サーバーの脆弱性管理に関して
株式会社ブロードバンドタワー
Cloud&SDN 研究所
岩本裕真
05/01/2023 2
自己紹介
All rights reserved. ©BroadBand Tower, Inc. 2016
2015 年 4 月 株式会社ブロードバンドタワー入社
Cloud&SDN 研
究所所属
当社クラウド系新規サービス開発・構築・運用
時々 IoT やっています。
Interop 2014 ・ 2016 STM 参加
学生時代は、データセンターネットワークの無線化に関する研究をしていまし
た。
皆さんはサーバの脆弱性管理をどのように行っていますか?
3
05/01/2023 4
OpenStack のセキュリティ問題
All rights reserved. ©BroadBand Tower, Inc. 2016
「 OpenStack 脆弱性」とグーグル検索すると多くの脆弱性情報がヒットす
る。例
05/01/2023 5
よくある脆弱性の管理
All rights reserved. ©BroadBand Tower, Inc. 2016
Excel ・スプレッドシート等の表計算ソフトこれがおおい?
てきとーに管理(管理できてない)学術系とか個人とかに多い!?
自社開発ソフトによる自社運用開発力のある会社では、やっている。
05/01/2023 6All rights reserved. ©BroadBand Tower, Inc. 2016
OpenStack には、各サーバの脆弱性情報を管理す
るための機能がない。
05/01/2023 7
オープンソース脆弱性管理ソフトウェア Vuls
All rights reserved. ©BroadBand Tower, Inc. 2016
vuls(VULnerability Scanner)フューチャーアーキテクトが開発オープンソースソフトウェア
https://github.com/future-architect/vulsGo 言語で実装Linux ・ BSD のディストリビューションを問わずスキャン可能エージェントレススキャン
SSH 経由
メール・ Slack 連携が可能ブラウザから可視化された表で管理できる。
表のパラメータの操作が可能。
05/01/2023 8All rights reserved. ©BroadBand Tower, Inc. 2016
低コストに組織内シーサート (Internal CSIRT) 運用することができる。
05/01/2023 9
CUI よる可視化の例
All rights reserved. ©BroadBand Tower, Inc. 2016
05/01/2023 10
ブラウザによる可視化の例
All rights reserved. ©BroadBand Tower, Inc. 2016
05/01/2023 11
どのように運用するか
All rights reserved. ©BroadBand Tower, Inc. 2016
構築方法・現状のシステムへの組み込み。スキャン対象までのリーチャビリティがあるマシンに vuls をインストールスキャン対象に対してスキャン用のアカウントを作成しておく。
スキャンの際にパッケージ管理ソフトを用いるので root 権限が必要となる。 (/etc/sudoers に nonpasswd の設定することを推奨されています )
vuls サーバから鍵認証でログイン可能にしておく。Ansible 等の構成管理ツールを用いれば運用中のサーバにも一括で適応可能である。
05/01/2023 12
どのように運用するか
All rights reserved. ©BroadBand Tower, Inc. 2016
任意のサイクルで以下上から順番に実行go-cve-dictionary の更新vuls 自体の更新CVE 情報を更新スキャン開始結果を slack に送信Web または Slack で確認
※Slack に送る際には、スキャン結果が多すぎると Slack 側で弾くかれてしまうので CVSS スコアでフィルタする。(展望)
デモ
13
05/01/2023 14
デモ環境
All rights reserved. ©BroadBand Tower, Inc. 2016
検証用コンピュートノード・コントローラーノードに対してスキャン
スキャン結果を slack へ送信・確認
compute 2 台 controller 2 台 スキャン & 可視化サーバ172.28.1.219
172.28.1.62172.28.1.63
172.28.1.65172.28.1.66
05/01/2023 15
感じた事
All rights reserved. ©BroadBand Tower, Inc. 2016
GUI も非常に見やすく簡単に集約管理が行えるのでとても便利。
Vuls は、パスワードを用いた SSH 通信の管理をサポートしていないので鍵
ベースの認証管理をすることを求められている。ルート権限を与えるので秘密鍵の管理が非常に重要となる。会社の認証に関するセキュリティポリシーに適応できるか。
Slack への送信で結果の表示が多すぎると Slack で弾かれてしまうより情報を圧縮した形式で Slack に送る実装もしくは、間引いて送る事が求められる。
有料版でも CVSS スコアでフィルタリングしないと厳しい。現状の逃げ道は、メールで結果を送信する。
Appendix
05/01/2023 17
参考サイト
All rights reserved. ©BroadBand Tower, Inc. 2016
vulshttps://github.com/future-architect/vuls
vulsrepohttps://github.com/usiusi360/vulsrepo
slack 連携https://blog.animereview.jp/vuls/
05/01/2023 18
スクリプト
All rights reserved. ©BroadBand Tower, Inc. 2016
OpenStack-Lab の github URLUbuntu14.04 用インストールスクリプト
https://github.com/yuma-bbt/vuls_install_scriptcron スクリプト
https://github.com/openstack-lab/vuls_install_script/blob/master/cron_script.sh参考コンフィグファイル
https://github.com/openstack-lab/vuls_install_script/blob/master/config.toml
05/01/2023All rights reserved. © BroadBand Tower, Inc. 2016 19