こんにちは、VOYAGE GROUP システム本部の @s-tajima です。 今回はVOYAGE GROUPが提供する多くのサービスをより安全に運用するために、LDAPサーバの監査体制を強化したお話です。 VOYAGE GROUPでは、 サーバにログインするためのシェルアカウントや、各種管理画面のアカウント等、様々なアカウントの統合管理のためのシステムとしてLDAPサーバ(OpenLDAPのslapd)を利用しています。つまり、このLDAPサーバに対して誤った操作や悪意のある操作が行われることで、それぞれのシステムに意図しない認証や認可が行われてしまうことになります。 そんな状況を予防, 検知するために、 LDAPサーバに対する参照・更新の記録をすべてログに残す。(自動) ログの中身を確認し、必要なものがあれば通知する。(自動) 通知の内容を元に詳しい調査を行い、問題がないか確認する。
![sltd, AWS Athenaを使ってLDAPサーバの監査体制を強化した話 - CARTA TECH BLOG](https://cdn-ak-scissors.b.st-hatena.com/image/square/bc4c0c504c2ef1ab3c341857db97372c7213dace/height=288;version=1;width=512/https%3A%2F%2Fcdn-ak.f.st-hatena.com%2Fimages%2Ffotolife%2Fs%2Fs_tajima%2F20170824%2F20170824214527.png)