Security Engineering Casual Talks #1 まとめ #sec_talks

Shinya Tsunematsu @tnmt

インフラ管理をするところがセキュリティ対策も担う（と多分どこもなりがち） #sec_talks

Shota Tsuge @shotaTsuge

Cookpadは、2011年にDCから、クラウドへ完全移行した。あの当時に、全面クラウドへ振り切れてるのは凄い #sec_talks

Shinya Tsunematsu @tnmt

中央管理がきつくなってきた！！！ #sec_talks

Shinya Tsunematsu @tnmt

権限と責任を各開発者に委譲する方向にシフト。ただ、管理すべき部分は押さえる #sec_talks

Tomoya Kabe @limitusus

開発者用AWSアカウント、弊社でもついこの前導入したやつだ #sec_talks

ちょいあー @quartette

開発者用にAWSアカウントを分離。ログインはSAML #sec_talks

ちょいあー @quartette

権限管理は特定のサービスのみ許可しない。 #sec_talks

Shinya Tsunematsu @tnmt

IAMの権限はブラックリスト方式でやってる #sec_talks

Shota Tsuge @shotaTsuge

特定サービス(aws resource)のみ許可しないポリシーで管理してる #sec_talks

kanata @kanata201612

リスク許容するって判断は結構できないものなのですごいと思う #sec_talks

Shinya Tsunematsu @tnmt

操作はCoudTrail, VPC Flow Logsで監査して、ログは開発者から削除されないS3バケットに保持 #sec_talks

Shota Tsuge @shotaTsuge

ログの分析は、Graylogでやってるよ techlife.cookpad.com/entry/2018/05/… #sec_talks

F@L @falms

踏み台にTOTP, FIDO使えるの後で調べる　#sec_talks

Shinya Tsunematsu @tnmt

“問題を未然に防ぐ“より“問題を後からでもいいので検出できる“対策にフォーカス。良い〜 #sec_talks

Aki＠めもおきば 冬コミ12/31東U-58b @nekoruri

OK、Security Engineering Casual Talks #1 に侵入した。 #sec_talks (@ クックパッド株式会社 in 渋谷区) swarmapp.com/c/1mLpWX6FjMt

Shinya Tsunematsu @tnmt

見るとこは増えるだろうから、そこどう効率化してるのかってところも知りたいな。今は実際に検知して通知する量が少ないからオッケーな感じなのかな #sec_talks

Shinya Tsunematsu @tnmt

@ken5scal “踏み台環境のあれそれ” #sec_talks

Shinya Tsunematsu @tnmt

github.com/gravitational/… えこれ便利そう #sec_talks

Shota Tsuge @shotaTsuge

folioは、teleport使ってるのか #sec_talks

Hokuto Hoshi @kani_b

Teleport めちゃべんりじゃん #sec_talks

Tomoya Kabe @limitusus

teleportもう入れてるのか。ちょうど気にしてるやつだ #sec_talks

Aki＠めもおきば 冬コミ12/31東U-58b @nekoruri

SCP忘れてよければブラウザベースのクラウドシェルが正義なんだよなあ…… #sec_talks

ちょいあー @quartette

Teleportめっちゃ便利そう。使ってみたい #sec_talks

Shinya Tsunematsu @tnmt

TeleportのIdP FederatedはEnterpriseから対応かー。ですよねー #sec_talks

Aki＠めもおきば 冬コミ12/31東U-58b @nekoruri

おおー、openssh互換行けるのね、asap今すぐ試す価値ある #sec_talks