JAWS-UG福岡@集団山見せとAWS Summit Tokyo振り返らNight#5
-
- いいね!0
やまもと@視力2.0
@yamamoto_febc
AWS Summit Tokyoを3行でいうと ・会場が大きい ・とにかく人が多い ・暑い/熱い!! #jawsug #jawsugfuk
2017-07-13 20:34:45
やまもと@視力2.0
@yamamoto_febc
Security Controlについて。AWSだとIAM roleとSTSを利用した一時的な認証情報がキモ。 #jawsug #jawsugfuk
2017-07-13 20:42:05
しょーちゃん
@show_m001
Proactive Monitoring。あらかじめゆるめに権限を与えて、イベントを監視してアクションを起こす。CloudTrail/ClodWatch Events/Config。 #jawsug #jawsugfuk
2017-07-13 20:43:24
藤崎優
@youukkari
本日のJAWS-UG福岡で発表した資料です! 【Serverless Frameworkで気軽にAPIを公開してみる?(Python3.6・ヴィジュアル系編) 】 speakerdeck.com/yfujisaki/serv… #jawsug #jawsugfuk
2017-07-13 20:43:29
やまもと@視力2.0
@yamamoto_febc
DevOpsとSecurityというバランスをとりにくい要素にどう対応するか。 その一つがProative Monitoring。緩めの権限を与えておき、イベントに応じてアクションを起こす仕組みを実装。CloudTailやCloudWatchを活用。 #jawsug
2017-07-13 20:43:50
やまもと@視力2.0
@yamamoto_febc
Proactive Monitorinとは:例えば悪意あるopsによってCloudTrailがOFFにされたら、すぐにLambdaを使ってONにしログをとるような仕組みを実装。 #jawsug #jawsugfuk
2017-07-13 20:46:20
藤崎優
@youukkari
最後のセッションは川原さん! 時事ネタぶっ込みつつ! #jawsug #jawsugfuk ift.tt/2tMkYZp pic.twitter.com/KgB3FXjjkT
2017-07-13 20:51:33
拡大
しょーちゃん
@show_m001
CloudTrailをOFF→Lambda起動→すぐにONにした上でDynamoDBに登録→2回目だったら該当ユーザの権限を剥奪。すごいな。 #jawsug #jawsugfuk
2017-07-13 20:52:38
やまもと@視力2.0
@yamamoto_febc
Proactive Monitorng:例えばdynamoにロギングしておいて、二回目の不正な操作を行おうとしたら権限を剥奪といったことを行うことで、ゆるい権限を与えつつ守るべきものを守る仕組みということかな。 #jawsug #jawsugfuk
2017-07-13 20:53:00
やまもと@視力2.0
@yamamoto_febc
CloudWatchで検知できるレベルなら色々できそう。ただこのProactive Monitoringを実装するにはどんなリスクがあるかって分析のフェーズで高めのAWSスキルが要求されそうだな。。。 #jawsug #jawsugfuk
2017-07-13 20:54:56
しょーちゃん
@show_m001
権限を絞ることもできる。一時的に与えることもできる。与えておいて監視して制限することもできる。 #jawsug #jawsugfuk
2017-07-13 20:55:36
hideaki_aoyagi
@hideaki_aoyagi
Proactive Monitoring、そのうち商用サービスが出てくるのかもしれませんね~ #jawsugfuk #jawsug
2017-07-13 20:58:35
やまもと@視力2.0
@yamamoto_febc
Proactive Monitoringは現状に応じて育てて行くことが大事みたい。セキュリティ要件って様々だし、ちゃんと検討しておこうねってことかな。それにしてもベストプラクティスは欲しい気がする。 #jawsug #jawsugfuk
2017-07-13 21:03:39
やまもと@視力2.0
@yamamoto_febc
RDSにIAM認証が追加されたので、Public Accessが安全に容易に行えるように。そうなるとLambdaからいけるよねと。VPC内にアクセスするには数10秒かかってたのがPublic Accessで現実的に使える? #jawsug #jawsugfuk
2017-07-13 21:09:19
やまもと@視力2.0
@yamamoto_febc
やってみたけどRDS + Lambdaはアンチパターン臭がするらしいwコネクション多すぎ問題とか。 #jawsug #jawsugfuk
2017-07-13 21:10:39
藤崎優
@youukkari
LTはじまってます! 二人目はハウインターナショナルの岩男さん! #jawsug #jawsugfuk ift.tt/2sTLcGx pic.twitter.com/Xlm7DWkoJK
2017-07-13 21:15:18
拡大
hideaki_aoyagi
@hideaki_aoyagi
「これは違うかな」「これはちょっと頭悪い」で行き着いた先が「LuaでTCPサーバを実装」てww #jawsugfuk #jawsug
2017-07-13 21:17:03
しょーちゃん
@show_m001
YAMAHAのルータの死活監視をRoute53から死活監視するときに80番や22番を見るのは論外、ICMPでの監視がない→lua使ってTCPサーバを書けばいいんじゃね?・・ってすごいなww #jawsug #jawsugfuk
2017-07-13 21:18:49