重複したIAM、拒否と許可どっちが優先？アクセス制御の特性をAWS・Google Cloud・Azure・Firebaseそれぞれについて理解する - Flatt Security Blog

2024/12/04 19 users IAM 特性 拒否 Flatt Security Blog

はじめに こんにちは、セキュリティエンジニアの@okazu_dm です。 突然ですが、皆さんは以下のクイズに自信を持って回答できるでしょうか。これはSRE NEXT 2023で弊社が出題したクイズなのですが、それぞれのポリシーに存在するAllow, Denyのうちどれが優先されるかがポイントになります。 クイズの答えはここをクリック... 続きを読む

Postgresqlのltreeを活用した階層構造の便利な利用法 - RAKUS Developers Blog | ラクス エンジニアブログ

2024/10/08 13 users PostgreSQL ラクス 階層構造 承認フロー テーブル

はじめに ltreeとは ltree型 ltreeの操作 活用法 1. 承認フローの構築 事前準備 テーブル作成 データ追加 2. テーブルに細かくアクセス制御をかける 事前準備 ltreeの有効化 テーブル作成 ポリシー作成 行セキュリティポリシーの有効化 ポリシーの設定 データを追加 ユーザー作成 試す まとめ はじめに こんにちは！ エ... 続きを読む

Amazon DataZone でデータカタログを実現する - Taste of Tech Topics

2024/08/26 13 users Taste of Tech Topics データカタログ

はじめに こんにちは一史です。最近自動給水器を買い、ベランダで育てているバジルの水やりを自動化しました。テクノロジーは素晴らしいですね。 さて、AWSにはAmazon DataZoneという組織が蓄積した膨大なデータに対して、データの発見、アクセス制御、管理を簡素化するデータ管理サービスがあります。 データドリブンが... 続きを読む

JVNTA#90371415: WindowsカーネルドライバーのIOCTL処理におけるアクセス制御不備の脆弱性

2024/04/23 5 users WDF 脆弱性 第三者 本脆弱性 複数

第三者が提供するWindowsカーネルドライバーに、IOCTL処理におけるアクセス制御不備の脆弱性が報告されています。 IOCTLインタフェースを実装したWindowsカーネルドライバー Carbon Blackの研究者により、複数のWDF（Windows Driver Framework）およびWDM（Windows Driver Model）カーネルドライバーに本脆弱性が存在す... 続きを読む

マイクロサービス間通信における認証認可およびアクセス制御

2023/12/07 150 users 認証認可

はじめに 2023年4月に基盤エンジニアとして Ubie に入社しました nerocrux です。主に Ubie の ID 基盤の開発と保守運用を担当しています。 この記事は、2023 Ubie Engineers アドベントカレンダー 5 日目の記事となります。 Ubie では、モジュラモノリスを採用しつつ、マイクロサービスアーキテクチャも採用しており、... 続きを読む

SDDLで学ぶWindowsのアクセス制御 - ラック・セキュリティごった煮ブログ

2023/11/13 11 users UNIX ＡＣＬ 北原 Linux オブジェクト

北原です。 今回は、Windows OSを守るセキュリティ機能の中でも重要な役割を担う、アクセス制御に関する話題を解説します。 UnixやLinuxでは「Everything is a file」と言われていますが、Windows OSではファイルやプロセスをはじめとする全てのものがオブジェクトとして管理されており、それぞれが ACL（Access Control... 続きを読む

社内システムのIP制限更新作業が大変になってきたのでAWS ClientVPNを導入した話

2023/08/17 120 users セキュリティグループ 社内システム アルダグラム AWS 背景

こんにちは、アルダグラムのSREエンジニアの okenak です 今回は AWS ClientVPN を導入したことで、社内の運用業務の効率化とセキュリティの強化を達成した事例を紹介したいと思います。 背景 2019年の段階では社員数が12名程度だったこともあり、社内システムのアクセス制御にAWSのセキュリティグループを利用してオフ... 続きを読む

Cloudflare Pagesの`{name}.pages.dev`ドメインに自分だけアクセスできるようにアクセス制限をつける手順

2023/07/08 36 users Name Cloudflare Pages デフォルト 手順

Cloudflare Pagesの {name}.pages.dev ドメインに自分だけアクセスできるようにアクセス制限をつける手順です。 アプリケーション側の変更は不要で、Cloudflare Accessの機能を使ってアクセス制御ができます。 カスタムドメイン(Cloudflare DNS)を設定している場合の方法は色々ありますが、デフォルトで用意されている {... 続きを読む

AWS、アプリケーション内できめ細かなアクセス制御を実現するポリシー言語「Ceder」と認可エンジンをオープンソースで公開

2023/05/14 9 users AWS ポリシー言語 オープンソース アプリケーション内 公開

AWS、アプリケーション内できめ細かなアクセス制御を実現するポリシー言語「Ceder」と認可エンジンをオープンソースで公開 Amazon Web Services（AWS）は、アプリケーション内できめ細かなアクセス制御を実現するポリシー言語「Ceder」と、Cederに対応した認可エンジンをオープンソースで公開したことを発表しました。 C... 続きを読む

Firebaseの新機能「Cross-service Rules」でCloud Storageのアクセス制御をスマートに実装しよう - Flatt Security Blog

2022/11/15 14 users Firebase セキュリティエンジニア Sz4rny 本稿

こんにちは。株式会社Flatt Security セキュリティエンジニアの梅内 (@Sz4rny) です。 本稿では、2022年9月に Cloud Storage for Firebase に新たに導入された Cross-service Rules という機能について、前提知識をおさらいしつつ、実例を交えながらその概要や利用方法、メリットなどを紹介します。 また、Flatt Securit... 続きを読む

AWS、AWS SSOとOktaによるエンドツーエンドのABAC構築の利点およびその方法を解説：CodeZine（コードジン）

2021/07/20 6 users IdP ABAC エンドツーエンド CodeZine OKTA

米Amazon Web Servicesは、属性ベースのアクセス制御（ABAC）戦略を使用する利点と、OktaをIDプロバイダ（IdP）として用いる際にAWS Single Sign-On（AWS SSO）でABACを使用する方法について、7月6日（現地時間）付の公式ブログ投稿にて解説している。 同投稿では、ABACを使用する理由として、属性条件の一致に基づいて... 続きを読む

広がるクラウド導入で不正侵入のリスク増大、アクセス制御が鬼門に | 日経クロステック（xTECH）

2021/04/10 21 users xTech 鬼門 日経クロステック 不正侵入 リスク増大

クラウドサービスを使う企業や団体を狙ったサイバー攻撃が日本でも目立ってきた。記憶に新しいのは、セールスフォース・ドットコムが手掛けるクラウドサービスの「設定不備」に起因する不正アクセスだ。2020年12月以降、楽天やPayPay、イオン、神戸市、全日本空輸（ANA）などが次々に被害を公表している。 もっともこの... 続きを読む

Amazon API Gateway で API キーを使わずに認証とアクセス制御を行う | Amazon Web Services ブログ

2020/12/11 7 users gateway API 制約 要件 AWS WAF

Amazon Web Services ブログ Amazon API Gateway で API キーを使わずに認証とアクセス制御を行う はじめに Amazon API Gateway の API キーの利用を検討したものの、API キーの制約によってプロダクトの要件を満たせないことがあります。その際、それぞれ Amazon Cognito を利用した認証と AWS WAF を用いた IP ベース... 続きを読む

Site Isolation 及び Web のセキュリティモデルの更新 | blog.jxck.io

2020/05/22 14 users セキュリティモデル isolation SPECTRE 境界

Intro Origin は Web におけるセキュリティモデルの一つとして、コンテンツ間の Communication に関する境界を定義し、リソースを保護してきた。 しかし、 Spectre の発覚以降、 Communication に関する制限だけではなく Isolation によるメモリレベルでのアクセス制御が必要となった。 そこで現在作業されているのが、 ... 続きを読む

Data Catalog のポリシータグで BigQuery カラムレベルのアクセス制御が可能になったので試してみた | Developers.IO

2020/04/07 6 users Developers.IO BigQuery カラム 最下層

こんにちは、みかみです。 これまで BigQuery のデータのアクセス制御を指定できる最下層のリソースはデータセットで、テーブルやカラム単位でのアクセス制御はできませんでしたが、Data Catalog のポリシータグを付与することで、カラムレベルのアクセス制御が指定できるようになったそうです。 BigQuery の列レベルの... 続きを読む

GCP Cloud IAM と BigQuery のデータセット、テーブル、View へのアクセス制御を確認してみた ｜ Developers.IO

2020/01/10 7 users BigQuery GCP View 単位 テーブル

こんにちは、みかみです。 GCP ＆ BigQuery 勉強中です。 データを取り扱う以上、個人情報の閲覧可能な範囲など、セキュリティには当然十分に気を付ける必要があります。 BigQuery ではどの単位でどうやってア […] 続きを読む

アクセス制御を厳格に行っている環境からのs3利用 - Technology of DeNA

2019/10/10 48 users Technology of DeNA 環境 DeNA 一例

こんにちは、IT基盤部第一グループの生井です。 DeNAが提供するヘルスケア系サービスのインフラを担当しています。 ヘルスケア領域ではセンシティブ情報を扱いますので、日々高レベルなセキュリティ設計・運用を行う必要があります。 今回はその一例として、アクセス制御を厳格に行っている環境からS3を利用する際に行っ... 続きを読む

[アップデート] EKSでIAMロールを使ったPod単位のアクセス制御が可能になりました！ ｜ DevelopersIO

2019/09/08 20 users DevelopersIO EKS 青柳 IAMロール AWS

みなさん、こんにちは！ AWS事業本部の青柳＠福岡オフィスです。 AWSのマネージドKubernetesサービスである「EKS」(Amazon Elastic Kubernetes Service) に、多くの人が待望していた (かもしれない) 機能がついに追加されました！ Amazon EKS Adds Support to Assign IAM Permissions to Kubernetes Service Accounts タ... 続きを読む

EC2のSSHアクセスをIAMで制御できるEC2 Instance Connectが発表されました ｜ DevelopersIO

2019/06/28 77 users IAM DevelopersIO 権限 SSHアクセス 生成

大栗です。 先程EC2に対してIAMでログイン制御を行えるEC2 Instance Connectが発表されました。 Introducing Amazon EC2 Instance Connect New: Using Amazon EC2 Instance Connect for SSH access to your EC2 Instances EC2 Instance Connect EC2 Instance ConnectではIAMの権限でアクセス制御が行えて、一時的に生成... 続きを読む

[新機能] CloudFormationでタグベースのアクセス制御が可能になりました ｜ DevelopersIO

2019/05/31 29 users スタック CloudFormation 可否 菊池 タグ

こんにちは、菊池です。 本日ご紹介するアップデートはこちら。 Announcing Tag-Based Access Control for AWS CloudFormation CloudFormationのスタックが、タグによるアクセス制御が可能になっています。作成したスタックに対し、タグによって変更・削除の可否が設定できます。 やってみた 実現したいイメージです。 ... 続きを読む

フィッシングウェブサイトはいかに検索除け対策をしているのか | ninoseki.github.io

2018/11/04 40 users ninoseki.github Deny Allow 本稿

本稿では実際のフィッシングウェブサイトが採用している検索除け(クローラー対策)手法について紹介します。 .htaccess による対策 まずは .htaccess による対策です。 allow / deny によるアクセス制御 特定の IP からのアクセスをブロックするためのブラックリストとして、.htaccess を使用するパターンがあります。 以... 続きを読む

アクセス制御の抜け穴となりがちな特権をどのように管理するか (1/2)：今さら？ 今こそ！ データベースセキュリティ（11） - ＠IT

2018/07/12 12 users 抜け穴 特権 Tips Oracle Database 本連載

今さら？ 今こそ！ データベースセキュリティ（11）：アクセス制御の抜け穴となりがちな特権をどのように管理するか (1/2) 本連載では、データベースセキュリティの「考え方」と「必要な対策」をおさらいし、Oracle Databaseを軸にした「具体的な実装方法」や「Tips」を紹介していきます。今回は特権ユーザーの管理につ... 続きを読む

ロードバランサーにDDoS防御システムやIPアドレスでのアクセス制御を組み込む「Cloud Armor」がGoogle Cloud Platformで提供開始 - GIGAZINE

2018/03/24 36 users DDoS GCP YouTube ロードバランサー Gmail

Googleはクラウドサービス「Google Cloud Platform(GCP)」の顧客向けに、GmailやYouTubeなど自社のサービスで使用しているDDoSの防衛技術を新サービス「 Cloud Armor 」として公開しました。 Cloud Armor - Denial of Service Defense | Google Cloud https://cloud.google.com/... 続きを読む

さくらVPSで利用していたmemcachedがリフレクションDDoS攻撃発信の踏み台として悪用された件 - Qiita

2018/02/28 172 users memcached Qiita 踏み台 デフォルト みたい

突如メールが・・・ セキュリティ案件 memcached のアクセス制御に関する注意喚起 https://www.jpcert.or.jp/at/2018/at180009.html memcahcedの設定をデフォルトで使用していたため、リッスンするIPに制限がかかっておらず外部からアクセス可能になってたみたい 対応ログ serviceコマンドに対応させる そもそもserviceコマンドに対応し... 続きを読む

memcachedが攻撃の踏み台に、JPCERT/CCが注意喚起 | 日経 xTECH（クロステック）

2018/02/27 29 users memcached xTech JPCERT 踏み台 日経

この記事は日経 xTECH登録会員限定ですが、2018年2月28日20時まではどなたでもご覧いただけます。 JPCERTコーディネーションセンター（JPCERT/CC）は2018年2月27日、分散型メモリキャッシュシステム「memcached」のアクセス制御に関する注意喚起を発した。memcachedの設定ミスで外部からアクセスを受け付けるサーバーが存在し、DDoS攻撃の踏み台として悪用されている... 続きを読む