SlideShare a Scribd company logo

Vuls祭り#3 ラクスル発表資料

Kyohei Watanabe
Kyohei Watanabe

10/19日に開催されたvuls祭り#3での発表資料です。

Engineering
1 of 9
Download to read offline
© RakSul,Inc. All Rights Reserved. vulsの運用tips紹介と欲しい機能 ラクスル株式会社 渡邉恭平 平成29年10月
© RakSul,Inc. All Rights Reserved. 自己紹介 【名前】  わたなべ きょうへい 【雑な経歴】 ● 外資系SIer → 大手ゲーム会社 → RakSul ● ずっとインフラで、今は社内インフラもやってます ● インフラの移行や受託運用なんかもやってます 【vulsを導入するまでの悩み】 ● 痩せたい ○ 導入したら7㌔痩せました ● 愛犬が可愛くて会社に行きたくない ● 脆弱性対応がつらい インフラエンジニア 渡邉 恭平
© RakSul,Inc. All Rights Reserved. 目次サンプル 3 こういう運用しています 2 1 vulsと出会うまでの私 弊社の環境 こんな機能がほしいなぁ4
© RakSul,Inc. All Rights Reserved. ● twitterを賑わすようなものだったり、新機 能が使いたいときなどにしかupdateはあま り実施せず ● 潜在的な脅威に対する対応はできていな かったと言っても過言ではない ● 対応ホストを一覧するようなものもなかっ たので調査にいちいち時間がかかってい た ● 第二回すだち勉強会でVulsと神戸さんに 出会う vulsと出会うまでの私
© RakSul,Inc. All Rights Reserved. ● (導入経緯などは弊社Tech Blogをご覧頂ければ!) ○ https://tech.raksul.com/2017/09/04/setup-vuls/ ● OS ○ 管理対象は400インスタンス超 ■ scanは25sec、reportが45secほどで終わっている ○ centos7, amazon linux, ubuntuが混在 ○ vuls/vulsrepoはamazon linux上に構築 ■ t2.mediumでscan中でもcpu使用率30%程度です ● 運用 ○ provisioningはchef-serverを利用 ○ 環境の再現性を確保するため、各osでpackageのversionlockを実施 ■ 最初はこれによって脆弱性が検知されてこないことに気づかず無駄な時間を 過ごしました・・・ 弊社の環境
© RakSul,Inc. All Rights Reserved. ● Vuls自体のupdate ○ chefで毎日why-runを回し、gitに更新があればslackに通知 ■ recipeもblogで公開しています ○ → vuls を pullしてきてmakeさせる ● nvd/oval情報の更新 ○ 後述のpipeline内で毎日実行 ● 対応 ○ 週次でVulsRepoを確認し8点以上のものかつ、caseに該当すればすぐに対応計画 (チケット化)を作ってupdateする ■ NotFixedYetがfalseになるまで待つか、自前でbuild ■ yumで言うとversionlock.listをNewPackageVerに書き換えてchefをrun → yum update ○ 8点以下のものは必要なものだけ(攻撃容易性とか見て判断)pick upして対応 ■ それ以外は四半期に一度などまとめてupdate こういう運用しています - ①
© RakSul,Inc. All Rights Reserved. ポイント ● scan対象が毎日変わる(増減する)ので、毎回config.tomlをtemplateから生成 ● scan前にversionlockを解除、終わったら元に戻す ○ 先行ジョブがコケても戻し作業は実施 ● reportはサービス単位(hostnameのprefix)でディレクトリを分割 ○ vulsrepoで別々に見やすくなる こういう運用しています - ②
© RakSul,Inc. All Rights Reserved. ● 通知周り ○ slack通知をサマリーだけにしたい ■ hostごとに通知が来るとfloodingしてしまう ○ 前日との差分(新規脆弱性)の通知が欲しい → --diffがありました。。。 ■ 毎日チェックしているわけではないのでヤバイものを早く知りたい ● yum対応 ○ changelogの取得などでyumに渡すoptionを定義したい ■ --disablepluginとか--enablerepoとか → いやもうそれあるじゃんみたいなのあれば後で教えてください! こんな機能が欲しいなぁ
© RakSul,Inc. All Rights Reserved. 仕組みを変えれば、 世界はもっと良くなる。 Our Vision

Recommended

JAWSDAYS2014 Amazon Kinesis for Beginner
JAWSDAYS2014 Amazon Kinesis for BeginnerJAWSDAYS2014 Amazon Kinesis for Beginner
JAWSDAYS2014 Amazon Kinesis for BeginnerToshiyuki Konparu
 
Project Sienaはどうやって動いているか
Project Sienaはどうやって動いているかProject Sienaはどうやって動いているか
Project Sienaはどうやって動いているかYoshitaka Seo
 
社内サーバー購入禁止令から出戻りリモートワークまでの一部始終 20150114 DevLOVE仙台
社内サーバー購入禁止令から出戻りリモートワークまでの一部始終 20150114 DevLOVE仙台社内サーバー購入禁止令から出戻りリモートワークまでの一部始終 20150114 DevLOVE仙台
社内サーバー購入禁止令から出戻りリモートワークまでの一部始終 20150114 DevLOVE仙台Seiji Akatsuka
 
Reserved Instances 活用物語
Reserved Instances 活用物語Reserved Instances 活用物語
Reserved Instances 活用物語Kieko Sakurai
 
NewsPicksでのAWS活用法
NewsPicksでのAWS活用法NewsPicksでのAWS活用法
NewsPicksでのAWS活用法Wataru Kinoshita
 
Aws Clound Roadshow 2014 LT
Aws Clound Roadshow 2014 LTAws Clound Roadshow 2014 LT
Aws Clound Roadshow 2014 LTTomoharu Ito
 
jazug信州 オートメーションと可用性セットの話
jazug信州 オートメーションと可用性セットの話jazug信州 オートメーションと可用性セットの話
jazug信州 オートメーションと可用性セットの話Tsubasa Yoshino
 
20141017 あなたのword pressに捧げる3つの法要
20141017 あなたのword pressに捧げる3つの法要20141017 あなたのword pressに捧げる3つの法要
20141017 あなたのword pressに捧げる3つの法要Seiji Akatsuka
 

Recommended

JAWSDAYS2014 Amazon Kinesis for Beginner
JAWSDAYS2014 Amazon Kinesis for BeginnerJAWSDAYS2014 Amazon Kinesis for Beginner
JAWSDAYS2014 Amazon Kinesis for BeginnerToshiyuki Konparu
 
Project Sienaはどうやって動いているか
Project Sienaはどうやって動いているかProject Sienaはどうやって動いているか
Project Sienaはどうやって動いているかYoshitaka Seo
 
社内サーバー購入禁止令から出戻りリモートワークまでの一部始終 20150114 DevLOVE仙台
社内サーバー購入禁止令から出戻りリモートワークまでの一部始終 20150114 DevLOVE仙台社内サーバー購入禁止令から出戻りリモートワークまでの一部始終 20150114 DevLOVE仙台
社内サーバー購入禁止令から出戻りリモートワークまでの一部始終 20150114 DevLOVE仙台Seiji Akatsuka
 
Reserved Instances 活用物語
Reserved Instances 活用物語Reserved Instances 活用物語
Reserved Instances 活用物語Kieko Sakurai
 
NewsPicksでのAWS活用法
NewsPicksでのAWS活用法NewsPicksでのAWS活用法
NewsPicksでのAWS活用法Wataru Kinoshita
 
Aws Clound Roadshow 2014 LT
Aws Clound Roadshow 2014 LTAws Clound Roadshow 2014 LT
Aws Clound Roadshow 2014 LTTomoharu Ito
 
jazug信州 オートメーションと可用性セットの話
jazug信州 オートメーションと可用性セットの話jazug信州 オートメーションと可用性セットの話
jazug信州 オートメーションと可用性セットの話Tsubasa Yoshino
 
20141017 あなたのword pressに捧げる3つの法要
20141017 あなたのword pressに捧げる3つの法要20141017 あなたのword pressに捧げる3つの法要
20141017 あなたのword pressに捧げる3つの法要Seiji Akatsuka
 
SWTT2016 Salesforce × Azure machine learning
SWTT2016 Salesforce × Azure machine learning SWTT2016 Salesforce × Azure machine learning
SWTT2016 Salesforce × Azure machine learning Ikou Sanuki
 
社内でアジャイルと出会った新卒2年目がインフラ部隊でタスク可視化をやってみた話
社内でアジャイルと出会った新卒2年目がインフラ部隊でタスク可視化をやってみた話社内でアジャイルと出会った新卒2年目がインフラ部隊でタスク可視化をやってみた話
社内でアジャイルと出会った新卒2年目がインフラ部隊でタスク可視化をやってみた話Masayuki Ueda
 
Introduction of-aws-well-architected
Introduction of-aws-well-architectedIntroduction of-aws-well-architected
Introduction of-aws-well-architectedShota Tsuge
 
SPEEDAインフラ運営
SPEEDAインフラ運営SPEEDAインフラ運営
SPEEDAインフラ運営yasushi_kanaya
 
20151017 jaws-ug長岡#2-本気な貴方に贈るawsことはじめ
20151017 jaws-ug長岡#2-本気な貴方に贈るawsことはじめ20151017 jaws-ug長岡#2-本気な貴方に贈るawsことはじめ
20151017 jaws-ug長岡#2-本気な貴方に贈るawsことはじめSeiji Akatsuka
 
ぶっちゃけAIPスキャナってどうよ?~AIPスキャナ検証録~
ぶっちゃけAIPスキャナってどうよ?~AIPスキャナ検証録~ぶっちゃけAIPスキャナってどうよ?~AIPスキャナ検証録~
ぶっちゃけAIPスキャナってどうよ?~AIPスキャナ検証録~Akito Katsumata
 
スタートアップにjoinして1年間の変化を振り返る
スタートアップにjoinして1年間の変化を振り返るスタートアップにjoinして1年間の変化を振り返る
スタートアップにjoinして1年間の変化を振り返るMasashi Ogawa
 
AWS in Kansai(JAWS-UG山形2013.09.07)
AWS in Kansai(JAWS-UG山形2013.09.07)AWS in Kansai(JAWS-UG山形2013.09.07)
AWS in Kansai(JAWS-UG山形2013.09.07)Toshiyuki Konparu
 
AWS関連のブログを書いてて山ほど得したこと
AWS関連のブログを書いてて山ほど得したことAWS関連のブログを書いてて山ほど得したこと
AWS関連のブログを書いてて山ほど得したことMitsuhiro Yamashita
 
40まで開発のリーダーだった男がインフラの運用のリーダー(見習い)になってみて
40まで開発のリーダーだった男がインフラの運用のリーダー(見習い)になってみて40まで開発のリーダーだった男がインフラの運用のリーダー(見習い)になってみて
40まで開発のリーダーだった男がインフラの運用のリーダー(見習い)になってみてHiroyuki Hiki
 
知っておいて損はない AWS法務関連
知っておいて損はない AWS法務関連知っておいて損はない AWS法務関連
知っておいて損はない AWS法務関連Kieko Sakurai
 
150704 イノベーションエッグ第4回 umekita_force活動報告
150704 イノベーションエッグ第4回 umekita_force活動報告150704 イノベーションエッグ第4回 umekita_force活動報告
150704 イノベーションエッグ第4回 umekita_force活動報告Naoya Shiraishi
 
20150606 jaws ug愛媛-aws麻雀
20150606 jaws ug愛媛-aws麻雀20150606 jaws ug愛媛-aws麻雀
20150606 jaws ug愛媛-aws麻雀Shinya Yamada
 
クラウドの一歩 WordPressでAWSを乗りこなせ
クラウドの一歩 WordPressでAWSを乗りこなせ クラウドの一歩 WordPressでAWSを乗りこなせ
クラウドの一歩 WordPressでAWSを乗りこなせ Seiji Akatsuka
 
Iret tech labo#5 ブログから学ぶサーバレスの作り方
Iret tech labo#5 ブログから学ぶサーバレスの作り方Iret tech labo#5 ブログから学ぶサーバレスの作り方
Iret tech labo#5 ブログから学ぶサーバレスの作り方TakaakiNiikawa
 
さくらのVPSで初期設定をChefでやってみた〜こんなはずじゃなかった〜
さくらのVPSで初期設定をChefでやってみた〜こんなはずじゃなかった〜さくらのVPSで初期設定をChefでやってみた〜こんなはずじゃなかった〜
さくらのVPSで初期設定をChefでやってみた〜こんなはずじゃなかった〜Terui Masashi
 
サーバレスでやったこと2018
サーバレスでやったこと2018サーバレスでやったこと2018
サーバレスでやったこと2018Masayuki Sakamoto
 
JAWS-UG開催情報 20170125-8th初心者支部
JAWS-UG開催情報 20170125-8th初心者支部JAWS-UG開催情報 20170125-8th初心者支部
JAWS-UG開催情報 20170125-8th初心者支部由佳 青木
 
20160402_Awsで簡単実装cmsサイト
20160402_Awsで簡単実装cmsサイト20160402_Awsで簡単実装cmsサイト
20160402_Awsで簡単実装cmsサイトTsukasa Kato
 
Vuls祭りvol3
Vuls祭りvol3Vuls祭りvol3
Vuls祭りvol3hogehuga
 
3000台のサーバーを毎日vulsでスキャンしてRedmineでチケット管理した話
3000台のサーバーを毎日vulsでスキャンしてRedmineでチケット管理した話3000台のサーバーを毎日vulsでスキャンしてRedmineでチケット管理した話
3000台のサーバーを毎日vulsでスキャンしてRedmineでチケット管理した話Rie Watanabe
 
20170731 Arukikata! -IT Exhibition walking project-
20170731 Arukikata! -IT Exhibition walking project-20170731 Arukikata! -IT Exhibition walking project-
20170731 Arukikata! -IT Exhibition walking project-Typhon 666
 

More Related Content

What's hot

SWTT2016 Salesforce × Azure machine learning
SWTT2016 Salesforce × Azure machine learning SWTT2016 Salesforce × Azure machine learning
SWTT2016 Salesforce × Azure machine learning Ikou Sanuki
 
社内でアジャイルと出会った新卒2年目がインフラ部隊でタスク可視化をやってみた話
社内でアジャイルと出会った新卒2年目がインフラ部隊でタスク可視化をやってみた話社内でアジャイルと出会った新卒2年目がインフラ部隊でタスク可視化をやってみた話
社内でアジャイルと出会った新卒2年目がインフラ部隊でタスク可視化をやってみた話Masayuki Ueda
 
Introduction of-aws-well-architected
Introduction of-aws-well-architectedIntroduction of-aws-well-architected
Introduction of-aws-well-architectedShota Tsuge
 
SPEEDAインフラ運営
SPEEDAインフラ運営SPEEDAインフラ運営
SPEEDAインフラ運営yasushi_kanaya
 
20151017 jaws-ug長岡#2-本気な貴方に贈るawsことはじめ
20151017 jaws-ug長岡#2-本気な貴方に贈るawsことはじめ20151017 jaws-ug長岡#2-本気な貴方に贈るawsことはじめ
20151017 jaws-ug長岡#2-本気な貴方に贈るawsことはじめSeiji Akatsuka
 
ぶっちゃけAIPスキャナってどうよ?~AIPスキャナ検証録~
ぶっちゃけAIPスキャナってどうよ?~AIPスキャナ検証録~ぶっちゃけAIPスキャナってどうよ?~AIPスキャナ検証録~
ぶっちゃけAIPスキャナってどうよ?~AIPスキャナ検証録~Akito Katsumata
 
スタートアップにjoinして1年間の変化を振り返る
スタートアップにjoinして1年間の変化を振り返るスタートアップにjoinして1年間の変化を振り返る
スタートアップにjoinして1年間の変化を振り返るMasashi Ogawa
 
AWS in Kansai(JAWS-UG山形2013.09.07)
AWS in Kansai(JAWS-UG山形2013.09.07)AWS in Kansai(JAWS-UG山形2013.09.07)
AWS in Kansai(JAWS-UG山形2013.09.07)Toshiyuki Konparu
 
AWS関連のブログを書いてて山ほど得したこと
AWS関連のブログを書いてて山ほど得したことAWS関連のブログを書いてて山ほど得したこと
AWS関連のブログを書いてて山ほど得したことMitsuhiro Yamashita
 
40まで開発のリーダーだった男がインフラの運用のリーダー(見習い)になってみて
40まで開発のリーダーだった男がインフラの運用のリーダー(見習い)になってみて40まで開発のリーダーだった男がインフラの運用のリーダー(見習い)になってみて
40まで開発のリーダーだった男がインフラの運用のリーダー(見習い)になってみてHiroyuki Hiki
 
知っておいて損はない AWS法務関連
知っておいて損はない AWS法務関連知っておいて損はない AWS法務関連
知っておいて損はない AWS法務関連Kieko Sakurai
 
150704 イノベーションエッグ第4回 umekita_force活動報告
150704 イノベーションエッグ第4回 umekita_force活動報告150704 イノベーションエッグ第4回 umekita_force活動報告
150704 イノベーションエッグ第4回 umekita_force活動報告Naoya Shiraishi
 
20150606 jaws ug愛媛-aws麻雀
20150606 jaws ug愛媛-aws麻雀20150606 jaws ug愛媛-aws麻雀
20150606 jaws ug愛媛-aws麻雀Shinya Yamada
 
クラウドの一歩 WordPressでAWSを乗りこなせ
クラウドの一歩 WordPressでAWSを乗りこなせ クラウドの一歩 WordPressでAWSを乗りこなせ
クラウドの一歩 WordPressでAWSを乗りこなせ Seiji Akatsuka
 
Iret tech labo#5 ブログから学ぶサーバレスの作り方
Iret tech labo#5 ブログから学ぶサーバレスの作り方Iret tech labo#5 ブログから学ぶサーバレスの作り方
Iret tech labo#5 ブログから学ぶサーバレスの作り方TakaakiNiikawa
 
さくらのVPSで初期設定をChefでやってみた〜こんなはずじゃなかった〜
さくらのVPSで初期設定をChefでやってみた〜こんなはずじゃなかった〜さくらのVPSで初期設定をChefでやってみた〜こんなはずじゃなかった〜
さくらのVPSで初期設定をChefでやってみた〜こんなはずじゃなかった〜Terui Masashi
 
サーバレスでやったこと2018
サーバレスでやったこと2018サーバレスでやったこと2018
サーバレスでやったこと2018Masayuki Sakamoto
 
JAWS-UG開催情報 20170125-8th初心者支部
JAWS-UG開催情報 20170125-8th初心者支部JAWS-UG開催情報 20170125-8th初心者支部
JAWS-UG開催情報 20170125-8th初心者支部由佳 青木
 
20160402_Awsで簡単実装cmsサイト
20160402_Awsで簡単実装cmsサイト20160402_Awsで簡単実装cmsサイト
20160402_Awsで簡単実装cmsサイトTsukasa Kato
 

What's hot (19)

SWTT2016 Salesforce × Azure machine learning
SWTT2016 Salesforce × Azure machine learning SWTT2016 Salesforce × Azure machine learning
SWTT2016 Salesforce × Azure machine learning
 
社内でアジャイルと出会った新卒2年目がインフラ部隊でタスク可視化をやってみた話
社内でアジャイルと出会った新卒2年目がインフラ部隊でタスク可視化をやってみた話社内でアジャイルと出会った新卒2年目がインフラ部隊でタスク可視化をやってみた話
社内でアジャイルと出会った新卒2年目がインフラ部隊でタスク可視化をやってみた話
 
Introduction of-aws-well-architected
Introduction of-aws-well-architectedIntroduction of-aws-well-architected
Introduction of-aws-well-architected
 
SPEEDAインフラ運営
SPEEDAインフラ運営SPEEDAインフラ運営
SPEEDAインフラ運営
 
20151017 jaws-ug長岡#2-本気な貴方に贈るawsことはじめ
20151017 jaws-ug長岡#2-本気な貴方に贈るawsことはじめ20151017 jaws-ug長岡#2-本気な貴方に贈るawsことはじめ
20151017 jaws-ug長岡#2-本気な貴方に贈るawsことはじめ
 
ぶっちゃけAIPスキャナってどうよ?~AIPスキャナ検証録~
ぶっちゃけAIPスキャナってどうよ?~AIPスキャナ検証録~ぶっちゃけAIPスキャナってどうよ?~AIPスキャナ検証録~
ぶっちゃけAIPスキャナってどうよ?~AIPスキャナ検証録~
 
スタートアップにjoinして1年間の変化を振り返る
スタートアップにjoinして1年間の変化を振り返るスタートアップにjoinして1年間の変化を振り返る
スタートアップにjoinして1年間の変化を振り返る
 
AWS in Kansai(JAWS-UG山形2013.09.07)
AWS in Kansai(JAWS-UG山形2013.09.07)AWS in Kansai(JAWS-UG山形2013.09.07)
AWS in Kansai(JAWS-UG山形2013.09.07)
 
AWS関連のブログを書いてて山ほど得したこと
AWS関連のブログを書いてて山ほど得したことAWS関連のブログを書いてて山ほど得したこと
AWS関連のブログを書いてて山ほど得したこと
 
40まで開発のリーダーだった男がインフラの運用のリーダー(見習い)になってみて
40まで開発のリーダーだった男がインフラの運用のリーダー(見習い)になってみて40まで開発のリーダーだった男がインフラの運用のリーダー(見習い)になってみて
40まで開発のリーダーだった男がインフラの運用のリーダー(見習い)になってみて
 
知っておいて損はない AWS法務関連
知っておいて損はない AWS法務関連知っておいて損はない AWS法務関連
知っておいて損はない AWS法務関連
 
150704 イノベーションエッグ第4回 umekita_force活動報告
150704 イノベーションエッグ第4回 umekita_force活動報告150704 イノベーションエッグ第4回 umekita_force活動報告
150704 イノベーションエッグ第4回 umekita_force活動報告
 
20150606 jaws ug愛媛-aws麻雀
20150606 jaws ug愛媛-aws麻雀20150606 jaws ug愛媛-aws麻雀
20150606 jaws ug愛媛-aws麻雀
 
クラウドの一歩 WordPressでAWSを乗りこなせ
クラウドの一歩 WordPressでAWSを乗りこなせ クラウドの一歩 WordPressでAWSを乗りこなせ
クラウドの一歩 WordPressでAWSを乗りこなせ
 
Iret tech labo#5 ブログから学ぶサーバレスの作り方
Iret tech labo#5 ブログから学ぶサーバレスの作り方Iret tech labo#5 ブログから学ぶサーバレスの作り方
Iret tech labo#5 ブログから学ぶサーバレスの作り方
 
さくらのVPSで初期設定をChefでやってみた〜こんなはずじゃなかった〜
さくらのVPSで初期設定をChefでやってみた〜こんなはずじゃなかった〜さくらのVPSで初期設定をChefでやってみた〜こんなはずじゃなかった〜
さくらのVPSで初期設定をChefでやってみた〜こんなはずじゃなかった〜
 
サーバレスでやったこと2018
サーバレスでやったこと2018サーバレスでやったこと2018
サーバレスでやったこと2018
 
JAWS-UG開催情報 20170125-8th初心者支部
JAWS-UG開催情報 20170125-8th初心者支部JAWS-UG開催情報 20170125-8th初心者支部
JAWS-UG開催情報 20170125-8th初心者支部
 
20160402_Awsで簡単実装cmsサイト
20160402_Awsで簡単実装cmsサイト20160402_Awsで簡単実装cmsサイト
20160402_Awsで簡単実装cmsサイト
 

Viewers also liked

Vuls祭りvol3
Vuls祭りvol3Vuls祭りvol3
Vuls祭りvol3hogehuga
 
3000台のサーバーを毎日vulsでスキャンしてRedmineでチケット管理した話
3000台のサーバーを毎日vulsでスキャンしてRedmineでチケット管理した話3000台のサーバーを毎日vulsでスキャンしてRedmineでチケット管理した話
3000台のサーバーを毎日vulsでスキャンしてRedmineでチケット管理した話Rie Watanabe
 
20170731 Arukikata! -IT Exhibition walking project-
20170731 Arukikata! -IT Exhibition walking project-20170731 Arukikata! -IT Exhibition walking project-
20170731 Arukikata! -IT Exhibition walking project-Typhon 666
 
脆弱性診断データの活用例 - Webアプリケーション診断編 -
脆弱性診断データの活用例 - Webアプリケーション診断編 -脆弱性診断データの活用例 - Webアプリケーション診断編 -
脆弱性診断データの活用例 - Webアプリケーション診断編 -Isao Takaesu
 
標的型攻撃からどのように身を守るのか
標的型攻撃からどのように身を守るのか標的型攻撃からどのように身を守るのか
標的型攻撃からどのように身を守るのかabend_cve_9999_0001
 
シリコンバレーの「何が」凄いのか
シリコンバレーの「何が」凄いのかシリコンバレーの「何が」凄いのか
シリコンバレーの「何が」凄いのかAtsushi Nakada
 

Viewers also liked (6)

Vuls祭りvol3
Vuls祭りvol3Vuls祭りvol3
Vuls祭りvol3
 
3000台のサーバーを毎日vulsでスキャンしてRedmineでチケット管理した話
3000台のサーバーを毎日vulsでスキャンしてRedmineでチケット管理した話3000台のサーバーを毎日vulsでスキャンしてRedmineでチケット管理した話
3000台のサーバーを毎日vulsでスキャンしてRedmineでチケット管理した話
 
20170731 Arukikata! -IT Exhibition walking project-
20170731 Arukikata! -IT Exhibition walking project-20170731 Arukikata! -IT Exhibition walking project-
20170731 Arukikata! -IT Exhibition walking project-
 
脆弱性診断データの活用例 - Webアプリケーション診断編 -
脆弱性診断データの活用例 - Webアプリケーション診断編 -脆弱性診断データの活用例 - Webアプリケーション診断編 -
脆弱性診断データの活用例 - Webアプリケーション診断編 -
 
標的型攻撃からどのように身を守るのか
標的型攻撃からどのように身を守るのか標的型攻撃からどのように身を守るのか
標的型攻撃からどのように身を守るのか
 
シリコンバレーの「何が」凄いのか
シリコンバレーの「何が」凄いのかシリコンバレーの「何が」凄いのか
シリコンバレーの「何が」凄いのか
 

Similar to Vuls祭り#3 ラクスル発表資料

インフラエンジニアのお仕事 ~ daemontools から systemdに乗り換えた話 ~
インフラエンジニアのお仕事 ~ daemontools から systemdに乗り換えた話 ~インフラエンジニアのお仕事 ~ daemontools から systemdに乗り換えた話 ~
インフラエンジニアのお仕事 ~ daemontools から systemdに乗り換えた話 ~KLab Inc. / Tech
 
Global Azure Bootcamp 2019@Tokyo資料【ExpressRoute構築でハメられた】
Global Azure Bootcamp 2019@Tokyo資料【ExpressRoute構築でハメられた】Global Azure Bootcamp 2019@Tokyo資料【ExpressRoute構築でハメられた】
Global Azure Bootcamp 2019@Tokyo資料【ExpressRoute構築でハメられた】Dai Iwai
 
もくだいさんうるのさんのみなさんの知らないおススメ機能
もくだいさんうるのさんのみなさんの知らないおススメ機能もくだいさんうるのさんのみなさんの知らないおススメ機能
もくだいさんうるのさんのみなさんの知らないおススメ機能mokudai masayuki
 
もくだいさん&うるのさんのみんなの知らないOffice365おススメ機能を教えます
もくだいさん&うるのさんのみんなの知らないOffice365おススメ機能を教えますもくだいさん&うるのさんのみんなの知らないOffice365おススメ機能を教えます
もくだいさん&うるのさんのみんなの知らないOffice365おススメ機能を教えますAyako Uruno
 
Japan Dreamin'2019 QSD発表資料
Japan Dreamin'2019 QSD発表資料Japan Dreamin'2019 QSD発表資料
Japan Dreamin'2019 QSD発表資料Hayai Hirokazu
 
JAZUG 8周年イベント登壇資料
JAZUG 8周年イベント登壇資料JAZUG 8周年イベント登壇資料
JAZUG 8周年イベント登壇資料Dai Iwai
 
2014-10-17 「“A9共催! AWSプロダクトシリーズ よくわかる AWS CloudSearch” スクーでのCloudSearch利用実例」
2014-10-17 「“A9共催! AWSプロダクトシリーズ よくわかる AWS CloudSearch” スクーでのCloudSearch利用実例」2014-10-17 「“A9共催! AWSプロダクトシリーズ よくわかる AWS CloudSearch” スクーでのCloudSearch利用実例」
2014-10-17 「“A9共催! AWSプロダクトシリーズ よくわかる AWS CloudSearch” スクーでのCloudSearch利用実例」Hiromitsu Ito
 

Similar to Vuls祭り#3 ラクスル発表資料 (7)

インフラエンジニアのお仕事 ~ daemontools から systemdに乗り換えた話 ~
インフラエンジニアのお仕事 ~ daemontools から systemdに乗り換えた話 ~インフラエンジニアのお仕事 ~ daemontools から systemdに乗り換えた話 ~
インフラエンジニアのお仕事 ~ daemontools から systemdに乗り換えた話 ~
 
Global Azure Bootcamp 2019@Tokyo資料【ExpressRoute構築でハメられた】
Global Azure Bootcamp 2019@Tokyo資料【ExpressRoute構築でハメられた】Global Azure Bootcamp 2019@Tokyo資料【ExpressRoute構築でハメられた】
Global Azure Bootcamp 2019@Tokyo資料【ExpressRoute構築でハメられた】
 
もくだいさんうるのさんのみなさんの知らないおススメ機能
もくだいさんうるのさんのみなさんの知らないおススメ機能もくだいさんうるのさんのみなさんの知らないおススメ機能
もくだいさんうるのさんのみなさんの知らないおススメ機能
 
もくだいさん&うるのさんのみんなの知らないOffice365おススメ機能を教えます
もくだいさん&うるのさんのみんなの知らないOffice365おススメ機能を教えますもくだいさん&うるのさんのみんなの知らないOffice365おススメ機能を教えます
もくだいさん&うるのさんのみんなの知らないOffice365おススメ機能を教えます
 
Japan Dreamin'2019 QSD発表資料
Japan Dreamin'2019 QSD発表資料Japan Dreamin'2019 QSD発表資料
Japan Dreamin'2019 QSD発表資料
 
JAZUG 8周年イベント登壇資料
JAZUG 8周年イベント登壇資料JAZUG 8周年イベント登壇資料
JAZUG 8周年イベント登壇資料
 
2014-10-17 「“A9共催! AWSプロダクトシリーズ よくわかる AWS CloudSearch” スクーでのCloudSearch利用実例」
2014-10-17 「“A9共催! AWSプロダクトシリーズ よくわかる AWS CloudSearch” スクーでのCloudSearch利用実例」2014-10-17 「“A9共催! AWSプロダクトシリーズ よくわかる AWS CloudSearch” スクーでのCloudSearch利用実例」
2014-10-17 「“A9共催! AWSプロダクトシリーズ よくわかる AWS CloudSearch” スクーでのCloudSearch利用実例」
 

Vuls祭り#3 ラクスル発表資料

  • 1. © RakSul,Inc. All Rights Reserved. vulsの運用tips紹介と欲しい機能 ラクスル株式会社 渡邉恭平 平成29年10月
  • 2. © RakSul,Inc. All Rights Reserved. 自己紹介 【名前】  わたなべ きょうへい 【雑な経歴】 ● 外資系SIer → 大手ゲーム会社 → RakSul ● ずっとインフラで、今は社内インフラもやってます ● インフラの移行や受託運用なんかもやってます 【vulsを導入するまでの悩み】 ● 痩せたい ○ 導入したら7㌔痩せました ● 愛犬が可愛くて会社に行きたくない ● 脆弱性対応がつらい インフラエンジニア 渡邉 恭平
  • 3. © RakSul,Inc. All Rights Reserved. 目次サンプル 3 こういう運用しています 2 1 vulsと出会うまでの私 弊社の環境 こんな機能がほしいなぁ4
  • 4. © RakSul,Inc. All Rights Reserved. ● twitterを賑わすようなものだったり、新機 能が使いたいときなどにしかupdateはあま り実施せず ● 潜在的な脅威に対する対応はできていな かったと言っても過言ではない ● 対応ホストを一覧するようなものもなかっ たので調査にいちいち時間がかかってい た ● 第二回すだち勉強会でVulsと神戸さんに 出会う vulsと出会うまでの私
  • 5. © RakSul,Inc. All Rights Reserved. ● (導入経緯などは弊社Tech Blogをご覧頂ければ!) ○ https://tech.raksul.com/2017/09/04/setup-vuls/ ● OS ○ 管理対象は400インスタンス超 ■ scanは25sec、reportが45secほどで終わっている ○ centos7, amazon linux, ubuntuが混在 ○ vuls/vulsrepoはamazon linux上に構築 ■ t2.mediumでscan中でもcpu使用率30%程度です ● 運用 ○ provisioningはchef-serverを利用 ○ 環境の再現性を確保するため、各osでpackageのversionlockを実施 ■ 最初はこれによって脆弱性が検知されてこないことに気づかず無駄な時間を 過ごしました・・・ 弊社の環境
  • 6. © RakSul,Inc. All Rights Reserved. ● Vuls自体のupdate ○ chefで毎日why-runを回し、gitに更新があればslackに通知 ■ recipeもblogで公開しています ○ → vuls を pullしてきてmakeさせる ● nvd/oval情報の更新 ○ 後述のpipeline内で毎日実行 ● 対応 ○ 週次でVulsRepoを確認し8点以上のものかつ、caseに該当すればすぐに対応計画 (チケット化)を作ってupdateする ■ NotFixedYetがfalseになるまで待つか、自前でbuild ■ yumで言うとversionlock.listをNewPackageVerに書き換えてchefをrun → yum update ○ 8点以下のものは必要なものだけ(攻撃容易性とか見て判断)pick upして対応 ■ それ以外は四半期に一度などまとめてupdate こういう運用しています - ①
  • 7. © RakSul,Inc. All Rights Reserved. ポイント ● scan対象が毎日変わる(増減する)ので、毎回config.tomlをtemplateから生成 ● scan前にversionlockを解除、終わったら元に戻す ○ 先行ジョブがコケても戻し作業は実施 ● reportはサービス単位(hostnameのprefix)でディレクトリを分割 ○ vulsrepoで別々に見やすくなる こういう運用しています - ②
  • 8. © RakSul,Inc. All Rights Reserved. ● 通知周り ○ slack通知をサマリーだけにしたい ■ hostごとに通知が来るとfloodingしてしまう ○ 前日との差分(新規脆弱性)の通知が欲しい → --diffがありました。。。 ■ 毎日チェックしているわけではないのでヤバイものを早く知りたい ● yum対応 ○ changelogの取得などでyumに渡すoptionを定義したい ■ --disablepluginとか--enablerepoとか → いやもうそれあるじゃんみたいなのあれば後で教えてください! こんな機能が欲しいなぁ
  • 9. © RakSul,Inc. All Rights Reserved. 仕組みを変えれば、 世界はもっと良くなる。 Our Vision