Kyohei Watanabe, profile picture
Uploaded byKyohei Watanabe
PDF, PPTX2,025 views

Vuls祭り#3 ラクスル発表資料

10/19日に開催されたvuls祭り#3での発表資料です。

Embed presentation

Download as PDF, PPTX
© RakSul,Inc. All Rights Reserved. vulsの運用tips紹介と欲しい機能 ラクスル株式会社 渡邉恭平 平成29年10月
© RakSul,Inc. All Rights Reserved. 自己紹介 【名前】  わたなべ きょうへい 【雑な経歴】 ● 外資系SIer → 大手ゲーム会社 → RakSul ● ずっとインフラで、今は社内インフラもやってます ● インフラの移行や受託運用なんかもやってます 【vulsを導入するまでの悩み】 ● 痩せたい ○ 導入したら7㌔痩せました ● 愛犬が可愛くて会社に行きたくない ● 脆弱性対応がつらい インフラエンジニア 渡邉 恭平
© RakSul,Inc. All Rights Reserved. 目次サンプル 3 こういう運用しています 2 1 vulsと出会うまでの私 弊社の環境 こんな機能がほしいなぁ4
© RakSul,Inc. All Rights Reserved. ● twitterを賑わすようなものだったり、新機 能が使いたいときなどにしかupdateはあま り実施せず ● 潜在的な脅威に対する対応はできていな かったと言っても過言ではない ● 対応ホストを一覧するようなものもなかっ たので調査にいちいち時間がかかってい た ● 第二回すだち勉強会でVulsと神戸さんに 出会う vulsと出会うまでの私
© RakSul,Inc. All Rights Reserved. ● (導入経緯などは弊社Tech Blogをご覧頂ければ!) ○ https://tech.raksul.com/2017/09/04/setup-vuls/ ● OS ○ 管理対象は400インスタンス超 ■ scanは25sec、reportが45secほどで終わっている ○ centos7, amazon linux, ubuntuが混在 ○ vuls/vulsrepoはamazon linux上に構築 ■ t2.mediumでscan中でもcpu使用率30%程度です ● 運用 ○ provisioningはchef-serverを利用 ○ 環境の再現性を確保するため、各osでpackageのversionlockを実施 ■ 最初はこれによって脆弱性が検知されてこないことに気づかず無駄な時間を 過ごしました・・・ 弊社の環境
© RakSul,Inc. All Rights Reserved. ● Vuls自体のupdate ○ chefで毎日why-runを回し、gitに更新があればslackに通知 ■ recipeもblogで公開しています ○ → vuls を pullしてきてmakeさせる ● nvd/oval情報の更新 ○ 後述のpipeline内で毎日実行 ● 対応 ○ 週次でVulsRepoを確認し8点以上のものかつ、caseに該当すればすぐに対応計画 (チケット化)を作ってupdateする ■ NotFixedYetがfalseになるまで待つか、自前でbuild ■ yumで言うとversionlock.listをNewPackageVerに書き換えてchefをrun → yum update ○ 8点以下のものは必要なものだけ(攻撃容易性とか見て判断)pick upして対応 ■ それ以外は四半期に一度などまとめてupdate こういう運用しています - ①
© RakSul,Inc. All Rights Reserved. ポイント ● scan対象が毎日変わる(増減する)ので、毎回config.tomlをtemplateから生成 ● scan前にversionlockを解除、終わったら元に戻す ○ 先行ジョブがコケても戻し作業は実施 ● reportはサービス単位(hostnameのprefix)でディレクトリを分割 ○ vulsrepoで別々に見やすくなる こういう運用しています - ②
© RakSul,Inc. All Rights Reserved. ● 通知周り ○ slack通知をサマリーだけにしたい ■ hostごとに通知が来るとfloodingしてしまう ○ 前日との差分(新規脆弱性)の通知が欲しい → --diffがありました。。。 ■ 毎日チェックしているわけではないのでヤバイものを早く知りたい ● yum対応 ○ changelogの取得などでyumに渡すoptionを定義したい ■ --disablepluginとか--enablerepoとか → いやもうそれあるじゃんみたいなのあれば後で教えてください! こんな機能が欲しいなぁ
© RakSul,Inc. All Rights Reserved. 仕組みを変えれば、 世界はもっと良くなる。 Our Vision

More Related Content

PDF
JAWSDAYS2014 Amazon Kinesis for Beginner
byToshiyuki Konparu
 
PPTX
Project Sienaはどうやって動いているか
byYoshitaka Seo
 
PDF
社内サーバー購入禁止令から出戻りリモートワークまでの一部始終 20150114 DevLOVE仙台
bySeiji Akatsuka
 
PDF
Reserved Instances 活用物語
byKieko Sakurai
 
PDF
NewsPicksでのAWS活用法
byWataru Kinoshita
 
PPTX
Aws Clound Roadshow 2014 LT
byTomoharu Ito
 
PPTX
jazug信州 オートメーションと可用性セットの話
byTsubasa Yoshino
 
PDF
20141017 あなたのword pressに捧げる3つの法要
bySeiji Akatsuka
 
JAWSDAYS2014 Amazon Kinesis for Beginner
byToshiyuki Konparu
 
Project Sienaはどうやって動いているか
byYoshitaka Seo
 
社内サーバー購入禁止令から出戻りリモートワークまでの一部始終 20150114 DevLOVE仙台
bySeiji Akatsuka
 
Reserved Instances 活用物語
byKieko Sakurai
 
NewsPicksでのAWS活用法
byWataru Kinoshita
 
Aws Clound Roadshow 2014 LT
byTomoharu Ito
 
jazug信州 オートメーションと可用性セットの話
byTsubasa Yoshino
 
20141017 あなたのword pressに捧げる3つの法要
bySeiji Akatsuka
 

What's hot

PDF
SWTT2016 Salesforce × Azure machine learning
byIkou Sanuki
 
PPTX
社内でアジャイルと出会った新卒2年目がインフラ部隊でタスク可視化をやってみた話
byMasayuki Ueda
 
PDF
Introduction of-aws-well-architected
byShota Tsuge
 
PDF
SPEEDAインフラ運営
byyasushi_kanaya
 
PDF
20151017 jaws-ug長岡#2-本気な貴方に贈るawsことはじめ
bySeiji Akatsuka
 
PPTX
ぶっちゃけAIPスキャナってどうよ?~AIPスキャナ検証録~
byAkito Katsumata
 
PDF
スタートアップにjoinして1年間の変化を振り返る
byMasashi Ogawa
 
PDF
AWS in Kansai(JAWS-UG山形2013.09.07)
byToshiyuki Konparu
 
PPTX
AWS関連のブログを書いてて山ほど得したこと
byMitsuhiro Yamashita
 
PDF
40まで開発のリーダーだった男がインフラの運用のリーダー(見習い)になってみて
byHiroyuki Hiki
 
PDF
知っておいて損はない AWS法務関連
byKieko Sakurai
 
PDF
150704 イノベーションエッグ第4回 umekita_force活動報告
byNaoya Shiraishi
 
PDF
20150606 jaws ug愛媛-aws麻雀
byShinya Yamada
 
PDF
クラウドの一歩 WordPressでAWSを乗りこなせ
bySeiji Akatsuka
 
PDF
Iret tech labo#5 ブログから学ぶサーバレスの作り方
byTakaakiNiikawa
 
PDF
さくらのVPSで初期設定をChefでやってみた〜こんなはずじゃなかった〜
byTerui Masashi
 
PPTX
サーバレスでやったこと2018
byMasayuki Sakamoto
 
PPTX
JAWS-UG開催情報 20170125-8th初心者支部
by由佳 青木
 
PDF
20160402_Awsで簡単実装cmsサイト
byTsukasa Kato
 
SWTT2016 Salesforce × Azure machine learning
byIkou Sanuki
 
社内でアジャイルと出会った新卒2年目がインフラ部隊でタスク可視化をやってみた話
byMasayuki Ueda
 
Introduction of-aws-well-architected
byShota Tsuge
 
SPEEDAインフラ運営
byyasushi_kanaya
 
20151017 jaws-ug長岡#2-本気な貴方に贈るawsことはじめ
bySeiji Akatsuka
 
ぶっちゃけAIPスキャナってどうよ?~AIPスキャナ検証録~
byAkito Katsumata
 
スタートアップにjoinして1年間の変化を振り返る
byMasashi Ogawa
 
AWS in Kansai(JAWS-UG山形2013.09.07)
byToshiyuki Konparu
 
AWS関連のブログを書いてて山ほど得したこと
byMitsuhiro Yamashita
 
40まで開発のリーダーだった男がインフラの運用のリーダー(見習い)になってみて
byHiroyuki Hiki
 
知っておいて損はない AWS法務関連
byKieko Sakurai
 
150704 イノベーションエッグ第4回 umekita_force活動報告
byNaoya Shiraishi
 
20150606 jaws ug愛媛-aws麻雀
byShinya Yamada
 
クラウドの一歩 WordPressでAWSを乗りこなせ
bySeiji Akatsuka
 
Iret tech labo#5 ブログから学ぶサーバレスの作り方
byTakaakiNiikawa
 
さくらのVPSで初期設定をChefでやってみた〜こんなはずじゃなかった〜
byTerui Masashi
 
サーバレスでやったこと2018
byMasayuki Sakamoto
 
JAWS-UG開催情報 20170125-8th初心者支部
by由佳 青木
 
20160402_Awsで簡単実装cmsサイト
byTsukasa Kato
 

Viewers also liked

PPTX
Vuls祭りvol3
byhogehuga
 
PDF
3000台のサーバーを毎日vulsでスキャンしてRedmineでチケット管理した話
byRie Watanabe
 
PPTX
20170731 Arukikata! -IT Exhibition walking project-
byTyphon 666
 
PDF
脆弱性診断データの活用例 - Webアプリケーション診断編 -
byIsao Takaesu
 
PPTX
標的型攻撃からどのように身を守るのか
byabend_cve_9999_0001
 
PDF
シリコンバレーの「何が」凄いのか
byAtsushi Nakada
 
Vuls祭りvol3
byhogehuga
 
3000台のサーバーを毎日vulsでスキャンしてRedmineでチケット管理した話
byRie Watanabe
 
20170731 Arukikata! -IT Exhibition walking project-
byTyphon 666
 
脆弱性診断データの活用例 - Webアプリケーション診断編 -
byIsao Takaesu
 
標的型攻撃からどのように身を守るのか
byabend_cve_9999_0001
 
シリコンバレーの「何が」凄いのか
byAtsushi Nakada
 

Vuls祭り#3 ラクスル発表資料

  • 1.
    © RakSul,Inc. AllRights Reserved. vulsの運用tips紹介と欲しい機能 ラクスル株式会社 渡邉恭平 平成29年10月
  • 2.
    © RakSul,Inc. AllRights Reserved. 自己紹介 【名前】  わたなべ きょうへい 【雑な経歴】 ● 外資系SIer → 大手ゲーム会社 → RakSul ● ずっとインフラで、今は社内インフラもやってます ● インフラの移行や受託運用なんかもやってます 【vulsを導入するまでの悩み】 ● 痩せたい ○ 導入したら7㌔痩せました ● 愛犬が可愛くて会社に行きたくない ● 脆弱性対応がつらい インフラエンジニア 渡邉 恭平
  • 3.
    © RakSul,Inc. AllRights Reserved. 目次サンプル 3 こういう運用しています 2 1 vulsと出会うまでの私 弊社の環境 こんな機能がほしいなぁ4
  • 4.
    © RakSul,Inc. AllRights Reserved. ● twitterを賑わすようなものだったり、新機 能が使いたいときなどにしかupdateはあま り実施せず ● 潜在的な脅威に対する対応はできていな かったと言っても過言ではない ● 対応ホストを一覧するようなものもなかっ たので調査にいちいち時間がかかってい た ● 第二回すだち勉強会でVulsと神戸さんに 出会う vulsと出会うまでの私
  • 5.
    © RakSul,Inc. AllRights Reserved. ● (導入経緯などは弊社Tech Blogをご覧頂ければ!) ○ https://tech.raksul.com/2017/09/04/setup-vuls/ ● OS ○ 管理対象は400インスタンス超 ■ scanは25sec、reportが45secほどで終わっている ○ centos7, amazon linux, ubuntuが混在 ○ vuls/vulsrepoはamazon linux上に構築 ■ t2.mediumでscan中でもcpu使用率30%程度です ● 運用 ○ provisioningはchef-serverを利用 ○ 環境の再現性を確保するため、各osでpackageのversionlockを実施 ■ 最初はこれによって脆弱性が検知されてこないことに気づかず無駄な時間を 過ごしました・・・ 弊社の環境
  • 6.
    © RakSul,Inc. AllRights Reserved. ● Vuls自体のupdate ○ chefで毎日why-runを回し、gitに更新があればslackに通知 ■ recipeもblogで公開しています ○ → vuls を pullしてきてmakeさせる ● nvd/oval情報の更新 ○ 後述のpipeline内で毎日実行 ● 対応 ○ 週次でVulsRepoを確認し8点以上のものかつ、caseに該当すればすぐに対応計画 (チケット化)を作ってupdateする ■ NotFixedYetがfalseになるまで待つか、自前でbuild ■ yumで言うとversionlock.listをNewPackageVerに書き換えてchefをrun → yum update ○ 8点以下のものは必要なものだけ(攻撃容易性とか見て判断)pick upして対応 ■ それ以外は四半期に一度などまとめてupdate こういう運用しています - ①
  • 7.
    © RakSul,Inc. AllRights Reserved. ポイント ● scan対象が毎日変わる(増減する)ので、毎回config.tomlをtemplateから生成 ● scan前にversionlockを解除、終わったら元に戻す ○ 先行ジョブがコケても戻し作業は実施 ● reportはサービス単位(hostnameのprefix)でディレクトリを分割 ○ vulsrepoで別々に見やすくなる こういう運用しています - ②
  • 8.
    © RakSul,Inc. AllRights Reserved. ● 通知周り ○ slack通知をサマリーだけにしたい ■ hostごとに通知が来るとfloodingしてしまう ○ 前日との差分(新規脆弱性)の通知が欲しい → --diffがありました。。。 ■ 毎日チェックしているわけではないのでヤバイものを早く知りたい ● yum対応 ○ changelogの取得などでyumに渡すoptionを定義したい ■ --disablepluginとか--enablerepoとか → いやもうそれあるじゃんみたいなのあれば後で教えてください! こんな機能が欲しいなぁ
  • 9.
    © RakSul,Inc. AllRights Reserved. 仕組みを変えれば、 世界はもっと良くなる。 Our Vision