[B! *security] [6ページ] sh19910711のブックマーク

Kubernetes External SecretsからExternal Secrets Operatorに移行した話〜他ツールとの比較・移行戦略・工夫したポイント〜 - ZOZO TECH BLOG

はじめにこんにちは、SRE部ECプラットフォーム基盤SREブロックの織田です。普段は主にZOZOTOWNのリプレイスやインフラを改善、運用しています。本記事では、Secret管理コンポーネントであるKubernetes External Secrets︵以降、KESと表記︶の非推奨を受けて、どのような対応を実施したのか紹介します。目次はじめに目次なぜSecret管理コンポーネントを利用するのか？ Kubernetes External Secrets︵KES︶について KESとは？ KESを使ったKubernetes構成 KESの非推奨について移行先の選定優先事項の決定移行先の検討、比較移行先の決定 External Secrets Operator︵ESO︶について ESOのアーキテクチャ移行における注意点や変更点移行の実施移行方法工夫したポイント最後にな

sh19910711 2022/11/02

"2021/11/03にKESは非推奨化が発表: アクティブなメンテナが存在していなかった + 技術的負債が解消されずメンテナンスされていない / External Secrets Operator: 外部のSMSから情報を読み取りその値をKubernetes Secretに自動的に注入"

リンク

うわっ…AWSのセキュリティ系サービス、多すぎ…？オンプレエンジニアにも分かりやすく整理してみた

JAWS-UG朝会 #34 https://jawsug-asa.connpass.com/event/240121/

sh19910711 2022/10/29

"Amazon Detective: 怪しいログを可視化 + これが無ければ、CloudTrailログをAthenaでゴリゴリ手動検索するつらい世界 + GuardDutyの検知結果からそのままDetectiveの分析画面に飛べる！超便利"

リンク

Internet Identity Workshop（Fall 2019）に初めて参加してきた話 - Got Some \W+ech?

ちょっと真面目にIdentity系に集中しようと思い、今年の5月にEuropean Identity Conferenceに行ったところ、プロの方に﹁Internet Identity Workshopにも行ったほうがいい﹂と進められたので、ほいほい来てしまった話をします。 IIWとは IIWは毎年2回、マウンテンビューで開催されるアイデンティティ関係の﹁アン︵Un︶カンファレンス﹂です。アンカンファレンスが何かと言うと、一言でいうとカンファレンス形式ではない会合みたいなものです。通常のカンファレンスですと、事前にカテゴリーを決定し、CfPと審査を経てコンテンツが決定されます。一方、アンカンファレンスでは、そのような事前準備はありません。当日に、参加者が話したい内容を提案し、その聞きたい内容がホスティングされている部屋におもむくような形で進行されます。具体的には、まず朝09:00

$Internet Identity Workshop（Fall 2019）に初めて参加してきた話 - Got Some \W+ech?$

sh19910711 2022/10/26

2019 / "IIW: マウンテンビューで開催されるアイデンティティ関係のアンカンファレンス / 参加者全員が輪になって座ります / 発表者も聴講者も、OAuth/OIDCなどの仕様を一度は実装かつ運用した経験を議論の土台としている"

リンク

OpenID 2.0 Shutdown Timetable | OpenID 2.0 (Migration) - Google Accounts Authentication and Authorization — Google Developers

Google の OAuth 2.0 API は認証と認可の両方に使用できます。このドキュメントでは、OpenID Connect仕様に準拠し、OpenID Certified を受けている、認証用の OAuth 2.0 実装について説明します。このサービスには、OAuth 2.0 を使用した Google API へのアクセスのドキュメントも適用されます。このプロトコルをインタラクティブに試すには、Google OAuth 2.0 Playground の使用をおすすめします。 Stack Overflow でヘルプを表示するには、質問に﹁google-oauth﹂のタグを付けます。 OAuth 2.0 の設定アプリケーションでユーザーログインに Google の OAuth 2.0 認証システムを使用するには、 Google API Console でプロジェクトを設定し、OAu

sh19910711 2022/10/23

hd パラメータ便利そう / "リクエストで hd パラメータの値を指定した場合は、Google Cloud 組織に関連付けられた承認済みドメインと一致する hd クレームが ID トークンにあることを確認"

リンク

2021年人気脆弱性 TOP 10 in GitHub - まったり技術ブログ

はじめに 2021年人気脆弱性 TOP 10 in GitHub 10位 975 pt 『Microsoft Windows Server における権限を昇格される脆弱性 (CVE-2021-42287)』 9位 1,005 pt 『Apache Druid における重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性 (CVE-2021-25646)』 8位 1,068 pt 『Microsoft Windows Server における権限を昇格される脆弱性 (CVE-2021-42278)』 7位 1,149 pt 『VMware vCenter Server および Cloud Foundation における権限管理に関する脆弱性 (CVE-2021-21972)』 6位 1,557 pt 『 Apache HTTP Server におけるディレクトリトラバーサルの

sh19910711 2022/09/24

"WordPressプラグインの脆弱性は今までも多く報告されていましたが、WPScanが窓口になることでより多くの脆弱性がさばける(CVEが採番)ように / 2020年の3倍近く脆弱性が報告 + WPScanの中の人も積極的に脆弱性を探している模様"

リンク

秘密情報をGitLabに格納することなくGoogle Cloud / AWSに対して認証する - エムスリーテックブログ

エムスリーエンジニアリンググループ AI・機械学習チームの笹川です。趣味はバスケと筋トレで、このところはNBAはオフシーズンですが、代わりにユーロバスケが盛り上がっていて、NBAに来ていない良いプレーヤーがたくさんいるんだなーと思いながら見ています。夜ご飯を催促するためデスク横で待機する犬氏（かわいい）今回は、パブリッククラウドへの認証に必要な秘密情報をGitLab自体に格納することなく、安全に認証する方法について紹介します。 CI/CDの実行時のパブリッククラウドに対する認証ナイーブな手法とその問題点 OpenID Connectを用いた認証 Terraformでパブリッククラウド側の設定を記述する Google Cloudの場合 AWSの場合 GitLab CI/CDで認証する Google Cloudの場合 AWSの場合認証ステップの共通化まとめ We are hirin

sh19910711 2022/09/23

"この仕組みに利用するGitLabのpredefined variableである CI_JOB_JWT_V2 はalpha statusの機能 / Workload Identity Pool Provider: 属性のマッピングには Common Expression Language (CEL) が利用できる + これを用いてカスタム属性を作ることができます"

リンク

伝説のブラウザクラッシャー "You are an idiot" を現代に蘇らせる - ほとラボ

このエントリは Dark Advent Calendar 2017 12 日目のエントリだよ。伝説の闇の技術について紹介するよ。ブラウザクラッシャーとはまずはこちらの動画をご覧いただきたい。(音が入っているので注意) Windows98上の Internet Explorer で開いた Web ページが何やら奇妙な動きをはじめ、ブラウザを終了させようとした途端にウィンドウが増殖して大量のポップアップウィンドウが画面上を跳ね回っている。これは You are an idiot というブラウザクラッシャー (ブラクラ) の一種。 crashme と並んで﹁二大有名ブラクラ﹂だと勝手に思っている。一応コンピュータウィルスには分類されないが、リソースが大量に消費されることでマシンが不安定になったりクラッシュしたりする、悪意のあるプログラムである。自分の記憶では 2000 年代前半に

sh19910711 2022/09/19

"いま思い返すとブラクラによって「インターネットはこういう場所なんだ」ということを学んでいた / あの小さなポップアップウィンドウを大量に生成して画面内を動き回らせたい"

リンク

VPC Network Access Analyzer でネットワークセキュリティを確認してみる - Qiita

AWS VPC にネットワークセキュリティを確認する Network Access Analyzer 機能があることに気がついたので、ちょっと試してみました。情報はこのあたりから。 [新機能] ネットワークがアクセス要件を満たしているか確認するのに便利な VPC Network Access Analyzer がリリースされました！ #reinvent ネットワークが目的どおりに設定されているか確認できる！Amazon VPC Network Access Analyzerとはまずは用意された設定を使ってみる以下のように4つの Network Access Scopes が作成済みだったので、とりあえず AWS-VPC-Ingress を試してみます。 JSON 形式で設定内容を表示させてみた結果が以下です。 { "networkInsightsAccessScopeId":"nis

sh19910711 2022/09/18

Reachability Analyzerとは別の機能か / "踏み台サーバから ping 打ったりしなくても、この機能で楽々試せそう + 定期的にガッツリ広範囲で確認し、遮断漏れの検知も / Elastic Network Interface (ENI) ごとに 0.002 USD"

リンク

Google Cloud の Cloud IAM の拒否ポリシー - Qiita

はじめに IAMを操作していたところ、権限を付与する際に、基本ロールはもちろんですが、事前定義ロールでも範囲が広いようなケースもあると思い、絞る方法を確認してみました。 IAM Roleの基本的な部分のおさらい概要 IAMに対しては基本的にRoleを付与する形になり、ポリシーを直接付与するようなことはありません。大きく基本ロール、事前定義ロール、カスタムロールがありまして、それぞれの役割に軽く触れます。 Role種別基本ロール少ないので具体的に書くと、オーナー、編集者、閲覧者がある。位置づけ的には、オーナーがadmin、編集者がPowerUserっぽい、閲覧者がReadOnly PowerUserという表現はちょっと過大でもう少し権限が絞られているので、それプラス事前定義ロールを割り当てていたりすることもある事前定義ロール基本ロールはサービス全体に対する権限だったが、一つの

sh19910711 2022/09/17

お、GCP IAMでDenyできるようになるのかな / "拒否ポリシーという機能: まだプレビュー + 適用していたRoleの中でも実行させたくない権限をプリンシパル単位で、拒否ポリシーとして制御することが可能"

リンク

Slackで認定されたURLリンク偽装の脆弱性

Slackで認定されたURLリンク偽装の脆弱性 Apr 27, 2020 フィッシング詐欺における偽サイトへの誘導では、正規サイトのURLをかたってリンクをクリックさせる手口が後を絶たない。この手口は主にメールや掲示板からの誘導で悪用されるが、グループチャット内でもURLリンクを偽装できれば脅威になると考えた。ビジネスチャットツールとして世界的に利用されているSlackでのURLリンク偽装︵#481472︶について解説する。 URLリンクの偽装 HTMLでは、ハイパーリンクとして表示するURLと、実際にリンクするURLを個別に設定できる。例えば、以下のHTMLはレンダリングにより https://example.com となる。表示上は example.com へのリンクに見えるが、実際には akaki.io へリンクする。 <a href="https://akaki.io">https

sh19910711 2022/09/15

2020 / "Slackは当初「この攻撃はワークスペース内でのメンバー間の対立が前提になっている」と述べ、URLリンクの偽装を脆弱性として認めなかった / 再検討を依頼すると、Slackはこの偽装を脆弱性として認め対策を講じた"

リンク

AWS IAM Access Analyzerによる継続的ポリシーチェックを自動化する方法 - Qiita

はじめに AWSのIAMロールに付与するIAMポリシーの権限は、セキュリティリスクを考えれば、必要最小限にとどめる必要があります。 AWSの任意のインスタンスに関連付けられたIAMロールでは、設定時は最小権限になっていても、その後の運用で過剰な権限が付与される可能性があります。また、開発者や運用者が作るIAMポリシーの権限も、必ずセキュリティベストプラクティスに沿っているかどうかは分かりません。このIAMポリシーの検査を継続的に実施可能な環境を作るために、自動化されたメカニズムの導入を検討します。アプローチ AWS IAM Access Analyzerには、IAMポリシーのチェック機能があり、この機能を利用してポリシーを検証できます。マネジメントコンソール上だけではなく、AWS CLIやSDKでも実行可能であり、自動化できます。 IAM Access Analyzerのポリシーチ

sh19910711 2022/09/05

"AWSにおける「ポリシー」: IDポリシー + リソースポリシー + サービスコントロールポリシー / バケットポリシーでNotPrincipalでAllowしている場合に警告してくれるなど、クリティカルな穴を塞げる / analyzer_client.validate_policy"

リンク

BigQueryのセキュリティ対策手順

風音屋では、データエンジニア、データアナリスト、データコンサルタントを募集しています。書籍執筆者やOSSコントリビューターなど、業界を代表する20名以上のアドバイザーと一緒にベストプラクティスを追求できる環境です。ぜひカジュアルトークをお申し込みください。風音屋アドバイザーの山田雄︵@nii_yan︶です。データ活用においてセキュリティ対策が最重要トピックであることは言うまでもありません。風音屋でBigQueryの導入支援を行うにあたって、どのようなセキュリティ対策を行っているのかをご紹介します。この記事の全体像この記事は2つのパートに分かれています。最初に、BigQuery導入プロジェクトを始めるにあたって、セキュリティ観点でどのようなコミュニケーションが必要になるかを説明します。次に、一般的な情報セキュリティ対策である﹁抑止﹂﹁予防﹂﹁検知﹂﹁回復﹂の4つの観点にもと

sh19910711 2022/08/31

めっちゃ参考になる / "どこまでセキュリティを守るのか: 全てを100点にするのではなく、自社にとってのベストを見つけ出す / Cloud DLP: 公式ドキュメント「サンプリングを使用したBigQueryに含まれる機密データの検査」"

リンク

やっぱりEKSの運用は大変なのか　〜EKSを2年間運用して得た知見とコンテナセキュリティ〜 - DMM inside

Single NodeのDocker Swarmを利用してオンプレミスにデプロイされるGraphQLサーバを安全にローリングアップデートさせている話

sh19910711 2022/08/27

"EKSの運用は大変ではないものの運用のための時間的な余裕は確保しておくべき / 運用コストを減らすためにEKSやKubernetesのaddonの機能アップデートに追随する + それらに対応するための「時間的な余裕」を確保しておく"

リンク

自然言語処理でトラフィック変化検知 | IIJ Engineers Blog

最近はセキュリティログ解析などに取り組んでいます。何か面白そうな話題があればお声がけください。IIJ/IIJ-II技術研究所所属。︻IIJ 2021 TECHアドベントカレンダー 12/6︵月︶の記事です︼猫も杓子も深層学習と言っていた時代も一区切りついたように思います。画像処理の分野で一躍︵再︶注目を浴びた深層学習技術は、自然言語処理や囲碁ゲームなど、他の分野でもめざましい成果をあげました。我々はインターネット界隈で活動していますが、それらの技術を自分たちの分野に活用できないかと検討をしたものです。何か今までできなかったようなすごいことが、深層学習を使ったら魔法のように実現するのではないか、と夢を見ていた時期もありました。もちろん、トップ研究者の方々がいろんな方面からインターネットへの深層学習の応用を試みて、素晴らしい成果が上がったことに間違いはないと思います。ただ、それらが今のネ

sh19910711 2022/08/25

2021 / "自然言語処理技術をトラフィック解析、具体的にはトランスポート層ポート番号のアクセス解析に利用する / TCP 9530番ポート: Miraiの亜種でよく利用されるポート番号 + 今でも不定期に活動が活性化"

リンク

AWSのパスワード生成APIを触ってみた | DevelopersIO

デフォルトでは半角スペースはパスワードに含まれないようになっています。デフォルトのパスワード生成 $ aws secretsmanager get-random-password { "RandomPassword": "h}';Ih+J46RLy&:{zH]0sHw7lU;}f<.>" } パスワードの長さはデフォルトで32文字です。タイプ一覧の表の通り小文字/大文字アルファベット数字句読点から構成される 32 文字のパスワードが生成されます。パスワードの長さを制御パスワードの長さを変更したい場合、PasswordLength オプションを渡します。 $ aws secretsmanager get-random-password \ --password-length 10 { "RandomPassword": "X)/G#4;kh|" } デフォルトは 32 で、1

sh19910711 2022/08/15

2018 / "REST API にパスワードを生成する API secretsmanager:GetRandomPassword がいつのまにやら追加されていました / $ aws secretsmanager get-random-password"

リンク

Google Cloud でサービスアカウントの権限借用（impersonate）を活用して SRE の権限を縮小させた話 - オールアバウトTech Blog

こんにちは。オールアバウト SRE 所属の@s_ishiiと申します。 Google Cloud にはサービスアカウントの権限借用という機能があります。この機能を活用することで普段の運用をより安全にすることができます。この記事ではオールアバウトが導入・実践しているサービスアカウントの権限借用に関して解説します。前提オールアバウトでは SRE が全サービスのインフラを一元的に管理しています。このため SRE は全ての Google Cloud のプロジェクトに対してオーナー権限(roles/owner)を保持していました。 SRE メンバー全員がインフラを自由に変更できてしまうため、普段から Google Cloud のコンソール画面で設定を変更してしまわないよう注意しながら運用する必要がありました。こうした状況を解決する手段としてサービスアカウントの権限借用の活用を検討し始め

sh19910711 2022/08/08

IAM Condition + impersonate-service-account + add-iam-policy-binding 良さそう / "一時的に権限を強化してコンソール画面から本番環境を変更できるようにする / 障害時に DB をフェイルオーバーしたい等のユースケース"

リンク

AWS不正利用から反省したプライベートのセキュリティ意識 - Qiita

はじめに個人で持っていたAWSのrootユーザーが乗っ取られ、不正利用されました。その結果約70万円ほどの請求があったものの、AWSサポートとやりとりの結果免除いただけました。内心かなり焦っていたものの、先人の方々の記事に励まされ、対処自体は落ち着いて行動できたように思います。︵そんなことがないに越したことはありませんが、︶同じような被害に遭った方のためと自身のセキュリティ啓発の意味も兼ねて、今回の経緯を記事にしたいと思います。発覚から初期対応まで気づいたきっかけ私のAWSアカウントは1年前に資格勉強のため開設した個人アカウントでした。そのため普段は利用しておらず、無償利用期間も終了が近かったため、すべてのリソースを削除して入れていた設定もすべて削除していました。当然利用額は毎月0円でした。しかしそんなアカウントにこんな件名と本文のメールが届きました。︵17:50ごろ︵気づいた

sh19910711 2022/07/20

"資格勉強のため開設した個人アカウント / MFAを設定していなかった + それなりに強力なパスワード / PWもろとも個人情報が漏洩してしまったニュース > ばっちり対象ユーザー + パスワードの使い回しをしてしまっていた"

リンク

所持金はすべて盗まれたけれど、私は元気です（キエフ）

﹁パパ、お金をBad Manに取られちゃったの？﹂当時5歳の息子が言った。﹁おかね、なくなった﹂当時2歳の息子が言った。﹁お金がなくなった﹂当時36歳の私が言った。﹁地下鉄にも乗れなくなった﹂私は餓えた狼のような目つきになって、Bankomat︵ヨーロッパのATM︶を探し歩いた。 Bankomatは難なく見つかり、オーストリア銀行のカードも通用したが︵日本のクレジットカードは駄目だった︶、ここでひとつの問題が生じた。銀行口座の残高が、32ユーロしかなかったのだ。これは、どういうことか。不逞の輩に、たちまち引き落とされてしまったのか。そうではない。私はこのころ給料の大半を日本の銀行に振り込んでおり、それなのにイランとトルクメニスタンへの旅行でお金を濫費してしまい︵現地でスマホなどを衝動買いしたのが敗因だった︶、さらには子どもたちの学費のまとまった支払いが重なり、十数年前

sh19910711 2022/07/15

2019 / "「スリの情け」で、哀れな子連れのライフラインを残してくれた、というのが私の意見だった。これに対して、「カード類を盗めば『足』がつくから現金だけ盗んだ」というのが奥さんの意見だった"

リンク

情報知財研究会に行ってきた話 - 元データ分析の会社で働いていた人の四方山話

何をきっかけに存在を知ったか記憶は定かではないですが、最近の興味関心とばっちりあっている情報通信学会主催の2012年度　第6回情報知財研究会に参加してきました。大変勉強になったんですが、すんごい眠いし書くのやめようかと思ったけれど、今日書かないと永遠に書かない気がするので、自分への備忘録ということで書き残しておきます。全体の流れというよりも、自分が勉強になったな、と思った部分をピックアップしてのメモ。なにぶん全然詳しくない分野なので、内容についての正確性は若干あやしいです。個人情報についての誤解﹁個人情報保護法﹂で言うところの﹁個人情報﹂とは、特定個人の識別情報であり、プライバシー情報とは異なる。まずはこのレベルの認識が曖昧でした。個人は識別できないが、私生活上の情報や、非公開/公開を望まない情報などがプライバシー情報だということです。PIIくらいの純度の高い個人情報に紐付くI

sh19910711 2022/07/04

2012 / "収集されている段階では個人情報まで行かなくても、オフライン情報（決済情報や住所など）が紐付くことで個人情報になりうる可能性は高そうです。そして、このことをre-identificaitonと表現されていました"

リンク

AWS + T-Pot + ELK + WOWHoneypot でWeb攻撃を観察してみよう

2018年6月30日の第4回ハニーポッター技術交流会でLTした資料です。第4回ハニーポッター技術交流会 https://hanipo-tech.connpass.com/event/90337/ 更に細かい解説はこちらから Amazon EC2(t2.medium)でT-Pot構築(その1) https://graneed.hatena blog.com/entry/2018/06/10/030525

sh19910711 2022/07/03

2018 / "t2.medium: ディスク容量よりCPU使用率の方が問題 + CPU使用率20%を超えるとCPUクレジット消費開始 + 異常を感じたらCPUクレジットを確認 / Glastopf: Elasticsearch連携、情報が足りない + 詳細情報をsqliteファイルに保存"

リンク

はてなブックマーク

タグ

関連タグで絞り込む (166)

*securityに関するsh19910711のブックマーク (538)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第1週）

月間はてなブックマーク数ランキング（2024年6月）

今週のはてなブックマーク数ランキング（2024年6月第5週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス