VirtualTech Japan Inc., profile picture
Uploaded byVirtualTech Japan Inc.
PPTX, PDF2,674 views

サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)

サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月) 講師:岩本 裕真(BBT) アジェンダ: - 皆さんはサーバの脆弱性管理をどのように行っていますか? - demo

Embed presentation

Downloaded 33 times
サーバーの脆弱性管理に関して 株式会社ブロードバンドタワー Cloud&SDN研究所 岩本裕真
自己紹介 2016/12/1 All rights reserved. ©BroadBand Tower, Inc. 2016 2 2015年4月 株式会社ブロードバンドタワー入社 Cloud&SDN研究所 所属 当社クラウド系新規サービス開発・構築・運用 時々IoTやっています。 Interop 2014・2016 STM参加 学生時代は、データセンターネットワークの無線化に関する研究をしていまし た。
皆さんはサーバの脆弱性管理を どのように行っていますか? 3
OpenStackのセキュリティ問題 2016/12/1 All rights reserved. ©BroadBand Tower, Inc. 2016 4 「OpenStack 脆弱性」とグーグル検索すると多くの脆弱性情報がヒットする。 例
よくある脆弱性の管理 2016/12/1 All rights reserved. ©BroadBand Tower, Inc. 2016 5 Excel・スプレッドシート等の表計算ソフト これがおおい? てきとーに管理(管理できてない) 学術系とか個人とかに多い!? 自社開発ソフトによる自社運用 開発力のある会社では、やっている。
2016/12/1 All rights reserved. ©BroadBand Tower, Inc. 2016 6 OpenStackには、各サーバの脆弱性情報を管理する ための機能がない。
オープンソース脆弱性管理ソフトウェア Vuls 2016/12/1 All rights reserved. ©BroadBand Tower, Inc. 2016 7 vuls(VULnerability Scanner) フューチャーアーキテクトが開発 オープンソースソフトウェア https://github.com/future-architect/vuls Go言語で実装 Linux・BSDのディストリビューションを問わずスキャン可能 エージェントレススキャン SSH経由 メール・Slack連携が可能 ブラウザから可視化された表で管理できる。 表のパラメータの操作が可能。
2016/12/1 All rights reserved. ©BroadBand Tower, Inc. 2016 8 低コストに組織内シーサート(Internal CSIRT)運用することが できる。
CUIよる可視化の例 2016/12/1 All rights reserved. ©BroadBand Tower, Inc. 2016 9
ブラウザによる可視化の例 2016/12/1 All rights reserved. ©BroadBand Tower, Inc. 2016 10
どのように運用するか 2016/12/1 All rights reserved. ©BroadBand Tower, Inc. 2016 11 構築方法・現状のシステムへの組み込み。 スキャン対象までのリーチャビリティがあるマシンにvulsをインストール スキャン対象に対してスキャン用のアカウントを作成しておく。 スキャンの際にパッケージ管理ソフトを用いるのでroot権限が必要となる。 (/etc/sudoersにnonpasswdの設定することを推奨されています) vulsサーバから鍵認証でログイン可能にしておく。 Ansible等の構成管理ツールを用いれば運用中のサーバにも一括で適応可能である。
どのように運用するか 2016/12/1 All rights reserved. ©BroadBand Tower, Inc. 2016 12 任意のサイクルで以下上から順番に実行 go-cve-dictionaryの更新 vuls自体の更新 CVE情報を更新 スキャン開始 結果をslackに送信 WebまたはSlackで確認 ※Slackに送る際には、スキャン結果が多すぎるとSlack側で弾くかれてしまうの でCVSSスコアでフィルタする。(展望)
デモ 13
デモ環境 2016/12/1 All rights reserved. ©BroadBand Tower, Inc. 2016 14 検証用コンピュートノード・コントローラーノードに対してスキャン スキャン結果をslackへ送信・確認 compute 2台 controller 2台 スキャン&可視化サーバ 172.28.1.219 172.28.1.62 172.28.1.63 172.28.1.65 172.28.1.66
感じた事 2016/12/1 All rights reserved. ©BroadBand Tower, Inc. 2016 15 GUIも非常に見やすく簡単に集約管理が行えるのでとても便利。 Vulsは、パスワードを用いたSSH通信の管理をサポートしていないので鍵ベー スの認証管理をすることを求められている。 ルート権限を与えるので秘密鍵の管理が非常に重要となる。 会社の認証に関するセキュリティポリシーに適応できるか。 Slackへの送信で結果の表示が多すぎるとSlackで弾かれてしまう より情報を圧縮した形式でSlackに送る実装もしくは、間引いて送る事が求められる。 有料版でもCVSSスコアでフィルタリングしないと厳しい。 現状の逃げ道は、メールで結果を送信する。
Appendix
参考サイト 2016/12/1 All rights reserved. ©BroadBand Tower, Inc. 2016 17 vuls https://github.com/future-architect/vuls vulsrepo https://github.com/usiusi360/vulsrepo slack連携 https://blog.animereview.jp/vuls/
スクリプト 2016/12/1 All rights reserved. ©BroadBand Tower, Inc. 2016 18 OpenStack-Labのgithub URL Ubuntu14.04用インストールスクリプト https://github.com/yuma-bbt/vuls_install_script cronスクリプト https://github.com/openstack-lab/vuls_install_script/blob/master/cron_script.sh 参考コンフィグファイル https://github.com/openstack-lab/vuls_install_script/blob/master/config.toml
2016/12/1All rights reserved. © BroadBand Tower, Inc. 2016 19

More Related Content

PDF
クラウド運用のベストプラクティスを考える - OpenStack最新情報セミナー(2016年12月)
byVirtualTech Japan Inc.
 
PDF
CD(継続的デリバリー)手法を用いたサーバシステム構築の自動化 - OpenStack最新情報セミナー(2016年12月)
byVirtualTech Japan Inc.
 
PDF
Accelerate SDN/NFV Network ~ネットワーク高速化のアレコレ~ - OpenStack最新情報セミナー 2016年3月
byVirtualTech Japan Inc.
 
PPTX
明日から試せる!ソフトウエアベースストレージ「ScaleIO」のご紹介 - OpenStack最新情報セミナー 2015年9月
byVirtualTech Japan Inc.
 
PPTX
OpenStackを使用するメリット
byミランティスジャパン株式会社
 
PDF
実用段階に入ったOpenStack ~ もうすぐ絶滅するというPrivate Cloudの多様性について ~
byRakuten Group, Inc.
 
PPTX
サイバーエージェント様 発表「OpenStackのNWと物理の話」
byVirtualTech Japan Inc.
 
PDF
OpenStackに必要な技術スキルとは
byミランティスジャパン株式会社
 
クラウド運用のベストプラクティスを考える - OpenStack最新情報セミナー(2016年12月)
byVirtualTech Japan Inc.
 
CD(継続的デリバリー)手法を用いたサーバシステム構築の自動化 - OpenStack最新情報セミナー(2016年12月)
byVirtualTech Japan Inc.
 
Accelerate SDN/NFV Network ~ネットワーク高速化のアレコレ~ - OpenStack最新情報セミナー 2016年3月
byVirtualTech Japan Inc.
 
明日から試せる!ソフトウエアベースストレージ「ScaleIO」のご紹介 - OpenStack最新情報セミナー 2015年9月
byVirtualTech Japan Inc.
 
OpenStackを使用するメリット
byミランティスジャパン株式会社
 
実用段階に入ったOpenStack ~ もうすぐ絶滅するというPrivate Cloudの多様性について ~
byRakuten Group, Inc.
 
サイバーエージェント様 発表「OpenStackのNWと物理の話」
byVirtualTech Japan Inc.
 
OpenStackに必要な技術スキルとは
byミランティスジャパン株式会社
 

What's hot

PDF
Ubuntu Juju/MAAS・OpenStackを使った検証環境構築 - OpenStack最新情報セミナー 2016年3月
byVirtualTech Japan Inc.
 
PDF
StackStorm で実現する、複数システムに対する統一インターフェイス提供と運用一元化の取り組み - OpenStack最新情報セミナー(2017年3月)
byVirtualTech Japan Inc.
 
PDF
OpenStack批評 2015
byMasahiro Nakazato
 
PPTX
DeNAがオンプレでこれからやろうとしてること - OpenStack最新情報セミナー 2015年12月
byVirtualTech Japan Inc.
 
PDF
AWS Summit Tokyo 2015_NTTデータセッション(前半:クラウドを活用したオムニチャネル基盤構築)
byHinemos
 
PDF
【Sb】「if 自動化するなら then stack stormを使おう」 展開用
byKazunori Shimura(kojima)
 
PDF
Arukasの運用事例と、末永くインフラ運用していくためのTips(SRE Tech Talks #2)
byさくらインターネット株式会社
 
PPTX
Microsoft Azureで描く未来 !CLR/H &Windows女子部 ー lesson1
byYasuaki Matsuda
 
PPTX
Open stack界でのコンテナの現状
by株式会社 NTTテクノクロス
 
PDF
『OpenStackの導入事例/検証事例のご紹介』 NTTドコモ様 検証事例:OpenStack Summit 2014 Paris 講演「Design ...
byVirtualTech Japan Inc.
 
PDF
『OpenStack共同検証ラボ』のご紹介 - OpenStack最新情報セミナー 2016年3月
byVirtualTech Japan Inc.
 
PDF
20210925_jazug_azure_what_to_do_first
byTomoakiOno
 
PDF
OpenStackにおける、MySQLの活用 – OpenStackのリポジトリとしての、DBサービスの基盤としての、MySQL - OpenStack...
byVirtualTech Japan Inc.
 
PPTX
ブロードバンドタワー様講演 OpenStack最新情報セミナー 2014年4月
byVirtualTech Japan Inc.
 
PPT
ネットワン様講演 OpenStack最新情報セミナー 2014年2月
byVirtualTech Japan Inc.
 
PDF
EMC様講演 OpenStack最新情報セミナー 2014年6月
byVirtualTech Japan Inc.
 
PDF
さくらのクラウド活用事例 - 構成と運用のご紹介(Innovation EGG 第5回 『クラウド運用の本音』)
byさくらインターネット株式会社
 
PPSX
世界での実績No.1のOpenStackインストーラ – Fuel – の全貌は - OpenStack最新情報セミナー 2015年2月
byVirtualTech Japan Inc.
 
PPTX
使ってわかった!現場担当者が語るOpenStack運用管理の課題 - OpenStack最新情報セミナー 2015年2月
byVirtualTech Japan Inc.
 
PPTX
July Tech Festa 2020 AKSを活用した内製教育支援プラットフォームをリリースした話
byShingo Kawahara
 
Ubuntu Juju/MAAS・OpenStackを使った検証環境構築 - OpenStack最新情報セミナー 2016年3月
byVirtualTech Japan Inc.
 
StackStorm で実現する、複数システムに対する統一インターフェイス提供と運用一元化の取り組み - OpenStack最新情報セミナー(2017年3月)
byVirtualTech Japan Inc.
 
OpenStack批評 2015
byMasahiro Nakazato
 
DeNAがオンプレでこれからやろうとしてること - OpenStack最新情報セミナー 2015年12月
byVirtualTech Japan Inc.
 
AWS Summit Tokyo 2015_NTTデータセッション(前半:クラウドを活用したオムニチャネル基盤構築)
byHinemos
 
【Sb】「if 自動化するなら then stack stormを使おう」 展開用
byKazunori Shimura(kojima)
 
Arukasの運用事例と、末永くインフラ運用していくためのTips(SRE Tech Talks #2)
byさくらインターネット株式会社
 
Microsoft Azureで描く未来 !CLR/H &Windows女子部 ー lesson1
byYasuaki Matsuda
 
Open stack界でのコンテナの現状
by株式会社 NTTテクノクロス
 
『OpenStackの導入事例/検証事例のご紹介』 NTTドコモ様 検証事例:OpenStack Summit 2014 Paris 講演「Design ...
byVirtualTech Japan Inc.
 
『OpenStack共同検証ラボ』のご紹介 - OpenStack最新情報セミナー 2016年3月
byVirtualTech Japan Inc.
 
20210925_jazug_azure_what_to_do_first
byTomoakiOno
 
OpenStackにおける、MySQLの活用 – OpenStackのリポジトリとしての、DBサービスの基盤としての、MySQL - OpenStack...
byVirtualTech Japan Inc.
 
ブロードバンドタワー様講演 OpenStack最新情報セミナー 2014年4月
byVirtualTech Japan Inc.
 
ネットワン様講演 OpenStack最新情報セミナー 2014年2月
byVirtualTech Japan Inc.
 
EMC様講演 OpenStack最新情報セミナー 2014年6月
byVirtualTech Japan Inc.
 
さくらのクラウド活用事例 - 構成と運用のご紹介(Innovation EGG 第5回 『クラウド運用の本音』)
byさくらインターネット株式会社
 
世界での実績No.1のOpenStackインストーラ – Fuel – の全貌は - OpenStack最新情報セミナー 2015年2月
byVirtualTech Japan Inc.
 
使ってわかった!現場担当者が語るOpenStack運用管理の課題 - OpenStack最新情報セミナー 2015年2月
byVirtualTech Japan Inc.
 
July Tech Festa 2020 AKSを活用した内製教育支援プラットフォームをリリースした話
byShingo Kawahara
 

Viewers also liked

PPTX
サーバ脆弱性スキャナ Vuls を OpenStack 環境で使ってみた
byVirtualTech Japan Inc.
 
PPTX
あらためて考える、これからの仮想化インフラのためのデータセンター
byVirtualTech Japan Inc.
 
PPTX
今さら聞けない人のためのDevOps超入門
byVirtualTech Japan Inc.
 
PPTX
Bare Metal Provisioning for Big Data - OpenStack最新情報セミナー(2016年12月)
byVirtualTech Japan Inc.
 
PPTX
NTTドコモ様 導入事例 OpenStack Summit 2016 Barcelona 講演「Expanding and Deepening NTT D...
byVirtualTech Japan Inc.
 
PPTX
How logging makes a private cloud a better cloud - OpenStack最新情報セミナー(2016年12月)
byVirtualTech Japan Inc.
 
PPTX
今さら聞けない人のためのDocker超入門 CentOS 7.2対応版
byVirtualTech Japan Inc.
 
PPTX
脆弱性スキャナVulsで始めるセキュリティ対策
byTakayuki Ushida
 
PPTX
脆弱性スキャナVulsを使ってDevSecOpsを実践!
byTakayuki Ushida
 
PPTX
Z Lab社におけるOpenStack × Kubernetesの活用 〜アプリケーション開発者からみた課題解決 - OpenStack最新情報セミナー...
byVirtualTech Japan Inc.
 
PPTX
OCP, Kubernetes ハイパースケールアーキテクチャ 導入の道のり - OpenStack最新情報セミナー(2016年7月)
byVirtualTech Japan Inc.
 
PPTX
最近のたまおきの取り組み 〜OpenStack+αの実現に向けて〜 - OpenStack最新情報セミナー(2017年3月)
byVirtualTech Japan Inc.
 
PDF
OpenStack Liberty 外部ネットワーク側との通信
byTakashi Umeno
 
PDF
OpenWrtによるサイト間IPsec接続
byTakashi Umeno
 
PDF
今すぐ試せるブルーグリーンデプロイメント入門とその実装 - OpenStack最新情報セミナー(2017年3月)
byVirtualTech Japan Inc.
 
PPTX
脆弱性スキャナVulsのAWS環境への融合
byTakayuki Ushida
 
PPTX
【OpenStack共同検証ラボ】OpenStack監視・ログ分析基盤の作り方 - OpenStack最新情報セミナー(2016年7月)
byVirtualTech Japan Inc.
 
PDF
Openstack管理運用ソフトの決定版?!かもしれないAppFormix - OpenStack最新情報セミナー(2017年3月)
byVirtualTech Japan Inc.
 
PPTX
DeNA private cloud のその後 - OpenStack最新情報セミナー(2017年3月)
byVirtualTech Japan Inc.
 
PPTX
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
byKota Kanbe
 
サーバ脆弱性スキャナ Vuls を OpenStack 環境で使ってみた
byVirtualTech Japan Inc.
 
あらためて考える、これからの仮想化インフラのためのデータセンター
byVirtualTech Japan Inc.
 
今さら聞けない人のためのDevOps超入門
byVirtualTech Japan Inc.
 
Bare Metal Provisioning for Big Data - OpenStack最新情報セミナー(2016年12月)
byVirtualTech Japan Inc.
 
NTTドコモ様 導入事例 OpenStack Summit 2016 Barcelona 講演「Expanding and Deepening NTT D...
byVirtualTech Japan Inc.
 
How logging makes a private cloud a better cloud - OpenStack最新情報セミナー(2016年12月)
byVirtualTech Japan Inc.
 
今さら聞けない人のためのDocker超入門 CentOS 7.2対応版
byVirtualTech Japan Inc.
 
脆弱性スキャナVulsで始めるセキュリティ対策
byTakayuki Ushida
 
脆弱性スキャナVulsを使ってDevSecOpsを実践!
byTakayuki Ushida
 
Z Lab社におけるOpenStack × Kubernetesの活用 〜アプリケーション開発者からみた課題解決 - OpenStack最新情報セミナー...
byVirtualTech Japan Inc.
 
OCP, Kubernetes ハイパースケールアーキテクチャ 導入の道のり - OpenStack最新情報セミナー(2016年7月)
byVirtualTech Japan Inc.
 
最近のたまおきの取り組み 〜OpenStack+αの実現に向けて〜 - OpenStack最新情報セミナー(2017年3月)
byVirtualTech Japan Inc.
 
OpenStack Liberty 外部ネットワーク側との通信
byTakashi Umeno
 
OpenWrtによるサイト間IPsec接続
byTakashi Umeno
 
今すぐ試せるブルーグリーンデプロイメント入門とその実装 - OpenStack最新情報セミナー(2017年3月)
byVirtualTech Japan Inc.
 
脆弱性スキャナVulsのAWS環境への融合
byTakayuki Ushida
 
【OpenStack共同検証ラボ】OpenStack監視・ログ分析基盤の作り方 - OpenStack最新情報セミナー(2016年7月)
byVirtualTech Japan Inc.
 
Openstack管理運用ソフトの決定版?!かもしれないAppFormix - OpenStack最新情報セミナー(2017年3月)
byVirtualTech Japan Inc.
 
DeNA private cloud のその後 - OpenStack最新情報セミナー(2017年3月)
byVirtualTech Japan Inc.
 
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
byKota Kanbe
 

Similar to サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)

PDF
脆弱性スキャナVuls(入門編)
byTakayuki Ushida
 
PDF
オープンソースで始めるLinuxサーバー脆弱性診断入門
byShiojiri Ohhara
 
PDF
Vuls: Vulnerability scanner, FutureVuls: Vuls cloud service
bycsig-info
 
PDF
Azureの上におとりを置いて、世界中から攻撃される様子を観察した話
byRyuki Yoshimatsu
 
PDF
脆弱性スキャナVuls(応用編)
byTakayuki Ushida
 
PDF
0709wordbench新潟
by真琴 平賀
 
PDF
脆弱性検知ツールVulsを試してみた
byCosign930
 
PDF
脆弱性もバグ、だからテストしよう DevSummiFukuoka
byichikaway
 
PDF
脆弱性もバグ、だからテストしよう PHPカンファンレス2015
byichikaway
 
PDF
Linuxサーバのセキュリティ対策 part2 - Apache編
byKazunori Inaba
 
PDF
オープンソースソフトウェアで実現するエンタープライズにおけるセキュリティ脅威分析の勘所
byHibino Hisashi
 
PPT
【スカイアーチ】Webサイトを脆弱性攻撃から守る
by株式会社スカイアーチネットワークス
 
PDF
Linuxサーバのセキュリティ対策 part3 - ファイル転送編
byKazunori Inaba
 
脆弱性スキャナVuls(入門編)
byTakayuki Ushida
 
オープンソースで始めるLinuxサーバー脆弱性診断入門
byShiojiri Ohhara
 
Vuls: Vulnerability scanner, FutureVuls: Vuls cloud service
bycsig-info
 
Azureの上におとりを置いて、世界中から攻撃される様子を観察した話
byRyuki Yoshimatsu
 
脆弱性スキャナVuls(応用編)
byTakayuki Ushida
 
0709wordbench新潟
by真琴 平賀
 
脆弱性検知ツールVulsを試してみた
byCosign930
 
脆弱性もバグ、だからテストしよう DevSummiFukuoka
byichikaway
 
脆弱性もバグ、だからテストしよう PHPカンファンレス2015
byichikaway
 
Linuxサーバのセキュリティ対策 part2 - Apache編
byKazunori Inaba
 
オープンソースソフトウェアで実現するエンタープライズにおけるセキュリティ脅威分析の勘所
byHibino Hisashi
 
【スカイアーチ】Webサイトを脆弱性攻撃から守る
by株式会社スカイアーチネットワークス
 
Linuxサーバのセキュリティ対策 part3 - ファイル転送編
byKazunori Inaba
 

More from VirtualTech Japan Inc.

PDF
5G時代のアプリケーションとは 〜 5G+MECを活用した低遅延アプリの実現へ 〜
byVirtualTech Japan Inc.
 
PPTX
エンジニアが幸せになれる会社を目指します
byVirtualTech Japan Inc.
 
PDF
KubeVirt 201 How to Using the GPU
byVirtualTech Japan Inc.
 
PDF
KubeVirt 101
byVirtualTech Japan Inc.
 
PDF
今からはじめる! Linuxコマンド入門
byVirtualTech Japan Inc.
 
PDF
5G時代のアプリケーション開発とは - 5G+MECを活用した低遅延アプリの実現へ
byVirtualTech Japan Inc.
 
PDF
Kubernetes雑にまとめてみた 2020年8月版
byVirtualTech Japan Inc.
 
PDF
MS Teams + OBS Studio (+ OBS Mac Virtual Camera) でのオンラインセミナーのプロトタイプの構築
byVirtualTech Japan Inc.
 
PDF
5G時代のアプリケーション開発とは
byVirtualTech Japan Inc.
 
PDF
hbstudy#88 5G+MEC時代のシステム設計
byVirtualTech Japan Inc.
 
PDF
通信への課題発掘ワークショップ 「5Gイノベーション」の取り組み
byVirtualTech Japan Inc.
 
PDF
Kubernetes雑にまとめてみた 2019年12月版
byVirtualTech Japan Inc.
 
PPTX
OpenStackを使用したGPU仮想化IaaS環境 事例紹介
byVirtualTech Japan Inc.
 
PPTX
Docker超入門
byVirtualTech Japan Inc.
 
PDF
5Gにまつわる3つの誤解 - 5G×ライブコンテンツ:5G時代の双方向コンテンツとは
byVirtualTech Japan Inc.
 
PDF
KubeCon China & MWC Shangai 出張報告
byVirtualTech Japan Inc.
 
PDF
NTT Docomo's Challenge looking ahead the world pf 5G × OpenStack - OpenStack最...
byVirtualTech Japan Inc.
 
PDF
Introduction of private cloud in LINE - OpenStack最新情報セミナー(2019年2月)
byVirtualTech Japan Inc.
 
PDF
Multi-access Edge Computing(MEC)における”Edge”の定義
byVirtualTech Japan Inc.
 
PPTX
Edge Computing Architecture using GPUs and Kubernetes
byVirtualTech Japan Inc.
 
5G時代のアプリケーションとは 〜 5G+MECを活用した低遅延アプリの実現へ 〜
byVirtualTech Japan Inc.
 
エンジニアが幸せになれる会社を目指します
byVirtualTech Japan Inc.
 
KubeVirt 201 How to Using the GPU
byVirtualTech Japan Inc.
 
KubeVirt 101
byVirtualTech Japan Inc.
 
今からはじめる! Linuxコマンド入門
byVirtualTech Japan Inc.
 
5G時代のアプリケーション開発とは - 5G+MECを活用した低遅延アプリの実現へ
byVirtualTech Japan Inc.
 
Kubernetes雑にまとめてみた 2020年8月版
byVirtualTech Japan Inc.
 
MS Teams + OBS Studio (+ OBS Mac Virtual Camera) でのオンラインセミナーのプロトタイプの構築
byVirtualTech Japan Inc.
 
5G時代のアプリケーション開発とは
byVirtualTech Japan Inc.
 
hbstudy#88 5G+MEC時代のシステム設計
byVirtualTech Japan Inc.
 
通信への課題発掘ワークショップ 「5Gイノベーション」の取り組み
byVirtualTech Japan Inc.
 
Kubernetes雑にまとめてみた 2019年12月版
byVirtualTech Japan Inc.
 
OpenStackを使用したGPU仮想化IaaS環境 事例紹介
byVirtualTech Japan Inc.
 
Docker超入門
byVirtualTech Japan Inc.
 
5Gにまつわる3つの誤解 - 5G×ライブコンテンツ:5G時代の双方向コンテンツとは
byVirtualTech Japan Inc.
 
KubeCon China & MWC Shangai 出張報告
byVirtualTech Japan Inc.
 
NTT Docomo's Challenge looking ahead the world pf 5G × OpenStack - OpenStack最...
byVirtualTech Japan Inc.
 
Introduction of private cloud in LINE - OpenStack最新情報セミナー(2019年2月)
byVirtualTech Japan Inc.
 
Multi-access Edge Computing(MEC)における”Edge”の定義
byVirtualTech Japan Inc.
 
Edge Computing Architecture using GPUs and Kubernetes
byVirtualTech Japan Inc.
 

サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)

  • 1.
  • 2.
    自己紹介 2016/12/1 All rightsreserved. ©BroadBand Tower, Inc. 2016 2 2015年4月 株式会社ブロードバンドタワー入社 Cloud&SDN研究所 所属 当社クラウド系新規サービス開発・構築・運用 時々IoTやっています。 Interop 2014・2016 STM参加 学生時代は、データセンターネットワークの無線化に関する研究をしていまし た。
  • 3.
  • 4.
    OpenStackのセキュリティ問題 2016/12/1 All rightsreserved. ©BroadBand Tower, Inc. 2016 4 「OpenStack 脆弱性」とグーグル検索すると多くの脆弱性情報がヒットする。 例
  • 5.
    よくある脆弱性の管理 2016/12/1 All rightsreserved. ©BroadBand Tower, Inc. 2016 5 Excel・スプレッドシート等の表計算ソフト これがおおい? てきとーに管理(管理できてない) 学術系とか個人とかに多い!? 自社開発ソフトによる自社運用 開発力のある会社では、やっている。
  • 6.
    2016/12/1 All rightsreserved. ©BroadBand Tower, Inc. 2016 6 OpenStackには、各サーバの脆弱性情報を管理する ための機能がない。
  • 7.
    オープンソース脆弱性管理ソフトウェア Vuls 2016/12/1 Allrights reserved. ©BroadBand Tower, Inc. 2016 7 vuls(VULnerability Scanner) フューチャーアーキテクトが開発 オープンソースソフトウェア https://github.com/future-architect/vuls Go言語で実装 Linux・BSDのディストリビューションを問わずスキャン可能 エージェントレススキャン SSH経由 メール・Slack連携が可能 ブラウザから可視化された表で管理できる。 表のパラメータの操作が可能。
  • 8.
    2016/12/1 All rightsreserved. ©BroadBand Tower, Inc. 2016 8 低コストに組織内シーサート(Internal CSIRT)運用することが できる。
  • 9.
    CUIよる可視化の例 2016/12/1 All rightsreserved. ©BroadBand Tower, Inc. 2016 9
  • 10.
    ブラウザによる可視化の例 2016/12/1 All rightsreserved. ©BroadBand Tower, Inc. 2016 10
  • 11.
    どのように運用するか 2016/12/1 All rightsreserved. ©BroadBand Tower, Inc. 2016 11 構築方法・現状のシステムへの組み込み。 スキャン対象までのリーチャビリティがあるマシンにvulsをインストール スキャン対象に対してスキャン用のアカウントを作成しておく。 スキャンの際にパッケージ管理ソフトを用いるのでroot権限が必要となる。 (/etc/sudoersにnonpasswdの設定することを推奨されています) vulsサーバから鍵認証でログイン可能にしておく。 Ansible等の構成管理ツールを用いれば運用中のサーバにも一括で適応可能である。
  • 12.
    どのように運用するか 2016/12/1 All rightsreserved. ©BroadBand Tower, Inc. 2016 12 任意のサイクルで以下上から順番に実行 go-cve-dictionaryの更新 vuls自体の更新 CVE情報を更新 スキャン開始 結果をslackに送信 WebまたはSlackで確認 ※Slackに送る際には、スキャン結果が多すぎるとSlack側で弾くかれてしまうの でCVSSスコアでフィルタする。(展望)
  • 13.
  • 14.
    デモ環境 2016/12/1 All rightsreserved. ©BroadBand Tower, Inc. 2016 14 検証用コンピュートノード・コントローラーノードに対してスキャン スキャン結果をslackへ送信・確認 compute 2台 controller 2台 スキャン&可視化サーバ 172.28.1.219 172.28.1.62 172.28.1.63 172.28.1.65 172.28.1.66
  • 15.
    感じた事 2016/12/1 All rightsreserved. ©BroadBand Tower, Inc. 2016 15 GUIも非常に見やすく簡単に集約管理が行えるのでとても便利。 Vulsは、パスワードを用いたSSH通信の管理をサポートしていないので鍵ベー スの認証管理をすることを求められている。 ルート権限を与えるので秘密鍵の管理が非常に重要となる。 会社の認証に関するセキュリティポリシーに適応できるか。 Slackへの送信で結果の表示が多すぎるとSlackで弾かれてしまう より情報を圧縮した形式でSlackに送る実装もしくは、間引いて送る事が求められる。 有料版でもCVSSスコアでフィルタリングしないと厳しい。 現状の逃げ道は、メールで結果を送信する。
  • 16.
  • 17.
    参考サイト 2016/12/1 All rightsreserved. ©BroadBand Tower, Inc. 2016 17 vuls https://github.com/future-architect/vuls vulsrepo https://github.com/usiusi360/vulsrepo slack連携 https://blog.animereview.jp/vuls/
  • 18.
    スクリプト 2016/12/1 All rightsreserved. ©BroadBand Tower, Inc. 2016 18 OpenStack-Labのgithub URL Ubuntu14.04用インストールスクリプト https://github.com/yuma-bbt/vuls_install_script cronスクリプト https://github.com/openstack-lab/vuls_install_script/blob/master/cron_script.sh 参考コンフィグファイル https://github.com/openstack-lab/vuls_install_script/blob/master/config.toml
  • 19.
    2016/12/1All rights reserved.© BroadBand Tower, Inc. 2016 19

Editor's Notes

  • #5 セキュリティ