増え続ける公開アプリケーションへの悪意あるアクセス。多層防御を取り入れるSRE活動。 #srenext
こんにちは。
ご機嫌いかがでしょうか。
"No human labor is no human error" が大好きな吉井 亮です。
2023年9月29日開催 SRE NEXT 2023 で登壇しました。当日投影したスライドを公開します。
登壇概要
あるWebセキュリティ情報メディアのレポートによると全世界で平均して1ホストあたり17回/秒のサイバー攻撃を検知しているそうです。
これは2022年のデータですが、おそらく2023年には増加していると予想します。
インターネットでアプリケーションを公開することはサイバー攻撃を受ける危険性と隣り合わせです。
自社の公開アプリケーションを守るためのSRE活動は何でしょうか?
実際に経験した事実を基にしたフィクションという体でサイバー攻撃への対策を紹介します。
サマリー
サイバー攻撃は年々大幅な増加傾向にあり、サイトあたり平均して1秒間に17回もの攻撃を受けているというリポートがあります。
変化していくサイバー攻撃に対抗する SRE 活動とは何でしょうか?
今日の合言葉は 城の中の王様を守る です。
1つの対策だけで満足せずに全てのレイヤー、全てのドメインで防御策を講じる多層防御を取り入れます。
エッジでは、DDoS/Exploits/一般的なセキュリティ対策を行います。
WAF や CDN の導入はそれらに役立ちます。
悪意のある攻撃に対して 403 を返すことが大切です。「私達は対策をしているのだ」ということを攻撃者に伝える意味です。
アプリケーションはホストから分離します。コンテナやサーバーレスの採用はその一歩です。コード以外のセキュリティ対策をクラウドベンダーへオフロードしましょう。
DB は最重要です。アクセス権は厳密に設定します。アプリが使う DB ユーザーに広い SELECT 権を付与してしまった場合、SQL インジェクション攻撃により DB の全てが暴かれてしまう可能性があります。
Shift Left や Security by Design の考えを取り入れます。ソフトウェア開発ライフサイクルの早い段階でセキュリティ問題に対処します。
Discussion