sorta kinda...

主にAWS関連ですが、これに限らずいろいろ勉強したことや思ったことを書いていきます。

Security

いろんな AWS アカウントから Security Hub の結果を集めて社内 Slack に通知する

本当に久しぶりに記事書きました、那須です。 Japan APN Ambassador Advent Calendar 2020 の 4 日目のエントリです。 昨日は AWS 相澤さんによる APN Ambassadorってなんだ? でした。 記事内の「オススメの勉強法」にも書かれていましたが、実際に手を動か…

Windows Server に RDP 接続する時にパスワードを調べて入力したくないし文書にも書きたくない

ウォーキングと懸垂を継続した結果 8kg 痩せました、那須です。 Windows Server に RDP で接続する時、サーバ名や IP アドレス、ユーザ名、パスワードをそれぞれ入力しますよね。 たまにならいいんですが、毎日様々なお客様の環境を運用や構築をしているとロ…

うちのアカウントにスイッチロールした人がいるけど誰?を調べる

約 1 ヶ月ぶりに記事を書きました。那須です。 久々に記事を書くとうまく文章を書けない経験があるので、今日はあまり無理せず気になっていたことを調べた結果をご紹介します。 www.beex-inc.com

S3 バケット内の不審なファイルは Barracuda CSG に隔離してもらおう

もうすぐ花粉症の季節ですね…那須です。 これまで、セキュリティ向上の記事を 2 つ書きました。 www.beex-inc.com www.beex-inc.com Dome9 は主にセキュリティルールの遵守をサポートしたり、SG や IAM ユーザを知らないうちに変更されることを防いだりして…

AWS アカウントを守るために最低限やるべきこと

やっと AWS のセキュリティについて少しずつわかってきました。那須です。 何度か AWS のセキュリティについて記事を書いてきましたが、最低限これだけはやったほうがいい内容についてもまとめておこうと思います。 すべて AWS のサービスを使うことで実現で…

様々な脆弱性からクラウド環境を守る Prisma Cloud

しばらくやってなかったウォーキングを再開しました。那須です。 先日、Dome9 を使ったセキュリティ向上の話を書きました。 www.beex-inc.com Dome9 は主にセキュリティルールの遵守をサポートしたり、SG や IAM ユーザを知らないうちに変更されることを防い…

Dome9 を利用して AWS をより安全に使いましょう

あけましておめでとうございます。那須です。 AWS に限らず、パブリッククラウドを使うとなると必ず出てくるのがセキュリティの話題ですよね。 もちろん AWS そのもののインフラは AWS さんが常時メンテナンスして守ってくれています。 OS 以上のレイヤのセ…

セッションマネージャで踏み台いらず

毎日汗だくですが元気です、那須です。 先週、セッションマネージャでポートフォワーディングができるようになったとアナウンスがありましたね。 aws.amazon.com ざっくりですが、↓こんなことができるようになっています。 時々インターネット経由で VPC 内…

AWS Certified Security - Specialty に合格しました

最近セキュリティに関する仕事が増えてきました、那須です。 約半年ぶりに AWS 認定試験を受験したので、その感想とかを書いてみますね。 AWS Certified Security - Specialty とは? aws.amazon.com ↑ここにかいてる通りです。 結果 こんな結果でした。 ス…

CloudTrail のログに何かされたら気づける仕組みを考えた

令和元年もよろしくお願いします。那須です。 久々に AWS の普段気にしないことの勉強をしています。 普段気にしない AWS サービスといえば、やっぱり CloudTrail ですよね? CloudTrail のドキュメントを改めて読み返していたら、↓こんなドキュメントを見つ…

Slack チャンネル一覧を Backlog wiki に表形式で書くスクリプトを作ってみた

Slack 運用は簡単じゃないってのを感じはじめています、那須です。 社内 Slack をスタンダードプランにアップグレードしたのをきっかけに、マルチチャンネルゲストやシングルチャンネルゲストをうまく使っていくことになりました。 早速ユーザの種別を変更し…

CIS ベンチマークを使ってセキュリティレベルを少しずつ上げていこう(Inspector編)

今年はセキュリティのことをいろいろ勉強していこうと思います、那須です。 少し前に Security Hub を使って CIS ベンチマークの内容をベースに AWS アカウントのセキュリティチェックをかけてアクションを起こす話を書きました。 nasrinjp1.hatenablog.com …

AWS Security Hub のカスタムアクションで勘違いしてた話

あけましておめでとうございますー那須です。 今年もマイペースで記事を書いていきます。 Security Hub 知ってますか? 昨年の re:Invent 2018 で発表された新サービスで、セキュリティデータを収集して複数のアカウントのセキュリティ状況を一元的に見るこ…

多段 Bastion 環境で Bastion インスタンス内に秘密鍵を置きたくない!

やっと AmazonLinux2 に慣れてきました、那須です。 以前、SSH ポートフォワーディングを使って RDP する記事を書きました。 nasrinjp1.hatenablog.com これ書いてて、Bastion アカウントの Bastion インスタンスに運用対象 VPC の Bastion インスタンスのキ…

SSH ポートフォワーディングを使って安全に RDP 接続してみよう

Ella Mai 聞いてると調子よくなります、那須です。 本稼働している Windows Server に RDP でアクセスしてメンテナンス作業したい… でもそれには VPN クライアントで対象ネットワークに接続して、さらに踏み台用 Windows Server に RDP でアクセスして、やっ…

EC2 インスタンスのセキュリティ評価をやってみよう

久々に AWS コンソールを触った気がします、那須です。 システムの運用をしていると、しょっちゅう出てくる脆弱性情報…なんとかしないとって思っていても、後手後手になったりしますよね(私だけですかね…? 対応はパッチ適用やカーネル更新が主なので、アプ…

Secrets Manager を使ってスクリプト内に秘密情報を書かないようにしよう

スクリプトを書いてるとあっという間に時間が過ぎます、那須です。 先日、Datadog から Slack と Backlog に障害通知する記事を書きました。今日の記事は↓の続編になりますので、まだ読んでない方は先に読んだ方が全体の流れはわかると思います。 nasrinjp1.…

CloudFormation で作成したリソースの変更や削除の制御方法をまとめた

また json をガシガシ書く日が始まりそうです。那須です。 CloudFormation 便利ですね。ある程度決まった形の構成を作る時なんかはテンプレート準備しておけばすぐにその構成を作れます。 まあ作るのは簡単なんですが、更新や削除ってすでに運用に入っている…

Secrets Manager を使ってパスワードを入力せずに RDP してみた

パスワード管理めんどくさいです、那須です。 PrivateLink 経由で Secrets Manager が使えるようになったと AWS から発表がありました。 AWS Secrets Manager Now Supports AWS PrivateLink これ読んで、そういえば Secrets Manager 全くやってなかったな。…

AWS のセキュリティレベルがまた上がった! [cloudpack OSAKA blog]

ナスです。 re:Invent が終わって1週間経ちましたが、皆さん新サービスで使ってみたいものはあったでしょうか? たくさんのサービスがリリースされたので、正直全部追いきれないというのが私の感想です。 各社、各個人のブログ等で新サービスの紹介がされて…

ssh-copy-id という便利?なスクリプト [cloudpack OSAKA blog]

ナスです。 Linux のユーザ作ってssh でアクセスさせるまでの設定って、しょっちゅうしないのですぐ忘れます。いちいち調べるの面倒ですよね。(私が Linux に慣れてないだけかも ssh のことを調べていると、ふと ssh-copy-id というスクリプトの存在に気付…

Webセキュリティについてちょっとだけ調べてみた [cloudpack OSAKA blog]

ナスです。 先日、初めてセキュリティトレーニングなるものを受講してきました。内容は、こんな攻撃があってこんな風にするとほら!簡単に侵入できたり情報を抜き出せたりできるでしょ?というものでした。SQLインジェクションとかは名前は知っていましたが…