかは、慎重に検
AWS、アプリケーション内できめ細かなアクセス制御を実現するポリシー言語「Cedar」と認可エンジンをオープンソースで公開
AWS、アプリケーション内できめ細かなアクセス制御を実現するポリシー言語「Cedar」と認可エンジンをオープンソースで公開 Amazon Web Services(AWS)は、アプリケーション内できめ細かなアクセス制御を実現するポリシー言語「Cedar」と、Cedarに対応した認可エンジンをオープンソースで公開したことを発表しました。 CedarはAmazon Verified Permissionsで使われている言語 Cedarは昨年(2022年)末に開催されたイベント「AWS re:Invent 2022」で発表された新サービス「Amazon Verified Permissions」(現在プレビュー中)で使われているポリシー言語です。 一般にクラウドで提供されるアプリケーションのほとんどは、例えば管理者のみ参照できる画面やデータ、ユーザー本人のみ可能な操作や参照可能なデータ、ユーザー
北原です。 今回は、Windows OSを守るセキュリティ機能の中でも重要な役割を担う、アクセス制御に関する話題を解説します。 UnixやLinuxでは「Everything is a file」と言われていますが、Windows OSではファイルやプロセスをはじめとする全てのものがオブジェクトとして管理されており、それぞれが ACL(Access Control List:アクセス制御リスト) によりアクセス制御されています。 ACLは、アカウントに与えているアクセス権限を個別に定義した ACE(Access Control Entry:アクセス制御エントリ) と呼ばれる情報のリストです。 例えば、Windows OSでファイルのプロパティを開くと、以下の図のようにACLが視覚的に確認できます。 DACLの確認例 ファイルやディレクトリなどでは、Windows OS標準の機能でこのように
Firebaseの新機能「Cross-service Rules」でCloud Storageのアクセス制御をスマートに実装しよう - Flatt Security Blog
こんにちは。株式会社Flatt Security セキュリティエンジニアの梅内 (@Sz4rny) です。 本稿では、2022年9月に Cloud Storage for Firebase に新たに導入された Cross-service Rules という機能について、前提知識をおさらいしつつ、実例を交えながらその概要や利用方法、メリットなどを紹介します。 また、Flatt Securityのセキュリティ診断(脆弱性診断)ではFirebaseを用いたサーバーレスなアプリケーションも診断可能です。 「料金を自分で計算できる資料」を無料公開中ですので、ご興味のある方は是非ダウンロードしてみてください。 前提知識のおさらい Firebase とは Firestore の概要 Cloud Stroage の概要 Cross-service Rules が解決する課題 課題 事例1. ロールに基づく
Amazon S3 アップデート – セキュリティおよびアクセス制御のための 3 つの新しい機能 | Amazon Web Services
Amazon Web Services ブログ Amazon S3 アップデート – セキュリティおよびアクセス制御のための 3 つの新しい機能 Amazon S3 をリリースしてから 1 年ほど後、私が参加した技術会議でエレベーターに乗っていたときに、何人かのデベロッパーが、データストレージをどうしているかとの質問に対して「S3 に投げるだけ」と答えているのを耳にしました。コメントがとても自然なものだったので、その瞬間をよく覚えています。そこで初めて、S3 がどれほど早く普及したのかを認識しました。 このリリース以降、当社は、数百の機能と複数のストレージクラスを S3に追加してきました。また、1 か月間に 1 ギガバイトのデータを格納するコストをほぼ 85% 削減しました (S3 Standard では 0.15 USD から 0.023 USD、最も低額なものでは S3 Glaci
プライベートネットワークにおけるCapabilityを利用したスケーラブルな端末間アクセス制御の実現 - TC3株式会社|GIG INNOVATED.
はじめに 従来のVPNでは全ての通信はVPNサーバーを経由するよう設定することでトラフィックのアクセス制御が可能でした。ですが、昨今のオフィスを離れた働き方では通信の遅延が大きな問題となります。例えば東京にVPNサーバーがあり、バンガロールからリモートワークするようなケースでは、バンガロールの隣に座っている同僚のPCに接続するために一度東京を経由する必要がありました。そこでLinux kernelに含まれるWireGuardや、Cloudflareが提供するWARP、SlackがOSSで開発しているNebulaに代表されるP2P型VPNが注目され始めています。 ですが、P2P型のトラフィックは監視がしづらいというデメリットがあります。またVPNは外からの守りは堅牢ですが一度中に入ればどこでも行けるという問題(Lateral Movement)もあり、IoTによる施設の監視に利用される小型コ
Data Catalog のポリシータグで BigQuery カラムレベルのアクセス制御が可能になったので試してみた | DevelopersIO
こんにちは、みかみです。 これまで BigQuery のデータのアクセス制御を指定できる最下層のリソースはデータセットで、テーブルやカラム単位でのアクセス制御はできませんでしたが、Data Catalog のポリシータグを付与することで、カラムレベルのアクセス制御が指定できるようになったそうです。 BigQuery の列レベルのセキュリティで、きめ細かなアクセス制御を | GCP ブログ Introduction to BigQuery Column-level security | BigQuery ドキュメント Restricting access with BigQuery Column-level security | BigQuery ドキュメント やりたいこと BigQuery のカラムレベルのアクセス制御を行うにはどうすればいいのか知りたい BigQuery のカラムレベルの
GCP Cloud IAM と BigQuery のデータセット、テーブル、View へのアクセス制御を確認してみた | DevelopersIO
GCP Cloud IAM と BigQuery のデータセット、テーブル、View へのアクセス制御を確認してみた こんにちは、みかみです。 GCP & BigQuery 勉強中です。 データを取り扱う以上、個人情報の閲覧可能な範囲など、セキュリティには当然十分に気を付ける必要があります。 BigQuery ではどの単位でどうやってアクセス権を指定できるのかという観点から、Cloud IAM と BigQuery のアクセス制御について確認してみました。 やりたいこと GCP の Cloud IAM はどんなものか確認したい BigQuery に Cloud IAM でアクセス制御できるかためしてみたい BigQuery ではテーブル単位でアクセス制御できるのか知りたい GCP の IAM GCP の Cloud IAM は、AWS の IAM と同じようなサービスと考えてよいのかな?
主要 Service Mesh プロダクトの Identity 管理機能とアクセス制御機能の比較 / Comparison of Identity Management and Access Control Features of Major Service Mesh Products
CloudNative Days Tokyo 2020 で発表したスライドとなります。 https://event.cloudnativedays.jp/cndt2020/talks/27 発表時の録画は上記のリンクから参照ください。
Djangoでアプリケーションを作っているとアクセス制御をしたくなることがあります。たとえば、会員サイトではプレミアムユーザと一般ユーザによってアクセスできる情報に差を付けたいことがあるでしょう。こういった機能は、少し規模の大きなサイトではよく見かけます。 Djangoでアクセス制御をする方法はいくつもあります。その中にはDjango組み込みの方法やアプリケーションとして提供されている方法もあります。本記事ではそれらを比較してどのように使えるのか、どういった場面に向いてそうなのかといったことを確認します。 本記事の構成は以下の通りです。 Django組み込みのパーミッション django-guardian django-role-permissions django-rules Django組み込みのパーミッション Django組み込みのパーミッションは、ユーザかグループに適用できるモデル
DSA-2021-088:Dell dbutilドライバーに存在する不十分なアクセス制御の脆弱性に関するDellクライアント プラットフォームのセキュリティ アップデート | Dell 日本
このセクションには、次のサブセクションが含まれます。 対象プラットフォーム、製品、およびコンポーネント。 修復手順: お使いの環境内の対象プラットフォーム、製品、およびコンポーネントを特定する。 脆弱性のあるドライバーをシステムから削除する。 アップデートされた修復済みバージョンのドライバーを取得する。 修復されていないファームウェア アップデート ユーティリティー パッケージを使用してファームウェア アップデートをインストールする際の注意事項。 サポートが終了した(End of Support)プラットフォーム、製品、またはコンポーネントを使用する際の注意事項。 1.影響を受けるプラットフォーム、製品、コンポーネント 脆弱なドライバー(dbutil_2_3.sys)は、次の製品またはコンポーネントのいずれかまたは複数によって、Dell ClientプラットフォームのWindowsオペレー
ABAC について思っていること書いていこうと思います。 2021/08/20 追記 以下登壇スライドで改めて説明しています。こちらを御覧ください。 [前提] そもそも ABACとは何か? ABAC は Attribute-based access control のそれぞれ頭文字です。 日本語では「属性ベースのアクセス制御」です。 AWSにおける ABACは タグを活用する ため、 「タグベースのアクセス制御」と言っても同じです。 以下 ABACのイメージ図です(AWSドキュメントからの引用) 画像: AWS の ABAC とは - AWS Identity and Access Management 上図では 各ロールやリソース(バケットオブジェクト, インスタンス) に マーク(ハート、太陽、雷) が付いています。 ハートマークのロール は ハートマークのリソースのみ アクセスできる
はじめに S3へのアクセスを制御するために様々な機能がありますが、これらはIAMのアクセス制御と混同して考えられることが多く、両方の機能の関連について、質問を非常に多く受けています。 以前に S3のアクセス制御はまずシンプルに捉えて対応すべき という記事を書きましたが、この記事に書いたように、S3バケットポリシーとIAMポリシーには以下のような違いがあります。 S3バケットポリシーは、S3側で、エンティティから行われるアクセスの制御 IAMポリシーの場合、エンティティ側で、S3に対して行うアクセスの制御 このように、両者では設定箇所および制御する操作の矢印の方向が異なります。 基本はこの2つでS3バケットやオブジェクトに対するアクセス制御を行いますが、この2つに加えて、全く異なるアクセス制御の要素が加わることがあります。 その代表例と言える 「Presigned URL」 を今回は取り上げ
第三者が提供するWindowsカーネルドライバーに、IOCTL処理におけるアクセス制御不備の脆弱性が報告されています。 IOCTLインタフェースを実装したWindowsカーネルドライバー Carbon Blackの研究者により、複数のWDF(Windows Driver Framework)およびWDM(Windows Driver Model)カーネルドライバーに本脆弱性が存在することが報告されています。 WindowsのカーネルドライバーにIOCTLインタフェースを実装することで、ユーザプロセスからカーネルドライバーの動作を制御することが可能になります。 カーネルドライバーはシステムのすべてのリソースにアクセスできるため、その制御を行うユーザは一定の権限を持っていること、アクセスするリソースは一定の範囲のみ、といった制限を実装することが重要です。 カーネルドライバーが、IOCTLリクエ
CloudFront から (出力された)「リクエストされたリソースに「Access-Control-Allow-Origin」ヘッダーが存在しません」というエラーは、どうすれば解決できますか? 解決策 オリジンのクロスオリジンリソースシェアリング (CORS) ポリシーで、オリジンに Access-Control-Allow-Origin ヘッダーを返すことが許可されていることを確認します **注:**AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、使用している AWS CLI が最新バージョンであることを確認してください。 次のコマンドを実行して、オリジンサーバーから Access-Control-Allow-Origin ヘッダーが返ることを確認します。**example.com ** を必要なオリジンヘッダーに置き換えてください
はじめに Azure初学者の方にとってとても分かりづらいのが、Azure ADとAzureで権限の考え方が分かれていることです。 多くのドキュメントでは、この事実が当たり前の大前提として書かれているせいで、初めて見ると分かったようで分からない状況になりがちです。 私自身、初めてAzureを触り出した時はまさにそんな感じでした。〇〇管理者と言われても、そのユーザーが何をできるのか…?ピンと来ないところから頭を整理するのに苦労しました。 公式ドキュメントで一番ちゃんと説明しているのはこのページだと思うんですが、ちょっと難しい…。 分かってから見ると、確かに!説明されてる!ってなるんですが、明らかに初心者向けじゃない。 最近、この辺りの概念を周りに説明する機会があり、ちょっと図とか整理したのですが、そのままでは勿体無いので記事にしてみます。 説明する概念 Azureの世界で、「ユーザー」が「リソ
はじめにTIG真野です。認証認可連載の2本目です。 認証認可がテーマの中で、アクセス制御と聞くとちょっと外れているかもと思いましたが、Casbinについて紹介します。 トップページにも An authorization library that supports access control models like ACL... とあり、アクセス制御を支援する認可ライブラリだよって書いているので、OKと判断しました。 CasbinについてACL、RBAC、ABACなどの様々なモデルでアクセス制御を行えるライブラリです。 私が最初に存在を知ったのは、avelino/awesome-go に載っていたことからだったので、てっきりGo言語のみのライブラリかと思っていました。 実際はドキュメントを見ると、複数の言語をサポートしています。Go以外にも、Java, Node.js, PHP, Pyth
[UPDATE] OU等のグループ単位でアクセス制御できる新しいCondition keyが発表されました! #reinvent | DevelopersIO
こんにちは、臼田です。 みなさん、アクセス制御していますか? 今回はre:Invent2019で発表されたAWS Organizationsを利用した新しいアクセス制御のConditionについて紹介します。 新しいCondition「aws:PrincipalOrgPaths」 IAMやリソースポリシーなどで利用できるaws:PrincipalOrgPathsというConditionが追加されました。機能の紹介や使い方は下記ブログにあります。 Use IAM to share your AWS resources with groups of AWS accounts in AWS Organizations | AWS Security Blog 今回は簡単にどんな機能か、どんな風に使えるか説明します。 どんな機能なのか ポリシードキュメント内で利用するConditionにはアクセスの
![[UPDATE] OU等のグループ単位でアクセス制御できる新しいCondition keyが発表されました! #reinvent | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/098a01a332248d791825217579652e1b7f202bcb/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F12%2Freinvent2019_update_eyecatch.jpg)
※この投稿は米国時間 2020 年 4 月 2 日に、Google Cloud blog に投稿されたものの抄訳です。 Google Cloud でお客様が自社のデータを管理する際に役立つ重要な機能をご紹介します。新しくリリースされた BigQuery の列レベルのセキュリティ管理機能は、データの取扱いのためのクラスが区別されたデータにポリシーを設定するうえで重要となる機能です。この機能により、GDPR や CCPA といったデータの取り扱いのためのクラス分けが必須となる規制に準拠できるようになります。 BigQuery を使用している組織は、プロジェクトやデータセット、テーブルと言う概念により、すでにデータコンテナの管理を行い、「最小限の権限」の原則を満たしています。しかし、PHI(医療にかかわる患者の個人情報 - Patient Health Information )や PII(個人
[レポート] データ保護、アクセス制御、監査に AWS KMS を使用する #SEC340 #reinvent | DevelopersIO
こんにちは、岩城です。 セッション「Using AWS KMS for data protection, access control, and audit 」 を聴講しましたのでレポートします。 概要 This session focuses on how customers are using AWS Key Management Service (AWS KMS) to raise the bar for security and compliance with their workloads. Along with a detailed explanation of how AWS KMS fits into the AWS suite of services, we walk you through popular and sophisticated examples of ho
![[レポート] データ保護、アクセス制御、監査に AWS KMS を使用する #SEC340 #reinvent | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/9419c6cf4ac1d0e1323fa1560dfc995d191622f5/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F12%2Freinvent2019_report_eyecatch.jpg)
Amazon Redshift で列レベルのアクセス制御を行い、よりきめ細かなデータセキュリティを実現する | Amazon Web Services
Amazon Web Services ブログ Amazon Redshift で列レベルのアクセス制御を行い、よりきめ細かなデータセキュリティを実現する Amazon Redshift は低コストで迅速な分析情報を提供する、大変人気の高いクラウドデータウェアハウスです。Amazon Redshift にはすぐに利用できるセキュリティとコンプライアンスが付属しており、規制の厳しい業界のお客様でもミッションクリティカルなワークロードを自信を持って実行できます。セキュリティ機能には、データをインプレース形式およびオープン形式で簡単に分析できる機能が組み合わさっているだけでなく、コンピューティングとストレージの回復性や使いやすさも備えているため、数万人ものお客様に Amazon Redshift をご利用いただいています。 個人を特定できる情報 (PII) または機密性の高い個人情報 (SPI)
ゼロトラストネットワークでは、すべての通信を信頼できないものとして取り扱う。これを実現するにはどうしたらよいのか。ゼロトラストネットワークの基本は、「デバイスがリソースにアクセスする際にその可否を判定する」である。これを実現するためには、大きく次の3つの要素が必要になる。 1つめはデバイスの状態や利用者などの情報収集。現在出回っている攻撃などの情報も集める。 2つめは収集した情報と企業ネットワークのセキュリティーポリシーを組み合わせて、アクセスできるレベルを決定すること。 最後の3つめは、決定したレベルに基づくアクセス制御を実施することである。 NISTが定義する7原則 NISTの文書では、ゼロトラストネットワークが満たすべき内容を7つの原則としてより細かく定義している。ただし、挙げているのは原則であってその実現方法については触れていない。 例えば2つめの原則「ネットワークの場所に関係なく
こんにちは、インフラエンジニア の 加藤(@kuromitsu_ka)です。 今回は、Sambaのアクセス制御をDNS名で実施したので必要だった設定を記載します。 エニグモ社では、令和の今もオンプレミスでSambaを利用した古き良きログの集約サーバが稼働しています。この度、オンプレミスのログサーバと同じ構成のものをAWSに構築することになりました。その際、Sambaのアクセス制御で少し工夫した部分があったので、ログを残します。 エニグモ社のログ集約サーバの仕組み ログサーバからアプリサーバごとにディレクトリを作成して、Sambaインストール済みのサーバをログサーバからマウントすることでログを集約しています。インフラチームでない開発者は、基本的にサーバへSSHできないので、ログサーバだけアクセスを許可することで、ログを確認できるようにしています。 Sambaのアクセス制御をDNS名で設定する
Snowflakeのアクセス制御を活用したデータ基盤での権限管理の事例紹介 - KADOKAWA Connected Engineering Blog
KADOKAWA Connected / ドワンゴの @saka1 と Integrated Data Service 部の中野 (takamoto) です。 私達の部署では主にSnowflakeを中心にしたデータ基盤(データプラットフォーム)の開発保守を行っています。この記事では、Snowflakeの機能を駆使してデータに対して適切に権限を割り振るために整備した仕組みについて紹介していきたいと思います。 Snowflakeのオブジェクト階層や、RBACベースの権限管理モデルは非常に柔軟かつ強力です。かなり自由に何でもできてしまうがゆえに、どういった整理の仕方で権限付与を行っていくかが大切に感じられます。我々のやり方が正解だとは必ずしも思いませんが、一つの事例としてコミュニティに還元されるといいかなと思い、この記事を書きました。 部署の概要やデータ基盤の概要については別の記事があるので、そ
Landlock: ユーザ権限によるアクセス制御
LandlockはLinux 5.13で追加され、5.19で更新(ABI V2)されたプロセス単位のアクセス制御機構です。 この機能は主に自分自身の権限を制限してサンドボックスを作るために使います。例えばこの記事の後半では信頼できない実行バイナリをサブプロセスとして起動する際にアクセス出来るファイルシステムの範囲を制限する例を見ます。 rust-landlock/examples 今回はLandlockをRustから使えるようにしたrust-landlockを試していきます。ドキュメントはlandlock.io/rust-landlockに公開されています。 特にCによるサンプルをRustで書き直したサンプルを見ていきましょう。とりあえず実行してみるとヘルプを出してくれます: usage: LL_FS_RO="..." LL_FS_RW="..." target/debug/example
【初心者必見】Amazon S3のアクセス制御 投稿日: 2021/03/30 こんにちは、高橋です。 Amazon S3はデータの保管に非常に便利なサービスです。しかしながら、S3内部のオブジェクトに関しては同じアカウント内のIAMユーザは勿論、他のAWSアカウントのユーザ、 さらにはオブジェクトを公開した場合、外部からでもアクセスできてしまいます。 そのため、S3にはバケット/オブジェクトへのアクセスを制御するためのアクセスコントロールの方法が3種類用意されています。 今回はS3のアクセス制御の方法とお客様からよく問い合わせを受けるアクセス制御の実際の設定例についてご紹介します。 Amazon S3のアクセス制御 Amazon S3のアクセス制御の方法は下記の3種類の方法があります。 1. IAMポリシー 通常のAWSサービスへのアクセス制御と同様にポリシードキュメントにてIAMユーザ
AWS KMS CMK(Customer Master Key)のキーポリシーとIAMポリシーの組み合わせのアクセス制御と、キーポリシーのみのアクセス制御を試して設定の違いをみてみた | DevelopersIO
AWS KMSのCMK(Customer Master Key)のアクセス制御方法について考えていました。キーポリシーとIAMポリシーを組み合わせたアクセス制御と、キーポリシーのみのアクセス制御を確認したかったので試しました。 本記事から得られるものはCMKのキーポリシーについて何かの参考になることがあるかもしれないくらいです。 Managing access to your AWS KMS resources - AWS Key Management Service キーポリシーとは アクセス元に設定するIAMポリシーとは別にKMSにはキーポリシーというアクセス制御の仕組みがあります。 以下はデフォルトのキーポリシーの例です。 { "Version": "2012-10-17", "Id": "key-default-1", "Statement": [ { "Sid": "Enable
RubyKaigiも近付いたしeBPFの機運を高めようとしている。 タイトルですが、そういうことができます。 www.kernel.org このドキュメントにも「どうすればできる」と言うところが書いておらず、最終的にカーネルのサンプルを眺めることになる。 elixir.bootlin.com elixir.bootlin.com 下準備 まず、cgroup v2が有効なカーネルを使う必要がある。いったん。Ubuntu Groovy(5.8.0-53-generic)を使う。 その上で、cgroup v1のdevicesコントローラを一応umountしておいいた。必要なのかはわからないが...。 $ sudo umount -l /sys/fs/cgroup/devices その上で cgroup v2のグループを作成。 $ sudo mkdir /sys/fs/cgroup/unified
アクセス制御(認可)ライブラリ Casbin の使い方まとめ モデル定義 CasbinはPERM (Policy, Effect, Request, Matcher) ベースのアクセス制御モデルを採用している。モデル定義はconfファイルに記述するが、この中にはPERMに相当するPolicy Definition、Policy Effect、Request Definition、Matcherの4セクションを少なくとも記述する必要がある。 Access Control List (ACL) ファイルシステム等で使われるACLのモデル定義を題材に、Casbinのモデル定義方法を解説する。(参考:Syntax for Models) Request Definition
システムのアクセス制御 (操作権限管理) 設計 | knooto
このページは、システムのアクセス制御 (ユーザーの操作権限管理の仕組み) について考えるページです。 目次 注意 このページを作ったひとが現在進行形で考えていることのため随時内容が変わることがあります。 考え方 最初は単純な形にして、後から必要に応じて拡張ができるような方法を検討する 基本的にはロールベースアクセス制御に段階的に近づけるための方法を検討する 権限の方式 1. 管理者フラグ方式 管理者フラグ方式は、管理ユーザーと一般ユーザーを判別するために使用する単純な方式です。 データモデルの例 データモデルの例 データの例 内部ID ユーザー名 … 管理者フラグ 1 admin … 1 2 user1 … 0 3 user2 … 0 データの例 (ユーザー)。管理者フラグ = 1 であれば管理者 適用前提・利点・欠点 項目 説明 適用前提 ・一般ユーザーと管理者ユーザー (システム管理用
※この投稿は米国時間 2020 年 6 月 10 日に、Google Cloud blog に投稿されたものの抄訳です。 Google Cloud でのデータ管理に役立つ重要な新機能となる BigQuery のテーブルレベルのアクセス制御(テーブル ACL)機能をご紹介します。これは、これまでよりさらにきめ細かくデータを制御、共有するうえで重要となる機能です。一般的なデータ ウェアハウス システムでは、テーブルがセキュリティの基本要素の一つとなっていますが、BigQuery にテーブル アクセス制御機能が導入されたことにより、こうしたシステムとの互換性が高まり、セキュリティ ポリシーの移行が簡単になります。 テーブル ACLは、Google Cloud のエンタープライズ グレードのアクセス制御プラットフォームである Cloud Identity and Access Management
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは。ヤフーでAthenzを活用した社内アクセス制御基盤システムの開発・運用を担当している矢野です。 ヤフーでは、オープンソースであるAthenzに対してさまざまな活動を行っており、現在は、CNCF TOCによって定義されたCloud Nativeな技術がまとめられている CNCF(Cloud Native Computing Foundation) Landscape において、Sandbox Projectとして登録されるに至っています。 本記事では、Athenzがオープンソースとして公開され、CNCF Sandbox Projectとなるまでの、道のりについてご紹介します。 ヤフーにおけるアクセス制御 ヤフーでは、Op
AWS CLI で MFA 必須のアクセス制御を設定
AWS CLI を利用する場合は、通常はアクセスキーの設定が必要となります。(EC2 上でIAM ロールを割り当てる場合は除く) IAM ユーザ名/パスワードと違いアクセスキーはファイルなどに保存しておきますので漏洩のリスクが高くなります。そこでMFA 認証をしないとAWS CLI から各種AWS リソースにアクセスできないように設定する方法を記載します。 MFA 必須のIAM ポリシーの設定 まずは、以下のようなIAM ポリシーを設定します。MFA 認証をしていないとすべてのリクエストを拒否する設定となっています。 condition 内の記述ですが、”aws:MultiFactorAuthPresent” がMFA 認証されているかどうかを表していますが、MFA 認証をしていないとそもそもキーが存在しないため、”BoolIfExists” で存在チェックを入れています。 { "Vers
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Linuxプロセスアクセス制御の概要 - えんでぃの技術ブログ
マイクロサービス間通信における認証認可およびアクセス制御
監視カメラに潜むアクセス制御の不備(監視カメラ怖い😖)|__aloha__
広がるクラウド導入で不正侵入のリスク増大、アクセス制御が鬼門に
SDDLで学ぶWindowsのアクセス制御 - ラック・セキュリティごった煮ブログ
Djangoにおけるアクセス制御の話 - Ahogrammer
AWSのABAC(タグに基づいたアクセス制御)の設計/運用のポイントを考える | DevelopersIO
Amazon S3 Presigned URLのアクセス制御を深堀りする - Qiita
JVNTA#90371415: WindowsカーネルドライバーのIOCTL処理におけるアクセス制御不備の脆弱性
CloudFront からの「アクセス制御-オリジン許可ヘッダなし」エラーを解決する
tailscale続報 QNAPで動かす&ACLでアクセス制御する&インターネット接続暗号化【イニシャルB】
Azureと、Azure ADと、ロールベースのアクセス制御と
Casbinで始めるアクセス制御 | フューチャー技術ブログ
BigQuery の列レベルのセキュリティで、きめ細かなアクセス制御を | Google Cloud 公式ブログ
「Ghostscript」にアクセス制限回避の脆弱性、リモートから任意コマンドが実行可能に ~JVNが警告/昨年9月にリリースされたv9.50でファイルアクセス制御を刷新、問題は解決済み
情報収集とアクセス制御が要、ゼロトラストが満たすべき原則
Sambaのアクセス制御をDNS名で実施するための設定 - エニグモ開発者ブログ
【初心者必見】Amazon S3のアクセス制御|伊藤忠テクノソリューションズ
cgroup v2の、BPFによるデバイスアクセス制御を試す - ローファイ日記
アクセス制御ライブラリ Casbin 使い方まとめ - Qiita
BigQuery がテーブルレベルのアクセス制御に対応 | Google Cloud 公式ブログ
アクセス制御オープンソース「Athenz」、CNCF Landscape 参加までの道のり
news.yahoo.co.jp
kirinoiimono.hatenablog.com
pgapp.net
mdpr.jp
gardenstory.jp
tumitate03.hatenablog.com