「セキュリティ」に関連する技術ブログ
企業やコミュニティが発信する「セキュリティ」に関連する技術ブログの一覧です。
全1891件中 1786 - 1800件目
未来のSREを最速で育てる!dely流SRE育成術、APOLLO計画の紹介
2017/08/04
ブックマーク
こんにちは。SREの @_skuwa です。 kurashiru(クラシル)を支えるインフラ作りや、ミドルウェアの開発等をやっています。 今日はdely SREチームが行っている障害対応訓練、APOLLO計画をご紹介します。 SREチームの課題 クラシルは他に類を見ないスピードで成長しているサービスのため、一般的には半年から数年ごとに行わなければいけないような負荷対策を数週間でどんどん行っ
開発効率を上げる!Swaggerの記法まとめ
2017/07/07
ブックマーク
この記事ではOpenAPI Specification v2に関する内容を取り上げています。しかし、2023年9月現在での最新の仕様はOpenAPI Specification v3となっています。最新の仕様に基づいて実装や学習を行いたい方は、公式ドキュメントやそれに関連する資料をご参照ください。 こんにちは! バックエンドエンジニアのりほやんです。 以前、テックブログでAPIモックと仕様書を作成することがで
APIを開発する上でチェックしたい基本の6項目
2017/06/28
ブックマーク
これからAPIを公開しようと考える企業は多いはずです。APIは単に作れば良いわけではなく、周辺の情報も一緒に整備していく必要があります。それらが抜け落ちると誰も使ってみようと思わないでしょう。 今回はAPIを開発する際に最低限チェックしたい6項目を紹介します。APIを公開する際にチェックしてもらうとよりスムーズな立ち上がりが期待できるでしょう。 APIフ
管理されていないAPIがもたらすリスクについて
2017/06/28
ブックマーク
大企業であったり、複数の事業をもった企業では部署やサービス毎にAPIを公開することがあります。統一されていない、基準のない中でAPIを公開すると、ユーザにとって不利益をもたらすことになったり、企業にとっても管理、運用コストの増大というデメリットにつながります。 今回はそんな管理されていないAPI公開に伴う問題を紹介します。 セキュリティリスク API
Lambda PythonでSQLAlchemyを使ってWarm Start時だけでもConnection Poolingする
2017/04/28
ブックマーク
こんにちは。先日、サーバーレスおじさん担当を拝命したわけですが、ちょっと久しぶりにMySQLの話ばっかりしている状況が楽しい照井@さっぽろです。RDSのIAM認証が来て、LambdaからRDSを使いやすくなったので、しょうがないということにしておきましょう。 さて、IAM認証の登場によってオンライン処理でLambdaからRDSを使う際の一番の課題であった、セキュリティと遅延の
【Rails】WEB APIを長く運用するための仕組み化
2017/03/28
ブックマーク
こんにちは、バックエンドエンジニアのじょーです。大規模なサービスのAPIを開発する際に、ルールを決めずに開発していると無秩序なコードが散見される運用がしづらいAPIになってしまいます。また、ルールを決めたとしても共有が上手くいかないなどの理由で守られなくなってしまうこともあると思います。 本記事では、APIを運用しやすくするために、ただルールを
Alert LogicでWAF環境を構築してみた
2017/03/02
ブックマーク
こんにちは、技術3課の紅林です。社内のドラゴンクエスト部の活動が活発な昨今です。わたしが好きなドラクエの曲は「戦火を交えて」です。 今回、Alert Logic社の提供するサービスの中のWAFに該当するWeb Security Managerを使ってみましたので、サービス概要、導入の流れ等をご紹介します。 はじめに:Alert Logicとは Alert Logic(以下、適宜AL)はAlert Logic社が提供するSecurity-as-a-Ser
APIStudy #5参加レポート
2017/02/23
ブックマーク
APIStudy #5参加レポート 2月21日、高円寺のヴァル研究所にてAPIStudy#5が開催されました。これはAPI設計のベストプラクティスを皆で考えるというLTとワークショップの形式で行われている勉強会になります。 今回はその参加レポートになります。 APIを巡る動き まず最初に主催であるアプレッソの脇野さんによる発表がありました。この1、2月の間にAPI関連のニュースをよく見
IAMユーザーにポリシーをアタッチ/デタッチするアクションをリリースしました
2017/02/13
ブックマーク
こんにちは、Cloud Automator 開発チームの山田です。 Cloud Automator はサービス開始時より、AWS環境におけるセキュリティ強化を支援する機能を提供して参りました。 また、サービス開始後も「セキュリティグループにインバウンドルールを追加/削除するアクション」や「構成レビュー機能」などセキュリティ関連の機能を強化しております。 先ほど「IAMユーザーにポリシー
多要素認証を使った運用でもっと安全に
2017/02/08
ブックマーク
こんにちは、カスタマー・サポート課のマツシタです。 AWSアカウントの特にrootアカウントは多要素認証(MFA)を設定することが強く推奨されています。ただ、多要素認証を設定するだけで安全と言えるでしょうか? 今日はAWSアカウント運用のセキュリティのさらなる強化を考えてみたいと思います。 多要素認証に今、求められているもの 多要素認証を設定しない場合、
CloudFront + S3 での IP アドレスベースのアクセス制限設定をする
2017/01/26
ブックマーク
こんにちは、インフラストラクチャー部の沼沢です。 今回は、CloudFront + S3 での IP アドレスベースのアクセス制限を実現する方法をご紹介します。 実現したかったこと 特定の外部拠点から参照されるファイルを S3 に配置したい 独自ドメインが使いたかったため、CloudFront を前段に用意 ファイルへのアクセスを特定の外部拠点の IP アドレスのみに制限したい S3 の URL への
APIでリアルタイムコミュニケーションを実現するには
2017/01/23
ブックマーク
APIは一般的にプル型の技術です。クライアント側からアクセスがあるまでは待ちの状態になります。クライアント側から見ても、サーバ内部でどのデータが更新されているのかはアクセスしてみるまで分かりません。この手の問題で厄介になるのが「どのデータが削除されたのか」が確認しづらいということです。すべてのデータを見た上で、抜け落ちていれば削除され
OWASP ZAP APIを使って脆弱性診断
2016/12/17
ブックマーク
こんにちは。システム本部の山田です。 (この記事は mediba Advent Calendar 2016 の19日目です) 弊社では機械的に実施する脆弱性診断はOWASP ZAPを利用しており、アプリを立ち上げGUIから脆弱性診断を実施しています。ただ継続的に実施していくには面倒でつい後回しになるため、自動化して開発プロセスに組み込む検討を始めました。 調査の際に作ったOWASP ZAP APIを使ったサンプ
[AWS][Python]Lambdaでタグを判別してEC2インスタンスを削除するスクリプトを作ってみた
2016/12/13
ブックマーク
みなさんこんにちは! 12月に入社しました、 インフラストラクチャー部のあだちん(安達)です。 まだ入社したばかりなのに、もうブログ書くの!? てな感じですが笑 さてさて、 medibaでは検証としてAWSを思う存分使える制度があります。 (hoge万円まで)→素晴らしい しかし、開発メンバーらが、そのままインスタンス起動しっぱなしで、 コストが上がったり。。 セキュリ
サーバーレスへの道(3) ~アウトソーシング~
2016/12/09
ブックマーク
前前回の記事「サーバーレスへの道(1) ~DevOpsと人~」前回の記事「サーバーレスへの道(2) ~アーキテクチャとセキュリティ~」に続き、A Cloud Guru の John McKim (@johncmckim) さんがサーバーレスについての記事「Adopting Serverless — Outsourcing」を書いてくれました。John さんに許可をいただきまして翻訳してみました。 https://twitter.com/johncmckim/status/800996459688513536 ↓ここから翻訳↓ サー