サーバーの脆弱性管理に関して(OpenStack + Vuls) -...

サーバーの脆弱性管理に関して

株式会社ブロードバンドタワー

Cloud&SDN 研究所

岩本裕真

05/01/2023 2

自己紹介

All rights reserved. ©BroadBand Tower, Inc. 2016

2015 年 4 月株式会社ブロードバンドタワー入社

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 Cloud&SDN 研

究所所属

当社クラウド系新規サービス開発・構築・運用

時々 IoT やっています。

Interop 2014 ・ 2016 　 STM 参加

学生時代は、データセンターネットワークの無線化に関する研究をしていまし

た。

皆さんはサーバの脆弱性管理をどのように行っていますか？

3

05/01/2023 4

OpenStack のセキュリティ問題


「 OpenStack 　脆弱性」とグーグル検索すると多くの脆弱性情報がヒットす

る。例

05/01/2023 5

よくある脆弱性の管理


Excel ・スプレッドシート等の表計算ソフトこれがおおい？

てきとーに管理（管理できてない）学術系とか個人とかに多い！？

自社開発ソフトによる自社運用開発力のある会社では、やっている。

05/01/2023 6All rights reserved. ©BroadBand Tower, Inc. 2016

OpenStack には、各サーバの脆弱性情報を管理す

るための機能がない。

05/01/2023 7

オープンソース脆弱性管理ソフトウェア Vuls


vuls(VULnerability Scanner)フューチャーアーキテクトが開発オープンソースソフトウェア

https://github.com/future-architect/vulsGo 言語で実装Linux ・ BSD のディストリビューションを問わずスキャン可能エージェントレススキャン

SSH 経由

メール・ Slack 連携が可能ブラウザから可視化された表で管理できる。

表のパラメータの操作が可能。

05/01/2023 8All rights reserved. ©BroadBand Tower, Inc. 2016

低コストに組織内シーサート (Internal CSIRT) 運用することができる。

05/01/2023 9

CUI よる可視化の例


05/01/2023 10

ブラウザによる可視化の例


05/01/2023 11

どのように運用するか


構築方法・現状のシステムへの組み込み。スキャン対象までのリーチャビリティがあるマシンに vuls をインストールスキャン対象に対してスキャン用のアカウントを作成しておく。

スキャンの際にパッケージ管理ソフトを用いるので root 権限が必要となる。 (/etc/sudoers に nonpasswd の設定することを推奨されています )

vuls サーバから鍵認証でログイン可能にしておく。Ansible 等の構成管理ツールを用いれば運用中のサーバにも一括で適応可能である。

05/01/2023 12

どのように運用するか


任意のサイクルで以下上から順番に実行go-cve-dictionary の更新vuls 自体の更新CVE 情報を更新スキャン開始結果を slack に送信Web または Slack で確認

※Slack に送る際には、スキャン結果が多すぎると Slack 側で弾くかれてしまうので CVSS スコアでフィルタする。（展望）

デモ

13

05/01/2023 14

デモ環境


検証用コンピュートノード・コントローラーノードに対してスキャン

スキャン結果を slack へ送信・確認

compute 2 台 controller 2 台スキャン & 可視化サーバ172.28.1.219

172.28.1.62172.28.1.63

172.28.1.65172.28.1.66

05/01/2023 15

感じた事


GUI も非常に見やすく簡単に集約管理が行えるのでとても便利。

Vuls は、パスワードを用いた SSH 通信の管理をサポートしていないので鍵

ベースの認証管理をすることを求められている。ルート権限を与えるので秘密鍵の管理が非常に重要となる。会社の認証に関するセキュリティポリシーに適応できるか。

Slack への送信で結果の表示が多すぎると Slack で弾かれてしまうより情報を圧縮した形式で Slack に送る実装もしくは、間引いて送る事が求められる。

有料版でも CVSS スコアでフィルタリングしないと厳しい。現状の逃げ道は、メールで結果を送信する。

Appendix

05/01/2023 17

参考サイト


vulshttps://github.com/future-architect/vuls

vulsrepohttps://github.com/usiusi360/vulsrepo

slack 連携https://blog.animereview.jp/vuls/

https://github.com/future-architect/vuls

https://github.com/future-architect/vuls

https://github.com/usiusi360/vulsrepo

https://github.com/usiusi360/vulsrepo

https://blog.animereview.jp/vuls/

https://blog.animereview.jp/vuls/

05/01/2023 18

スクリプト


OpenStack-Lab の github URLUbuntu14.04 用インストールスクリプト

https://github.com/yuma-bbt/vuls_install_scriptcron スクリプト

https://github.com/openstack-lab/vuls_install_script/blob/master/cron_script.sh参考コンフィグファイル

https://github.com/openstack-lab/vuls_install_script/blob/master/config.toml

サーバーの脆弱性管理に関して(OpenStack + Vuls) -...

Technology

Transcript of サーバーの脆弱性管理に関して(OpenStack + Vuls) -...