こんにちは、皆さんはゼロトラストですか？残念ながら僕はまだゼロトラストではありません。

一方で、ゼロトラストになるまでの過程は技術的に楽しみながら豊かに過ごしたいと思っています。

ten-snapon.com

 

75 Users

37 Pockets

2020.01.30

SSHログイン時に公開鍵認証とGoogle OAuthで多要素認証する

https://ten-snapon.com/archives/2306

こんばんは。みなさんは在宅勤務が大好きですか？僕は大好きです。好きすぎるがゆえにこういったことも起きました。https://twitter.com/pyama86/status/1221643056299905024?s=20そうなると、いかに安全に踏み台サーバを構築するかということになるのですが、セキュリティにおいて多層防御の考え方は非常に大事です。一般的な踏み台サーバであればおそらくFromIPでの制御と、公開鍵認証での運用が多いのではないでしょうか。ペパボでは僕が開発運用しているSTNSを利用して、公開鍵認証でのログインを必須にしているかつ、IPでの制御も...

先日書いたポストでは、踏み台サーバをGoogleoAuthを利用して堅牢にするという実装を紹介しました。一方でペパボは多くの商材がありその全てが一気にこれらの認証方式に移行できるかというとそうではありません。つまり、これまで通りFromIPでのデバイス認証が必要な箇所がおおくあります。

それらを解決するために同僚の @buty4629 が開発した kanmon を利用して、CLIからOpenStackのSGを開閉していました。

GitHub

buty4649/kanmon

https://github.com/buty4649/kanmon

OpenStackのSecurityGroupにルールを追加するツール. Contribute to buty4649/kanmon development by creating an account on GitHub.

これはサーバ名を指定したり、操作するSGを設定ファイルとして持たせることで、自宅のIPから特定のサーバにアクセスできるようにするソフトウェアです。とても便利なのですがOpenStackのAPIを実行する必要があるので、非エンジニアによる操作が少々困難であったり、OpenStackのアカウントの整備諸々が必要でした。

それらを解決すために開発したのが関門海峡です。

GitHub

pyama86/kanmon-kaikyo

https://github.com/pyama86/kanmon-kaikyo

Kanmon kaikyo is OpenStack SG controller with slack. - pyama86/kanmon-kaikyo

これは先に紹介したkanmonをSlack経由で実行するものなのですが、下記のような動きになります。

まずはボットにアクセスを許可したいServerIDを指定して話しかけると、URLが払い出されます。

リンクをクリックするとGoogleoAuthの画面が出てきます。

認証が無事パスされると、このときブラウザからアクセスしたFromIPをSecurityGroupにPermitで登録します。

本来Slack経由で何かしらを利用してAPI叩くとき非常に監査がしづらくなるのですが、このようにoAuthと上手に組み合わせることで監査も可能にしつつ、認証、認可をコントロールすることができます。

今回開発にあたって、botの部分は社内で@hibomaがしっかりとした実装を残してくれていたのでそれを大いに参考にしました。

CLIで運用しているものをちょっと工夫して、平易にすることで利活用できる場面は今の時代とても多いと思うで、運用でのちょっとした気づきをChatOpsしてみてはどうでしょうか。