この記事は Eureka Advent Calendar 2022 12日目の記事です。 こんにちは、エウレカの原田です。 セキュリティを測定可能にする技術 でも触れられている通り、今年のエウレカのセキュリティチームは様々な取り組みを進めてきました。この記事ではその中でもいわゆる DevSecOps の取り組みについて、深ぼって紹介したいと思います。 背景 エウレカでは、各チームのエンジニア主導でのセキュリティ改善の取り組みが盛んに行われていたり ( 例: PairsにおけるEKSセキュリティの取り組み ) 、アプリケーションやインフラの開発におけるセキュリティを担保するツール群もいくつか導入されており、今年はこれらの運用をさらに成熟させていく、というタイミングでした。この状況で、セキュリティチームとして担うべき役割はいくつかありました。 セキュリティチームとして担保したいこと 各チーム主導の取り組みは、各技術分野を深く掘り下げたり、それぞれの主担当分野をスコープとするもの、単発のプロジェクト、が多くなる傾向があります。対してセキュリティチームとしては、よりベーシックな脆弱性管理、パッチマネジメントといった取り組みについて、組織全体の状況の可視化や、その継続性を確実に担保していく必要があると考えています。また、細かな部分では各種セキュリティツールが開発のスピードを損なわないようなチューニングであったり、日々の運用やプロセス設計におけるアドバイザーとなる必要もあります。こういった取り組みを整理するために、以下の概念やフレームワークを参考にしました。

LeappというアプリがAWSマルチアカウント環境のクレデンシャルの取り回しにかなり便利だったという紹介記事です。 Leapp is a Cross-Platform Cloud access App, built on top of Electron. The App is designed to manage and secure Cloud A …

はじめに 最近は社内でもはじめましての人が増えたり、社外の人と話す機会も増えてきたけどいまいち何やってる人なの？という説明しづらさが発生してたので、年末という区切りの良いタイミングで自分がやってきたことを一度まとめてみたい。 ざっくり言うと、2020年頃からそれまで所属していたSREチームから半分軸足をずらし、Securityチームにも所属して主にクラウド …

この記事は Eureka Advent Calendar 2021 の 13日目の記事です。 はじめに こんにちは、エウレカ SREチーム のハラダです！ 2020年頃から今年にかけて、 エウレカのSREチームとSecurityチームではAWS IAMのセキュア化を注力ポイントのひとつとして、継続的に取り組んできました。 本記事では、その実践から学んできたIAM …

はじめに Terraform職人をしていると、ProviderのDocumentの記述の間違いに気づくことがある ( example codeが古かったり、値の例が間違ってるなど こういう些細なDocumentの修正であればProvider自体の変更に比べて敷居が低いので、さっとPR投げちゃうとよい どうやるか 各terraform providerのリポジトリにある we …

こんにちは、エウレカ SRE チームの原田です。 今年 (2021年) エウレカでは、公開鍵認証で接続するEC2の踏み台サーバを廃止し、代わりに各サーバへの接続をIAMで認証できるSSM Session Managerへのリプレースを行いました。本記事ではそのモチベーションや、実装のポイントを紹介していきたいと思います。 旧来の踏み台サーバ

In AWS world, as a best practice, you should avoid using static credential as much as possible. Static credential can easily be exposed by human mistake, can be stored somewhere (somewhere you forget). If you use temporary credential using AWS STS, that risk can be reduced. I strongly recommend AWS…

長時間ハマってしまったので、備忘録として残しておきます。 TLDR IMDSv1を無効化したEC2インスタンスでDatadog Agentを動かすときにはec2_prefer_imdsv2を明示的にtrueにしないとhostの識別がうまくいかないことがあるよ 環境 Datadog Agent 6.30.1 Amazon Linux 2 そもそもIMDSv1をなぜDisableするのか IMDS (Instance Me …

この記事は「eureka Advent Calendar 2019」19日目の記事です。昨日の記事は Yuya Kaidoによる Android開発におけるモジュール分割でした。 Android開発におけるモジュール分割 Pairsで採用しているレイヤー単位での分割と機能単位でのモジュール分割を組み合わせるアプローチを紹介します。medium.com みなさんこんにちは！ エウレカSRE チームの Daichi Harada です。 先日、念願の AWS re:Invent に行ってきました！様々な新サービス/新機能の発表 …