Suche senden
Hochladen
AWS CloudFormation Guardで遊んでみた
•
0 gefällt mir
•
347 views
C
cluclu_land
Folgen
2020年8月5日開催「総関西サイバーセキュリティLT大会 #22」のLT資料です。
Weniger lesen
Mehr lesen
Präsentationen & Vorträge
Melden
Teilen
Melden
Teilen
1 von 13
Empfohlen
今こそ知りたい!Microsoft Azureの基礎
今こそ知りたい!Microsoft Azureの基礎
Trainocate Japan, Ltd.
Signature & Model Hybrid Platform
Signature & Model Hybrid Platform
YOJI WATANABE
20200118 scugj goodbye_ws2008-slide
20200118 scugj goodbye_ws2008-slide
Osamu Takazoe
OSC 2012 Microsoft Session [マイクロソフトの魅せるセンサー×クラウド技術]
OSC 2012 Microsoft Session [マイクロソフトの魅せるセンサー×クラウド技術]
Aya Tokura
new AWS WAF update 概要と AMRの選び方でも足りないこと
new AWS WAF update 概要と AMRの選び方でも足りないこと
YOJI WATANABE
AWS Cloud Design Pattern for Enterprise
AWS Cloud Design Pattern for Enterprise
Akio Katayama
いまさら聞けないAWSの基本
いまさら聞けないAWSの基本
Trainocate Japan, Ltd.
20190124 hccjp vmware_final
20190124 hccjp vmware_final
yohara0913
Empfohlen
今こそ知りたい!Microsoft Azureの基礎
今こそ知りたい!Microsoft Azureの基礎
Trainocate Japan, Ltd.
Signature & Model Hybrid Platform
Signature & Model Hybrid Platform
YOJI WATANABE
20200118 scugj goodbye_ws2008-slide
20200118 scugj goodbye_ws2008-slide
Osamu Takazoe
OSC 2012 Microsoft Session [マイクロソフトの魅せるセンサー×クラウド技術]
OSC 2012 Microsoft Session [マイクロソフトの魅せるセンサー×クラウド技術]
Aya Tokura
new AWS WAF update 概要と AMRの選び方でも足りないこと
new AWS WAF update 概要と AMRの選び方でも足りないこと
YOJI WATANABE
AWS Cloud Design Pattern for Enterprise
AWS Cloud Design Pattern for Enterprise
Akio Katayama
いまさら聞けないAWSの基本
いまさら聞けないAWSの基本
Trainocate Japan, Ltd.
20190124 hccjp vmware_final
20190124 hccjp vmware_final
yohara0913
Java EE 7 multi factor authentiaction with Microsoft Azure AD
Java EE 7 multi factor authentiaction with Microsoft Azure AD
Yoshio Terada
Azure でサーバーレス、 Infrastructure as Code どうしてますか?
Azure でサーバーレス、 Infrastructure as Code どうしてますか?
Kazumi IWANAGA
[Japan Tech summit 2017] CLD 019
[Japan Tech summit 2017] CLD 019
Microsoft Tech Summit 2017
Azure aws違い
Azure aws違い
Masanobu Sato
20190515 hccjp hybrid_strategy
20190515 hccjp hybrid_strategy
Osamu Takazoe
[Japan Tech summit 2017] DEP 005
[Japan Tech summit 2017] DEP 005
Microsoft Tech Summit 2017
MTとAzure の素敵な関係@MTDDC Meetup Tohoku 2015
MTとAzure の素敵な関係@MTDDC Meetup Tohoku 2015
Masaki Takeda
世界はつながっている!VyOSで実現するマルチリージョン
世界はつながっている!VyOSで実現するマルチリージョン
Masamitsu Maehara
クラウドデザインパターンから始めるクラウドの利点と弱点の理解~提案から設計・開発・保守に活かす!~
クラウドデザインパターンから始めるクラウドの利点と弱点の理解~提案から設計・開発・保守に活かす!~
貴志 上坂
それでもボクはMicrosoft Azure を使う
それでもボクはMicrosoft Azure を使う
Masaki Takeda
OpenWhiskを使ってみた
OpenWhiskを使ってみた
Kozo Fukugauchi
[DO06] Infrastructure as Code でサービスを迅速にローンチし、継続的にインフラを変更しよう
[DO06] Infrastructure as Code でサービスを迅速にローンチし、継続的にインフラを変更しよう
de:code 2017
インフラ野郎AzureチームProX
インフラ野郎AzureチームProX
Toru Makabe
AWS移行に向けたクックパッドの取り組み+α
AWS移行に向けたクックパッドの取り組み+α
Sugawara Genki
Hccjp PoC Introduction 2
Hccjp PoC Introduction 2
YusukeImanaka
20191209 hccjp azure-stackhub_overview
20191209 hccjp azure-stackhub_overview
Osamu Takazoe
AWS S3への直接バックアップでコスト削減!データ保護のお悩みは『Druva Phoenix』で解決!
AWS S3への直接バックアップでコスト削減!データ保護のお悩みは『Druva Phoenix』で解決!
株式会社クライム
Cloud Computing(クラウド・コンピューティング)
Cloud Computing(クラウド・コンピューティング)
ripper0217
20190124_hccjp_recochoku_40m_pub
20190124_hccjp_recochoku_40m_pub
Dai Fujikawa
[Japan Tech summit 2017] DEP 009
[Japan Tech summit 2017] DEP 009
Microsoft Tech Summit 2017
実践 bashによるサイバーセキュリティ対策を読んでみた(公開版)
実践 bashによるサイバーセキュリティ対策を読んでみた(公開版)
cluclu_land
Amazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみた
cluclu_land
Weitere ähnliche Inhalte
Was ist angesagt?
Java EE 7 multi factor authentiaction with Microsoft Azure AD
Java EE 7 multi factor authentiaction with Microsoft Azure AD
Yoshio Terada
Azure でサーバーレス、 Infrastructure as Code どうしてますか?
Azure でサーバーレス、 Infrastructure as Code どうしてますか?
Kazumi IWANAGA
[Japan Tech summit 2017] CLD 019
[Japan Tech summit 2017] CLD 019
Microsoft Tech Summit 2017
Azure aws違い
Azure aws違い
Masanobu Sato
20190515 hccjp hybrid_strategy
20190515 hccjp hybrid_strategy
Osamu Takazoe
[Japan Tech summit 2017] DEP 005
[Japan Tech summit 2017] DEP 005
Microsoft Tech Summit 2017
MTとAzure の素敵な関係@MTDDC Meetup Tohoku 2015
MTとAzure の素敵な関係@MTDDC Meetup Tohoku 2015
Masaki Takeda
世界はつながっている!VyOSで実現するマルチリージョン
世界はつながっている!VyOSで実現するマルチリージョン
Masamitsu Maehara
クラウドデザインパターンから始めるクラウドの利点と弱点の理解~提案から設計・開発・保守に活かす!~
クラウドデザインパターンから始めるクラウドの利点と弱点の理解~提案から設計・開発・保守に活かす!~
貴志 上坂
それでもボクはMicrosoft Azure を使う
それでもボクはMicrosoft Azure を使う
Masaki Takeda
OpenWhiskを使ってみた
OpenWhiskを使ってみた
Kozo Fukugauchi
[DO06] Infrastructure as Code でサービスを迅速にローンチし、継続的にインフラを変更しよう
[DO06] Infrastructure as Code でサービスを迅速にローンチし、継続的にインフラを変更しよう
de:code 2017
インフラ野郎AzureチームProX
インフラ野郎AzureチームProX
Toru Makabe
AWS移行に向けたクックパッドの取り組み+α
AWS移行に向けたクックパッドの取り組み+α
Sugawara Genki
Hccjp PoC Introduction 2
Hccjp PoC Introduction 2
YusukeImanaka
20191209 hccjp azure-stackhub_overview
20191209 hccjp azure-stackhub_overview
Osamu Takazoe
AWS S3への直接バックアップでコスト削減!データ保護のお悩みは『Druva Phoenix』で解決!
AWS S3への直接バックアップでコスト削減!データ保護のお悩みは『Druva Phoenix』で解決!
株式会社クライム
Cloud Computing(クラウド・コンピューティング)
Cloud Computing(クラウド・コンピューティング)
ripper0217
20190124_hccjp_recochoku_40m_pub
20190124_hccjp_recochoku_40m_pub
Dai Fujikawa
[Japan Tech summit 2017] DEP 009
[Japan Tech summit 2017] DEP 009
Microsoft Tech Summit 2017
Was ist angesagt?
(20)
Java EE 7 multi factor authentiaction with Microsoft Azure AD
Java EE 7 multi factor authentiaction with Microsoft Azure AD
Azure でサーバーレス、 Infrastructure as Code どうしてますか?
Azure でサーバーレス、 Infrastructure as Code どうしてますか?
[Japan Tech summit 2017] CLD 019
[Japan Tech summit 2017] CLD 019
Azure aws違い
Azure aws違い
20190515 hccjp hybrid_strategy
20190515 hccjp hybrid_strategy
[Japan Tech summit 2017] DEP 005
[Japan Tech summit 2017] DEP 005
MTとAzure の素敵な関係@MTDDC Meetup Tohoku 2015
MTとAzure の素敵な関係@MTDDC Meetup Tohoku 2015
世界はつながっている!VyOSで実現するマルチリージョン
世界はつながっている!VyOSで実現するマルチリージョン
クラウドデザインパターンから始めるクラウドの利点と弱点の理解~提案から設計・開発・保守に活かす!~
クラウドデザインパターンから始めるクラウドの利点と弱点の理解~提案から設計・開発・保守に活かす!~
それでもボクはMicrosoft Azure を使う
それでもボクはMicrosoft Azure を使う
OpenWhiskを使ってみた
OpenWhiskを使ってみた
[DO06] Infrastructure as Code でサービスを迅速にローンチし、継続的にインフラを変更しよう
[DO06] Infrastructure as Code でサービスを迅速にローンチし、継続的にインフラを変更しよう
インフラ野郎AzureチームProX
インフラ野郎AzureチームProX
AWS移行に向けたクックパッドの取り組み+α
AWS移行に向けたクックパッドの取り組み+α
Hccjp PoC Introduction 2
Hccjp PoC Introduction 2
20191209 hccjp azure-stackhub_overview
20191209 hccjp azure-stackhub_overview
AWS S3への直接バックアップでコスト削減!データ保護のお悩みは『Druva Phoenix』で解決!
AWS S3への直接バックアップでコスト削減!データ保護のお悩みは『Druva Phoenix』で解決!
Cloud Computing(クラウド・コンピューティング)
Cloud Computing(クラウド・コンピューティング)
20190124_hccjp_recochoku_40m_pub
20190124_hccjp_recochoku_40m_pub
[Japan Tech summit 2017] DEP 009
[Japan Tech summit 2017] DEP 009
Ähnlich wie AWS CloudFormation Guardで遊んでみた
実践 bashによるサイバーセキュリティ対策を読んでみた(公開版)
実践 bashによるサイバーセキュリティ対策を読んでみた(公開版)
cluclu_land
Amazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみた
cluclu_land
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
Masaya Tahara
20121221 AWS re:Invent 凱旋報告
20121221 AWS re:Invent 凱旋報告
真吾 吉田
Azure Antenna AI 概要
Azure Antenna AI 概要
Miho Yamamoto
今改めて学ぶ Microsoft Azure 基礎知識
今改めて学ぶ Microsoft Azure 基礎知識
Minoru Naito
[MW11] OSS on Azure で構築する ウェブアプリケーション
[MW11] OSS on Azure で構築する ウェブアプリケーション
de:code 2017
[日本DCの本命、大阪でWindows Azureを愛でる会] Windows Azure 概要 & 最新情報
[日本DCの本命、大阪でWindows Azureを愛でる会] Windows Azure 概要 & 最新情報
Naoki (Neo) SATO
S3 Client-Side Encryption by AWS SDK for Java/Ruby
S3 Client-Side Encryption by AWS SDK for Java/Ruby
真吾 吉田
PHP on Cloud
PHP on Cloud
Akio Katayama
講演資料「Azure AI Update Ignite Fall 2021を振り返ろう!」
講演資料「Azure AI Update Ignite Fall 2021を振り返ろう!」
Kohei Ogawa
Microsoft Azure Update 20151112
Microsoft Azure Update 20151112
Ayako Omori
AWSクラウドデザインパターン - JEITA講演 -
AWSクラウドデザインパターン - JEITA講演 -
SORACOM, INC
AWSの最新動向と事例から知る クラウド利用の進化と真価
AWSの最新動向と事例から知る クラウド利用の進化と真価
Trainocate Japan, Ltd.
クラウドと共に進むエンジニアの進化
クラウドと共に進むエンジニアの進化
Trainocate Japan, Ltd.
20140621 july techfesta (JTF2014) 突発**むけAWS
20140621 july techfesta (JTF2014) 突発**むけAWS
Yasuhiro Araki, Ph.D
試して学べるクラウド技術! OpenShift
試して学べるクラウド技術! OpenShift
Etsuji Nakai
OSS on Azure で構築するウェブアプリケーション
OSS on Azure で構築するウェブアプリケーション
Daisuke Masubuchi
Programming AWS with Perl at YAPC::Asia 2013
Programming AWS with Perl at YAPC::Asia 2013
Yasuhiro Horiuchi
これからのクラウドネイティブアプリケーションの話をしよう
これからのクラウドネイティブアプリケーションの話をしよう
真吾 吉田
Ähnlich wie AWS CloudFormation Guardで遊んでみた
(20)
実践 bashによるサイバーセキュリティ対策を読んでみた(公開版)
実践 bashによるサイバーセキュリティ対策を読んでみた(公開版)
Amazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみた
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
20121221 AWS re:Invent 凱旋報告
20121221 AWS re:Invent 凱旋報告
Azure Antenna AI 概要
Azure Antenna AI 概要
今改めて学ぶ Microsoft Azure 基礎知識
今改めて学ぶ Microsoft Azure 基礎知識
[MW11] OSS on Azure で構築する ウェブアプリケーション
[MW11] OSS on Azure で構築する ウェブアプリケーション
[日本DCの本命、大阪でWindows Azureを愛でる会] Windows Azure 概要 & 最新情報
[日本DCの本命、大阪でWindows Azureを愛でる会] Windows Azure 概要 & 最新情報
S3 Client-Side Encryption by AWS SDK for Java/Ruby
S3 Client-Side Encryption by AWS SDK for Java/Ruby
PHP on Cloud
PHP on Cloud
講演資料「Azure AI Update Ignite Fall 2021を振り返ろう!」
講演資料「Azure AI Update Ignite Fall 2021を振り返ろう!」
Microsoft Azure Update 20151112
Microsoft Azure Update 20151112
AWSクラウドデザインパターン - JEITA講演 -
AWSクラウドデザインパターン - JEITA講演 -
AWSの最新動向と事例から知る クラウド利用の進化と真価
AWSの最新動向と事例から知る クラウド利用の進化と真価
クラウドと共に進むエンジニアの進化
クラウドと共に進むエンジニアの進化
20140621 july techfesta (JTF2014) 突発**むけAWS
20140621 july techfesta (JTF2014) 突発**むけAWS
試して学べるクラウド技術! OpenShift
試して学べるクラウド技術! OpenShift
OSS on Azure で構築するウェブアプリケーション
OSS on Azure で構築するウェブアプリケーション
Programming AWS with Perl at YAPC::Asia 2013
Programming AWS with Perl at YAPC::Asia 2013
これからのクラウドネイティブアプリケーションの話をしよう
これからのクラウドネイティブアプリケーションの話をしよう
Mehr von cluclu_land
レトロゲーム攻略本を読んで当時を振り返ってみた
レトロゲーム攻略本を読んで当時を振り返ってみた
cluclu_land
読書会やったらパーカーもらえた話
読書会やったらパーカーもらえた話
cluclu_land
作業用BGMに使っているレトロゲームサントラCDひたすら晒す(公開版)
作業用BGMに使っているレトロゲームサントラCDひたすら晒す(公開版)
cluclu_land
IT技術書のオススメLT会×Kobe #01
IT技術書のオススメLT会×Kobe #01
cluclu_land
マッスルタワーに挑んでみた(普及版)
マッスルタワーに挑んでみた(普及版)
cluclu_land
セキュリティの○○○を買ってみた
セキュリティの○○○を買ってみた
cluclu_land
Firefox OSアプリをタブレット端末で動かしてみた
Firefox OSアプリをタブレット端末で動かしてみた
cluclu_land
Mehr von cluclu_land
(7)
レトロゲーム攻略本を読んで当時を振り返ってみた
レトロゲーム攻略本を読んで当時を振り返ってみた
読書会やったらパーカーもらえた話
読書会やったらパーカーもらえた話
作業用BGMに使っているレトロゲームサントラCDひたすら晒す(公開版)
作業用BGMに使っているレトロゲームサントラCDひたすら晒す(公開版)
IT技術書のオススメLT会×Kobe #01
IT技術書のオススメLT会×Kobe #01
マッスルタワーに挑んでみた(普及版)
マッスルタワーに挑んでみた(普及版)
セキュリティの○○○を買ってみた
セキュリティの○○○を買ってみた
Firefox OSアプリをタブレット端末で動かしてみた
Firefox OSアプリをタブレット端末で動かしてみた
AWS CloudFormation Guardで遊んでみた
1.
AWS CloudFormation Guardで 遊んでみた 2020年08月05日 chocopurin 総関西サイバーセキュリティLT大会
#22
2.
自己紹介 ● 名前:chocopurin ● 主なお仕事 –
だいぶ前:サーバ構築(J2EE・LAMP),認証ツール開発 – ちょっと前:開発ルールの策定,コンテナの研究,脆弱性診断 – 最近:セキュア開発基盤の整備,インフラ維持管理,AWS見習い ● 趣味・興味:書籍集め、レトロゲーム関連 ● 最近の出没歴(順不同) IT技術書のオススメLT会、OWASP Kansai InfraStudy Meetup、総関西サイバーセキュリティLT大会 Security-JAWS、AWSの基礎を学ぼう、大和セキュリティ etc
3.
推しの一部
4.
AWS CloudFormation(cFn) AWS CloudFormation
では、プログラミング言語またはシ ンプルなテキストファイルを使用して、あらゆるリージョン とアカウントでアプリケーションに必要とされるすべてのリ ソースを、自動化された安全な方法でモデル化し、プロビ ジョニングできます。 https://aws.amazon.com/jp/cloudformation/より抜粋 cFnテンプレート(JSONもしくはYAML)を食わせたら インフラとかをいい感じに作ってくれるAWSの仕組み
5.
AWS CloudFormation Guard ●
作成したcFnテンプレートがポリシーに合致しているか を診断する、AWS製のオープンソースツール – https://github.com/aws-cloudformation/cloudformation-guard – https://docs.aws.amazon.com/ja_jp/AWSCloudFormation/latest/ UserGuide/best-practices.html – https://www.infoq.com/jp/news/2020/07/cloudformation-guard/ ● 下記3つで構成される – CloudFormation Guard(cfnguard) – CloudFormation Guard RuleGen(cfnguard-rulegen) – CloudFormation Guard Lambda(cfnguard-lambda) ● 2020年8月現在プレビュー版(今後仕様変わるかも)
6.
AWS CloudFormation Guard ●
動作イメージ 診断対象 テンプレート ファイル ルールセット ファイル CloudFormation Guard (cfnguard) 診断結果 ベース テンプレート ファイル CloudFormation Guard RuleGen (cfnguard-rulegen) Rustが動く環境
7.
AWS CloudFormation Guard ●
ルールセットの例(policy.rules) AWS::EC2::Instance InstanceType == m1.small AWS::EC2::SecurityGroup GroupDescription == allow connections from specified CIDR ranges AWS::EC2::SecurityGroup SecurityGroupIngress == [{"CidrIp":"0.0.0.0/0","FromPort":"80","IpProtocol":"tcp","ToPort":"80"}, {"CidrIp":"192.168.1.1/32","FromPort":"22","IpProtocol":"tcp","ToPort":"22"}]
8.
AWS CloudFormation Guard ●
診断対象テンプレートの例(work.json) { "AWSTemplateFormatVersion": "2010-09-09", "Description": "AWS CloudFormation Sample Template for cfn-guard.", "Resources": { "EC2Instance": { "Type": "AWS::EC2::Instance", "Properties": { "InstanceType": "t2.medium" } }, "ServerSecurityGroup": { "Type": "AWS::EC2::SecurityGroup", "Properties": { "GroupDescription": "allow connections from specified CIDR ranges", "SecurityGroupIngress": [ { "IpProtocol": "tcp", "FromPort": "80", "ToPort": "80", "CidrIp": "0.0.0.0/0" }, { "IpProtocol": "tcp", "FromPort": "22", "ToPort": "22", "CidrIp": "10.1.0.0/16" } ] } } } }
9.
AWS CloudFormation Guard ●
診断実行の例
10.
AWS CloudFormation Guard ●
診断実行の例 t2.mediumインスタンスを使おうとしており、ポリシー 「m1.smallインスタンスを利用するべし」 に反している。 SSHのアクセス元に10.1.0.0/16が指定されており、ポリシー 「SSHのアクセス元は192.168.1.1/32にするべし」 に反している
11.
AWS CloudFormation Guard
RuleGen ● ベーステンプレートの例(policy.json) { "AWSTemplateFormatVersion": "2010-09-09", "Description": "AWS CloudFormation Sample Template for cfn-guard.", "Resources": { "EC2Instance": { "Type": "AWS::EC2::Instance", "Properties": { "InstanceType": "m1.small" } }, "ServerSecurityGroup": { "Type": "AWS::EC2::SecurityGroup", "Properties": { "GroupDescription": "allow connections from specified CIDR ranges", "SecurityGroupIngress": [ { "IpProtocol": "tcp", "FromPort": "80", "ToPort": "80", "CidrIp": "0.0.0.0/0" }, { "IpProtocol": "tcp", "FromPort": "22", "ToPort": "22", "CidrIp": "192.168.1.1/32" } ] } } } }
12.
AWS CloudFormation Guard
RuleGen ● ルールセット作成の例
13.
まとめ ● cfnguardによって、ソースコード静的解析の感覚で CloudFormationテンプレートを診断できる ● CI/CD連動を念頭に置いているだけあって、Rustとコ マンドラインの環境さえあれば動作する ●
ルールセット次第で診断品質が厳格にもザルにもなる (下記がルールセット策定のインプットになりそう) – BlackBeltや各種書籍記載のAWSベストプラクティス – Well-Architected Framework – 組織のセキュリティポリシー etc ● cfnguard-lambda追っかけないと・・・