投稿者:

Advent Calendar 2021

えを描こう

この記事はレコチョク Advent Calendar 2021の03日目の記事となります。

はじめに

会社やチームに所属して何らかのシステムを管理運用する事になった時、引き継がれたり引き継いだりしてシステムを継続して回していきます。
一人で開発、運用しているときはまあ何とかなるかと思いますが、いざ引継ぎとなった時にドキュメント群が充実していない時に、

「あ、これは大変かもなぁ…」

と思う事は無いですか? ...

投稿者:

ACM, AWS, 証明書

AWS Certificate Manager (ACM) を、PC向けサービスで使いづらい理由の一つであった、Certificate Transparency (CT) 非対応という点が、ついに解消しそうです。

AWS公式 AWS Certificate Manager (ACM) が Certificate Transparency (CT) をサポートするための準備

CTについては、ここが分かりやすいかも。

cybertrust ...

投稿者:

ALB, AWS, CLB

CLB(ClassicLoadBlancer)からALB(ApplicationLoadBlancer)に移行したくなる機能が追加された件

こんばんは。

AWS WAFを使うにはALBじゃないとダメだったりするので、ALBへの移行も考えなきゃな……と考えられているかと思います。

そんな中、CLBにALBへの移行ウィザード機能が追加されました。

https://aws.amazon.com/jp/about-aws/whats-new/2 ...

投稿者:

AWS, WAF

AWS WAFに待望のマネージドルールが!

来ましたねー!

https://aws.amazon.com/jp/mp/security/WAFManagedRules/

怖かったので、一旦お試しで入れてみました。

項目増えてますね。

11ルールがありました。

特化したもの、汎用性が高そうなもの(OWASP TOP 10とか)があります。

価格も$5~$50とお手頃。
unit単位でなんだろうと ...

投稿者:

AWS, WAF, セキュリティ

AWS WAFで簡単にDoS攻撃を防いでみよう

DoS攻撃流行ってますね。もぐら叩きになりがちなDoS攻撃対応ですが、IPアドレスでのブロックだけなら、AWS WAFに実装された [rate-based limit] を使って割とお手軽に対応が出来そうです。

という事で、ちょっと試してみました。

今回の環境

こんな感じで簡単に構築。

EC2はそれぞれBaseAMIから作成。
攻撃は単純にApacheBenchで代用してみます。

投稿者:

Vuls, セキュリティ

各環境の脆弱性診断ツールとして、「Vuls」を検証しています。
GUI(vulsrepo)もあると勝手が良いという事で試してみました。

ちなみにVulsはこちらを参照ください。
 
vulsrepoはこちらとなります。

ここの手順通りだと意外とうまくいかなかったので、構築手順はまとめ直します。

localhostが自分自身、vuls-targetがリモートの別サーバを診断した結果です。
結果が同じなのは ...

投稿者:

Vuls, セキュリティ

Vulsを使った脆弱性チェック運用はじめるよ

という事で、背景は前の記事で書いた通りですので、実際に環境を構築してみます。
複数アカウントにまたがる環境、且つIPアドレスが結構変動する環境では通常通りのconfigではすんなり動いてくれないため、力業で解決しているところもあります。

当面はIPアドレスが変動してもconfigに反映出来る仕組み作りです。

では、実際に今どんな環境で動いているか見てみましょう。
基本は、公式の内容通りで ...

投稿者:

AWS, GuardDuty, re:Invent, セキュリティ

前回の記事 【Amazon GuardDutyが出たと聞いたので】の続きとなります。
Amazon GuardDuty とりあえず一晩置いてみました。

内部のインスタンス間でポートスキャンしてみました。

Dashboardを見てみるやったことInstance A –> (PortScan) –>Instance B

Alartみたいの出てますね。
他に正常通信も行っているのでそこは ...

投稿者:

AWS, GuardDuty, re:Invent, セキュリティ

re:Invent 2017、今年は何が目玉になるんでしょうか。

Amazon GuardDutyというサービスが発表、リリースされた様です。
ドキュメントを見る限り、IDSに近い感じな様です。

ターゲットはVPC Flow LogとCloudTrail Eventで、異常値が可視化される感じみたいですね。

お値段

無料プランが機能制限無しであるのはうれしいですね。

基本はFlowLogの転送量次第。
何も考 ...

投稿者:

Vuls, セキュリティ

Vulsを使った脆弱性チェック運用を考えてみる

数回に分けて、Vulsを使った脆弱性チェック運用に関して投稿したいと思います。
今回はなんでVulsを使う事になったか、という初めのお話。

Vulsについては、ネット上に何ぞや?といった情報が多くあるので、割愛します。
とりあえずここを見ておけば間違いない。

Vuls GitHub

何故脆弱性チェックをやるのか?

レコチョクもオンプレミス環境でサーバ等運用を行っていた際は、ホ ...