JAWS-UG福岡@集団山見せとAWS Summit Tokyo振り返らNight#5
AWS Summit Tokyoを3行でいうと ・会場が大きい ・とにかく人が多い ・暑い/熱い!! #jawsug #jawsugfuk
2017-07-13 20:34:45Security Controlについて。AWSだとIAM roleとSTSを利用した一時的な認証情報がキモ。 #jawsug #jawsugfuk
2017-07-13 20:42:05Proactive Monitoring。あらかじめゆるめに権限を与えて、イベントを監視してアクションを起こす。CloudTrail/ClodWatch Events/Config。 #jawsug #jawsugfuk
2017-07-13 20:43:24本日のJAWS-UG福岡で発表した資料です! 【Serverless Frameworkで気軽にAPIを公開してみる?(Python3.6・ヴィジュアル系編) 】 speakerdeck.com/yfujisaki/serv… #jawsug #jawsugfuk
2017-07-13 20:43:29DevOpsとSecurityというバランスをとりにくい要素にどう対応するか。 その一つがProative Monitoring。緩めの権限を与えておき、イベントに応じてアクションを起こす仕組みを実装。CloudTailやCloudWatchを活用。 #jawsug
2017-07-13 20:43:50Proactive Monitorinとは:例えば悪意あるopsによってCloudTrailがOFFにされたら、すぐにLambdaを使ってONにしログをとるような仕組みを実装。 #jawsug #jawsugfuk
2017-07-13 20:46:20最後のセッションは川原さん! 時事ネタぶっ込みつつ! #jawsug #jawsugfuk ift.tt/2tMkYZp pic.twitter.com/KgB3FXjjkT
2017-07-13 20:51:33CloudTrailをOFF→Lambda起動→すぐにONにした上でDynamoDBに登録→2回目だったら該当ユーザの権限を剥奪。すごいな。 #jawsug #jawsugfuk
2017-07-13 20:52:38Proactive Monitorng:例えばdynamoにロギングしておいて、二回目の不正な操作を行おうとしたら権限を剥奪といったことを行うことで、ゆるい権限を与えつつ守るべきものを守る仕組みということかな。 #jawsug #jawsugfuk
2017-07-13 20:53:00CloudWatchで検知できるレベルなら色々できそう。ただこのProactive Monitoringを実装するにはどんなリスクがあるかって分析のフェーズで高めのAWSスキルが要求されそうだな。。。 #jawsug #jawsugfuk
2017-07-13 20:54:56権限を絞ることもできる。一時的に与えることもできる。与えておいて監視して制限することもできる。 #jawsug #jawsugfuk
2017-07-13 20:55:36Proactive Monitoring、そのうち商用サービスが出てくるのかもしれませんね~ #jawsugfuk #jawsug
2017-07-13 20:58:35Proactive Monitoringは現状に応じて育てて行くことが大事みたい。セキュリティ要件って様々だし、ちゃんと検討しておこうねってことかな。それにしてもベストプラクティスは欲しい気がする。 #jawsug #jawsugfuk
2017-07-13 21:03:39RDSにIAM認証が追加されたので、Public Accessが安全に容易に行えるように。そうなるとLambdaからいけるよねと。VPC内にアクセスするには数10秒かかってたのがPublic Accessで現実的に使える? #jawsug #jawsugfuk
2017-07-13 21:09:19やってみたけどRDS + Lambdaはアンチパターン臭がするらしいwコネクション多すぎ問題とか。 #jawsug #jawsugfuk
2017-07-13 21:10:39LTはじまってます! 二人目はハウインターナショナルの岩男さん! #jawsug #jawsugfuk ift.tt/2sTLcGx pic.twitter.com/Xlm7DWkoJK
2017-07-13 21:15:18「これは違うかな」「これはちょっと頭悪い」で行き着いた先が「LuaでTCPサーバを実装」てww #jawsugfuk #jawsug
2017-07-13 21:17:03YAMAHAのルータの死活監視をRoute53から死活監視するときに80番や22番を見るのは論外、ICMPでの監視がない→lua使ってTCPサーバを書けばいいんじゃね?・・ってすごいなww #jawsug #jawsugfuk
2017-07-13 21:18:49