サーバーの脆弱性管理に関して(openstack + vuls) -...
TRANSCRIPT
![Page 1: サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)](https://reader035.vdocuments.net/reader035/viewer/2022081514/5876d4e91a28ab1d238b5523/html5/thumbnails/1.jpg)
サーバーの脆弱性管理に関して
株式会社ブロードバンドタワー
Cloud&SDN 研究所
岩本裕真
![Page 2: サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)](https://reader035.vdocuments.net/reader035/viewer/2022081514/5876d4e91a28ab1d238b5523/html5/thumbnails/2.jpg)
05/01/2023 2
自己紹介
All rights reserved. ©BroadBand Tower, Inc. 2016
2015 年 4 月 株式会社ブロードバンドタワー入社
Cloud&SDN 研
究所所属
当社クラウド系新規サービス開発・構築・運用
時々 IoT やっています。
Interop 2014 ・ 2016 STM 参加
学生時代は、データセンターネットワークの無線化に関する研究をしていまし
た。
![Page 3: サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)](https://reader035.vdocuments.net/reader035/viewer/2022081514/5876d4e91a28ab1d238b5523/html5/thumbnails/3.jpg)
皆さんはサーバの脆弱性管理をどのように行っていますか?
3
![Page 4: サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)](https://reader035.vdocuments.net/reader035/viewer/2022081514/5876d4e91a28ab1d238b5523/html5/thumbnails/4.jpg)
05/01/2023 4
OpenStack のセキュリティ問題
All rights reserved. ©BroadBand Tower, Inc. 2016
「 OpenStack 脆弱性」とグーグル検索すると多くの脆弱性情報がヒットす
る。例
![Page 5: サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)](https://reader035.vdocuments.net/reader035/viewer/2022081514/5876d4e91a28ab1d238b5523/html5/thumbnails/5.jpg)
05/01/2023 5
よくある脆弱性の管理
All rights reserved. ©BroadBand Tower, Inc. 2016
Excel ・スプレッドシート等の表計算ソフトこれがおおい?
てきとーに管理(管理できてない)学術系とか個人とかに多い!?
自社開発ソフトによる自社運用開発力のある会社では、やっている。
![Page 6: サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)](https://reader035.vdocuments.net/reader035/viewer/2022081514/5876d4e91a28ab1d238b5523/html5/thumbnails/6.jpg)
05/01/2023 6All rights reserved. ©BroadBand Tower, Inc. 2016
OpenStack には、各サーバの脆弱性情報を管理す
るための機能がない。
![Page 7: サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)](https://reader035.vdocuments.net/reader035/viewer/2022081514/5876d4e91a28ab1d238b5523/html5/thumbnails/7.jpg)
05/01/2023 7
オープンソース脆弱性管理ソフトウェア Vuls
All rights reserved. ©BroadBand Tower, Inc. 2016
vuls(VULnerability Scanner)フューチャーアーキテクトが開発オープンソースソフトウェア
https://github.com/future-architect/vulsGo 言語で実装Linux ・ BSD のディストリビューションを問わずスキャン可能エージェントレススキャン
SSH 経由
メール・ Slack 連携が可能ブラウザから可視化された表で管理できる。
表のパラメータの操作が可能。
![Page 8: サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)](https://reader035.vdocuments.net/reader035/viewer/2022081514/5876d4e91a28ab1d238b5523/html5/thumbnails/8.jpg)
05/01/2023 8All rights reserved. ©BroadBand Tower, Inc. 2016
低コストに組織内シーサート (Internal CSIRT) 運用することができる。
![Page 9: サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)](https://reader035.vdocuments.net/reader035/viewer/2022081514/5876d4e91a28ab1d238b5523/html5/thumbnails/9.jpg)
05/01/2023 9
CUI よる可視化の例
All rights reserved. ©BroadBand Tower, Inc. 2016
![Page 10: サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)](https://reader035.vdocuments.net/reader035/viewer/2022081514/5876d4e91a28ab1d238b5523/html5/thumbnails/10.jpg)
05/01/2023 10
ブラウザによる可視化の例
All rights reserved. ©BroadBand Tower, Inc. 2016
![Page 11: サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)](https://reader035.vdocuments.net/reader035/viewer/2022081514/5876d4e91a28ab1d238b5523/html5/thumbnails/11.jpg)
05/01/2023 11
どのように運用するか
All rights reserved. ©BroadBand Tower, Inc. 2016
構築方法・現状のシステムへの組み込み。スキャン対象までのリーチャビリティがあるマシンに vuls をインストールスキャン対象に対してスキャン用のアカウントを作成しておく。
スキャンの際にパッケージ管理ソフトを用いるので root 権限が必要となる。 (/etc/sudoers に nonpasswd の設定することを推奨されています )
vuls サーバから鍵認証でログイン可能にしておく。Ansible 等の構成管理ツールを用いれば運用中のサーバにも一括で適応可能である。
![Page 12: サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)](https://reader035.vdocuments.net/reader035/viewer/2022081514/5876d4e91a28ab1d238b5523/html5/thumbnails/12.jpg)
05/01/2023 12
どのように運用するか
All rights reserved. ©BroadBand Tower, Inc. 2016
任意のサイクルで以下上から順番に実行go-cve-dictionary の更新vuls 自体の更新CVE 情報を更新スキャン開始結果を slack に送信Web または Slack で確認
※Slack に送る際には、スキャン結果が多すぎると Slack 側で弾くかれてしまうので CVSS スコアでフィルタする。(展望)
![Page 13: サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)](https://reader035.vdocuments.net/reader035/viewer/2022081514/5876d4e91a28ab1d238b5523/html5/thumbnails/13.jpg)
デモ
13
![Page 14: サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)](https://reader035.vdocuments.net/reader035/viewer/2022081514/5876d4e91a28ab1d238b5523/html5/thumbnails/14.jpg)
05/01/2023 14
デモ環境
All rights reserved. ©BroadBand Tower, Inc. 2016
検証用コンピュートノード・コントローラーノードに対してスキャン
スキャン結果を slack へ送信・確認
compute 2 台 controller 2 台 スキャン & 可視化サーバ172.28.1.219
172.28.1.62172.28.1.63
172.28.1.65172.28.1.66
![Page 15: サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)](https://reader035.vdocuments.net/reader035/viewer/2022081514/5876d4e91a28ab1d238b5523/html5/thumbnails/15.jpg)
05/01/2023 15
感じた事
All rights reserved. ©BroadBand Tower, Inc. 2016
GUI も非常に見やすく簡単に集約管理が行えるのでとても便利。
Vuls は、パスワードを用いた SSH 通信の管理をサポートしていないので鍵
ベースの認証管理をすることを求められている。ルート権限を与えるので秘密鍵の管理が非常に重要となる。会社の認証に関するセキュリティポリシーに適応できるか。
Slack への送信で結果の表示が多すぎると Slack で弾かれてしまうより情報を圧縮した形式で Slack に送る実装もしくは、間引いて送る事が求められる。
有料版でも CVSS スコアでフィルタリングしないと厳しい。現状の逃げ道は、メールで結果を送信する。
![Page 16: サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)](https://reader035.vdocuments.net/reader035/viewer/2022081514/5876d4e91a28ab1d238b5523/html5/thumbnails/16.jpg)
Appendix
![Page 17: サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)](https://reader035.vdocuments.net/reader035/viewer/2022081514/5876d4e91a28ab1d238b5523/html5/thumbnails/17.jpg)
05/01/2023 17
参考サイト
All rights reserved. ©BroadBand Tower, Inc. 2016
vulshttps://github.com/future-architect/vuls
vulsrepohttps://github.com/usiusi360/vulsrepo
slack 連携https://blog.animereview.jp/vuls/
![Page 18: サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)](https://reader035.vdocuments.net/reader035/viewer/2022081514/5876d4e91a28ab1d238b5523/html5/thumbnails/18.jpg)
05/01/2023 18
スクリプト
All rights reserved. ©BroadBand Tower, Inc. 2016
OpenStack-Lab の github URLUbuntu14.04 用インストールスクリプト
https://github.com/yuma-bbt/vuls_install_scriptcron スクリプト
https://github.com/openstack-lab/vuls_install_script/blob/master/cron_script.sh参考コンフィグファイル
https://github.com/openstack-lab/vuls_install_script/blob/master/config.toml
![Page 19: サーバーの脆弱性管理に関して(OpenStack + Vuls) - OpenStack最新情報セミナー(2016年12月)](https://reader035.vdocuments.net/reader035/viewer/2022081514/5876d4e91a28ab1d238b5523/html5/thumbnails/19.jpg)
05/01/2023All rights reserved. © BroadBand Tower, Inc. 2016 19