規模においてのクラウド・セキュリティ PacSec 2014 Ben Hagenの自己紹介 ●  1996 - 交換留学生で来日, 佐賀県 ♥ ●  1999 - 交換留学生で再来日, 山梨県 ♥ ●  2004 - アイオワ州立大学でInformation Assurance（情報保証：米国務省の施策）の修士号を取得 ●  2005 - モトローラでSOC勤務の後にコンサルタント ●  2010 – Neohapsisでコンサルタント ●  2011 - 2012年米大統領選挙にてオバマ陣営の情報セキュリティチームを指揮 ●  2013 - Netflix にてクラウドセキュリティオペレーションチームとツールチームを率いる今日話すこと・・・ ●  Netflixにおけるクラウドとセキュリティ ●  最近のアプリケーション・デプロイ ●  クラウドにおけるセキュリティの問題と解決策 Netflix の紹介 – ビジネスの観点から ●  ●  ●  ●  ●  ●  購読ベースのビデオストリーミングサービス 5,000万人以上の会員 1,000種類以上のデバイスをサポート 40か国以上でサービスを展開３つのグローバル・リージョンから同時配信ピーク時間には、全米のトラフィックの約1/3を占める Netflix の紹介 – デベロッパーの眼から ●  ●  ●  ●  ●  数百のデベロッパー数百のアプリケーション 1日200件以上の実環境投入数万のインスタンスピーク時には通常の２倍のコンピューティング資源が必要 “Ne$lix にはDevOpsチームはいない” 私達はデベロッパーを信頼しているコードをデプロイする前のセキュリティゲートは無いアマゾンウェブサービス（AWS） ●  “クラウド” サービス一式 ●  最初の“拡張性を備えたコンピューティングクラウド” (EC2) o  o  仮想コンピューティング環境 “インスタンス” ●  更に・・・ o  o  o  データベースキューサービス DNS その他いくつかの重要なコンセプト ●  ●  ●  ●  AutoScaling グループ(ASG) / ロードバランサー (ELB) セキュリティグループリージョン / アベイラビリティゾーン (AZ) Identity and Access Management (IAM) 一番重要なことは、 AWS は API 中心ということ >早速コードをいくつか見てみよう変更不可能なサーバのパターン ●  アプリケーションはシステムイメージとしてデプロイされる ●  一度デプロイされたら決して変更できない ●  更新は新しいイメージのデプロイで行うインスタンスの平均寿命（TTL）は3日未満デプロイ 1.  デベロッパーはコードを GIT (オープンソース)に託す 2.  Jenkins (オープンソース) がコードをコンパイルして Ubuntu DEB の形式にパッケージする 3.  DEB はベースイメージ上にインストールされ、Bakery (オープンソース) を使用して AMI スナップショットが作成される 4.  AMI はAsgard (オープンソース)を使ってAWS上にエラスティッククラスターとしてデプロイされる a.  3つのリージョン, 各リージョン毎に3つのアベイラビリティゾーン “クラウド上での可用性は当たり前。その周りをどのように構成できる？” NetflixのSimian Army（猿軍団） ●  カオスを受け入れる o  おかしくなった時をシミュレートして、デベロッパーに対応を強制する ●  異なるものを見つけ出す ●  不正なものを探す ●  Security Monkey！（セキュリティ中毒） ●  オープンソース！ “@#(*$&) はどうなっている？どうやって追っていける？どうやって標準的なセキュリティタスクを実行できる？” プロジェクト・モントレー（Monterey）スクリプト形式で使えて（つまり）自動化できて、（アプリケーションの呼び出しが）チェイン構造にできて、拡張性の有るセキュリティツールの使用 ●  パイソンベースのプラグインとマネジメント・フレームワーク ●  大規模環境のデータを収集することと共通のセキュリティ・タスクを実行することを支援するために設計 ●  クラウド環境の変更に反応して動作 ●  「間もなく」オープンソースに “デベロッパーはいつでも新らしいアプリケーションをデプロイできる。何が大事なんだ？どうやってリスクを割り振れるんだ？” PenguinShortbread ●  自動的にアプリケーションのリスクを分析 ●  アプリケーションを総合的に調査 o  o  o  o  どのライブラリが使われているか？どのネットワーク・コネクションが生成されたか？どのデータにアクセスしたか？どのアプリケーションに依存しているか？そして、アプリケーションが依存しているか？ ●  リスクを評価 “大量のトラフィックが流れている。どうやって悪い要素を見つけて追えるんだ？” LazyFalcon ●  APIでネットワーク・アドレス情報を呼び出す仕組み ●  ネットワーク・スペースの内部履歴 ●  GeoIPおよびブラックリストの管理機能 ●  「間もなく」オープンソースに “ネットワークが複雑だ。どうやってファイアウォールのルールを管理できるんだ？どうやってルールの安全性と一貫性を確認できるんだ？” SecurityGrouper ●  AWSセキュリティグループをアカウントとリージョンにまたがって比較 ●  一貫性の無い、あるいは効果的でないルールを探す ●  標準ルールを簡単にアーカイブ＆適用 ●  JSON形式で読込み・書出し “インターネットは恐ろしい場所だ。” Scumblr ●  オープンソースのセキュリティ情報収集ツール ●  指定する場所を検索（Google, Twitter, Pastebin, など） ●  ワークフローを設定可能 ●  オープンソース！ “インターネットは恐ろしい場所だ。スクリーンショットを撮ることすら・・・” Sketchy Screenshotter ●  APIで呼び出す(充分に)安全なWebサイトのスクリーンショットツール ●  「最近の」Webサイトでスクリーンショットを撮るための最大限に工夫 ●  スケーラブル ●  何がWebサイト上にあるかを見る「安全な」方法 ●  オープンソース！ご清聴ありがとうございました！ http://netflix.github.io http://techblog.netflix.com ●  [email protected] ●  [email protected] ●  @benhagen