セキュリティ診断のハンズオンなどの目的で、敢えて脆弱性を残しているいわゆる”やられアプリ”。 元旦から何やってんだという感じはありますが、折角時間があるので兼ねてから攻略したかった OWASP Serverless Goat をやっつけていきます。 OWASP Serverless Goat とは OWASP Serverless Goat はイスラエルのセキュリティスタートアップ PureSec が作成した The Ten Most Critical Risks for Serverless Applications v1.0 に基づいた、サーバーレスアプリケーション固有の脆弱性をわざと埋め込んだ Web アプリケーションです。 以下の教育目的で作成されたものであり、それ以外の目的で利用することは望ましくありません。 開発者とセキュリティ担当者に一般的なサーバーレスアプリケーションレイヤ
(2019/04/26) いただいたコメントに基づいて、わかりずらい表現を修正・補足しました。 AWS Glacier は、大容量データのアーカイブ先として大変重宝します。 2016年11月以前までは「ピーク復元レート」の考え方に基づき、短時間でのデータ取り出しにより高額請求されるリスクがありましたが、改訂後は大幅な値下げとなり、使いやすくなりました。詳細は、以下のサイトが大変わかりやすいです。 Amazon Glacierで高額料金請求は「過去の話」になりました ある日のこと、Glacier の利用料がたった一日で、月額の 1/3 を占めることになりました。 あわてて明細をみると「Glacier:最小期間追加料金」の文字が。 そう、課金の前日、Glacier 上の不要なファイルを一括削除したのでした。 3ヶ月経過する前の、若いファイルも、なにもかも。 あわてて調べた結果、以下の Q&A
1passwordのアイテム編集画面で、フィールドタイプを眺めててふと思った。「ワンタイムパスワードってあるけど、これ、AWSで多要素認証するときの『仮想MFAデバイス』に使えるのでは」と。結論から言えば、使えた。快適。でもこれは多分「人をダメにするナントカ」的な快適さだ。やっちゃいけないやつだ。 AWSでは、AWSアカウントの管理者であるrootユーザー(メールアドレスでログインする人)と、利用者であるIAMユーザー(ユーザーIDでログインする人)のどちらでも、多要素認証(MFA:Multi-Factor Authentication)を設定して認証を強化できる。 認証方法はパスワード認証+ワンタイムパスワード(当人が知っていること+当人が持っているもの) ワンタイムパスワードの生成には、専用のデバイスであるU2FセキュリティキーやハードウェアMFAデバイス、スマホアプリである仮想MFA
はじめに AWSにはアカウントやリソースへの脅威検知に対応した、AWS IAM Access Analyzer, AWS Security Hub, Amazon Detective, Amazon Inspector, Amazon GuardDuty, AWS CloudTrail, AWS Config などのサービスが用意されています。 また、AWS Security Hub では、CIS AWS Foundations Standard , Payment Card Industry Data Security Standard , AWS Foundational Security Best Practices Standard などのセキュリティ標準が公開されており、このガイドラインは、AWSアカウントをセキュアに保つために必要なAWSのセキュリティ設定を集めたベストプラクテ
ちなみに、IT業界全体のシェアとしてはMicrosoftのAzureの方がGCPを上回っていますが、Web業界においてIaaSにAzureを採用している企業さんは2019年時点ではまだまだ少ないので、現状ではとりあえずAzureへのキャッチアップは後回しにしておいて問題ないと思われます。 クラウドアーキテクチャ設計 前述したAWSやGCPの各種マネージドサービスを適切に組み合わせてアーキテクチャ設計を行い、それを構成図に落とし込める能力は必須となります。 いわゆる「アーキテクト」という職種の担当領域でもありますが、「サービスを安定稼働させたまま、バリューをユーザに迅速に届ける」ためには、自動化のしづらい構成が採用されてしまったり、無駄な機能が開発されてしまったり、アンマネージドなツールやサービスが使用されて管理工数が肥大化したりしないように、アーキテクチャ設計の段階からDevOpsエンジニ
社内でKubernetesハンズオンをやってみたのでおすそ分け。 参加者6人からバンバン出てくる質問に答えながらやって、所要時間4時間ほどでした。 SpeakerDeckにも資料を上げています。 https://speakerdeck.com/ktam1219/yaruze-kuberneteshanzuon (2019/07/11追記) 続編書きました! -> 今度はあんまりゴツくない!?「わりとゴツいKubernetesハンズオン」そのあとに ハンズオンの目標 Kubernetesとお友達になる イメージを掴む 触ってみる(ローカル・EKS・ちょっとGKE) 構築・運用ができるような気分になる 巷にあふれるKubernetesの記事・スライドが理解できるようになる EKSがメインになっているのは、会社の業務でAWSを使うことが多いからです。 純粋にKubernetesを勉強したいだけな
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 2019/2/23 に開催された JAWS DAYS 2019 の資料まとめです。 テーマである満漢全席の名の通り、多岐にわたっていますので タイムテーブル順ではなく分野別にしています。 見つけ次第更新しますが、抜け漏れなどありましたら コメントや編集リクエストいただけましたら幸いです。 運営のみなさま、スタッフのみなさま、登壇者のみなさま、スポンサーのみなさま、 このような機会をありがとうございました。 AI/ML PythonとSageMakerで始めるMLチームのみで完結するAPIの構築事例 https://speakerdeck
さて、セキュリティ的な立ち位置としての活動も開始したことだし、awsが取得しているセキュリティ関連の認証とか金融機関における導入事例をまとめてみるか。 詳細はawsのサイトにあるので、詳しく見たい方はawsのサイトを見たほうがいいですが、ざっくりと2016/01/17時点の情報を知りたい方に有用です。 サマリ 国内でも海外でも金融機関の導入事例がある(ただし、基幹システム含まず)。 セキュリティに関する認証や、品質に関する規格も数多く取得している。 寧ろ物理観点におけるセキュリティの基準は、日本より海外の方が厳しいことや、論理と物理が疎結合となっているクラウドの特徴からかなり高いといえる。 awsが取得しているセキュリティ関連の認証 https://aws.amazon.com/jp/compliance/ にあるように、品質については以下の認証を取得している ISO 9001 : 製品と
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
