概要
我々のNEC Cloud IaaSは機器台数も多く、保守チームは脆弱性対応に日々おわれています。
皆さんは脆弱性対応管理どのように行っていますか?今回は我々の基盤運用している中での脆弱性対応のご紹介です。
Rapid7 InsightVMを脆弱性管理ツールとして使用しています。
診断結果レポートと独自の構成管理DBをもとにwebページに表示
各保守チームはどの機器が、どのような脆弱性を抱えているのかを一目でわかるようになりました。さらにwebページに表示されるCVE番号からどのパッチを当てる必要があるかを判断するツールも自作しました。
ついでに、基盤サーバの保守チームでは、パッチ適用を完全に自動化する仕組みも作りました。スケジュールされた対象サーバが順次、パッチ適用から再起動されていきます。
再起動後にパッチ適用の影響で正常性確認が取れないときは、クラスタには復帰させないといったことも行っています。
この仕組みにより脆弱性対応という負荷が高い作業から解き放されつつあります。
議論ポイント
サーバ、ネットワーク機器のパッチ当てどうしていますか?
脆弱性対応管理ツールみなさん何つかってますか?
自動化どこまでできてますか?
場所
第1展示場A
日時
Day2 2025年1月23日(木) 10:15~11:00(45分)
発表者
栗原 大樹
kuribara hiroki
日本電気株式会社
松高 直輝
matsutaka naoki
日本電気株式会社
公開資料
web掲載用資料_構成管理DBで脆弱性管理を見える化、ついでにサーバのパッチ適用も自動化してみた