Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Vuls祭り#3 ラクスル発表資料

1,337 views

Published on

10/19日に開催されたvuls祭り#3での発表資料です。

Published in: Engineering
  • Be the first to comment

  • Be the first to like this

Vuls祭り#3 ラクスル発表資料

  1. 1. © RakSul,Inc. All Rights Reserved. vulsの運用tips紹介と欲しい機能 ラクスル株式会社 渡邉恭平 平成29年10月
  2. 2. © RakSul,Inc. All Rights Reserved. 自己紹介 【名前】  わたなべ きょうへい 【雑な経歴】 ● 外資系SIer → 大手ゲーム会社 → RakSul ● ずっとインフラで、今は社内インフラもやってます ● インフラの移行や受託運用なんかもやってます 【vulsを導入するまでの悩み】 ● 痩せたい ○ 導入したら7㌔痩せました ● 愛犬が可愛くて会社に行きたくない ● 脆弱性対応がつらい インフラエンジニア 渡邉 恭平
  3. 3. © RakSul,Inc. All Rights Reserved. 目次サンプル 3 こういう運用しています 2 1 vulsと出会うまでの私 弊社の環境 こんな機能がほしいなぁ4
  4. 4. © RakSul,Inc. All Rights Reserved. ● twitterを賑わすようなものだったり、新機 能が使いたいときなどにしかupdateはあま り実施せず ● 潜在的な脅威に対する対応はできていな かったと言っても過言ではない ● 対応ホストを一覧するようなものもなかっ たので調査にいちいち時間がかかってい た ● 第二回すだち勉強会でVulsと神戸さんに 出会う vulsと出会うまでの私
  5. 5. © RakSul,Inc. All Rights Reserved. ● (導入経緯などは弊社Tech Blogをご覧頂ければ!) ○ https://tech.raksul.com/2017/09/04/setup-vuls/ ● OS ○ 管理対象は400インスタンス超 ■ scanは25sec、reportが45secほどで終わっている ○ centos7, amazon linux, ubuntuが混在 ○ vuls/vulsrepoはamazon linux上に構築 ■ t2.mediumでscan中でもcpu使用率30%程度です ● 運用 ○ provisioningはchef-serverを利用 ○ 環境の再現性を確保するため、各osでpackageのversionlockを実施 ■ 最初はこれによって脆弱性が検知されてこないことに気づかず無駄な時間を 過ごしました・・・ 弊社の環境
  6. 6. © RakSul,Inc. All Rights Reserved. ● Vuls自体のupdate ○ chefで毎日why-runを回し、gitに更新があればslackに通知 ■ recipeもblogで公開しています ○ → vuls を pullしてきてmakeさせる ● nvd/oval情報の更新 ○ 後述のpipeline内で毎日実行 ● 対応 ○ 週次でVulsRepoを確認し8点以上のものかつ、caseに該当すればすぐに対応計画 (チケット化)を作ってupdateする ■ NotFixedYetがfalseになるまで待つか、自前でbuild ■ yumで言うとversionlock.listをNewPackageVerに書き換えてchefをrun → yum update ○ 8点以下のものは必要なものだけ(攻撃容易性とか見て判断)pick upして対応 ■ それ以外は四半期に一度などまとめてupdate こういう運用しています - ①
  7. 7. © RakSul,Inc. All Rights Reserved. ポイント ● scan対象が毎日変わる(増減する)ので、毎回config.tomlをtemplateから生成 ● scan前にversionlockを解除、終わったら元に戻す ○ 先行ジョブがコケても戻し作業は実施 ● reportはサービス単位(hostnameのprefix)でディレクトリを分割 ○ vulsrepoで別々に見やすくなる こういう運用しています - ②
  8. 8. © RakSul,Inc. All Rights Reserved. ● 通知周り ○ slack通知をサマリーだけにしたい ■ hostごとに通知が来るとfloodingしてしまう ○ 前日との差分(新規脆弱性)の通知が欲しい → --diffがありました。。。 ■ 毎日チェックしているわけではないのでヤバイものを早く知りたい ● yum対応 ○ changelogの取得などでyumに渡すoptionを定義したい ■ --disablepluginとか--enablerepoとか → いやもうそれあるじゃんみたいなのあれば後で教えてください! こんな機能が欲しいなぁ
  9. 9. © RakSul,Inc. All Rights Reserved. 仕組みを変えれば、 世界はもっと良くなる。 Our Vision

×