【若手エンジニア応援LT会】AWS Security Hubの活用に苦労した話

AWS Security Hubの活用に苦労した話。若手エンジニア応援LT会 2024.10.30 本資料の内容は発表者の個人的見解であり、所属組織の公式見解を示すものではありません。本資料に記載されている製品名、会社名、ロゴ等は、各社の商標または登録商標です。

自己紹介 1 1年目システムエンジニア岡田理 Okada
Aya ◆ 勤務地：広島 ◆ 仕事内容：クラウド, NW, セキュリティ関連 ◆ 参加イベント： -AWS Jr.Championsイベント＠福岡 -AWS勉強会基礎知識講座(社内) @福岡・大阪 -AWS勉強会ハンズオン(社内) @福岡・大阪 -若手エンジニア応援LT会 @東京 ◆ AWS歴：2ヵ月

AWS社内検証環境に AWS Security Hubを導入したんだけど、スコアがものすごく悪いから、調査してくれない？？

現状 3 • セキュリティ状況の可視化 AWS Security Hub スコアが悪い＝
脆弱性が多い、不要なコストが存在する • 脅威検出とリスク評価

苦労ポイント①

調査するリソース量多すぎる、、、

失敗リソースの量が多
い 6

い 7

い 8

い 9

依頼の背景 10 現状、無作法にAWSが使われてる →実態を調べて対処したい調査の中で様々なサービスを知れる →岡田さんの勉強になるのでは

依頼の背景 11 現状、無作法にAWSが使われてる →実態を調べて対処したい調査の中で様々なサービスを知れる →岡田さんの勉強になるのでは

泥臭く調査 12

泥臭く調査 13

い 14

い 15

い 16

泥臭く調査 17

泥臭く調査 18

泥臭く調査 19

泥臭く調査 20

学び 21 このサービスはこんな機能で、セキュリティの観点だとここに気を付けたほうがいいんだ！

学び 22 機能：ストリーミングデータの処理 • ストリーム内のデータを暗号化して、不正アクセスから保護する • IAMポリシーを使用して、ストリームへのアクセスを制限する
機能：ユーザーやリソースのアクセス管理 • ユーザーやロールには、必要なアクセス権限のみを付与する • 重要なアカウントには多要素認証を導入し、セキュリティを強化する AWS Identity and Access Management (IAM) Amazon Kinesis

調査結果 23 × S3バケットがインターネットアクセス許可されていた × セキュリティグループにてポートが全開放
or SSHやRDPが全許可されていたデータ漏洩や不正アクセスの危険のある状態、、、

苦労ポイント②

検証環境だから、、対応できない調査結果もあるね

検証環境を考慮する 26
△ 検証という兼ね合いでコストを使い過ぎたくない △ 検証環境だと機能として強すぎる △ 作成途中のサービスの管理が難しい

よかったこと 27 • AWSのベストプラクティスを理解したことで、提案や設計で押さえるべき箇所が分かりやすくなった
• NWまわりやS3の致命的な設定ミスをわかりやすく拾えた

今後の付き合い方 28 ◎
オートメーションを利用して、調査を簡略化したい ◎ 検証環境でもうまくチューニングし、自動修復させたい ◎ 要対応事項をまとめて、注意喚起を行いたい

まとめ 29 ✓ 失敗チェック項目が多すぎて苦労した ✓ ベストプラクティスと検証環境との兼ね合いを考慮するのに苦労した AWSの各サービスについてより理解を深め、
AWS Security Hubを効果的に活用したい「AWS Security Hubの活用に苦労した話。」本資料の内容は発表者の個人的見解であり、所属組織の公式見解を示すものではありません。本資料に記載されている製品名、会社名、ロゴ等は、各社の商標または登録商標です。

【若手エンジニア応援LT会】AWS Security Hubの活用に苦労した話

【若手エンジニア応援LT会】AWS Security Hubの活用に苦労した話

Kazushi

More Decks by Kazushi

Other Decks in Technology

Featured

Transcript

自己紹介 1 1年目システムエンジニア岡田理 Okada

AWS社内検証環境に AWS Security Hubを導入したんだけど、スコアがものすごく悪いから、調査してくれない？？

現状 3 • セキュリティ状況の可視化 AWS Security Hub スコアが悪い＝

苦労ポイント①

調査するリソース量多すぎる、、、

失敗リソースの量が多

失敗リソースの量が多

失敗リソースの量が多

失敗リソースの量が多

依頼の背景 10 現状、無作法にAWSが使われてる →実態を調べて対処したい調査の中で様々なサービスを知れる →岡田さんの勉強になるのでは

依頼の背景 11 現状、無作法にAWSが使われてる →実態を調べて対処したい調査の中で様々なサービスを知れる →岡田さんの勉強になるのでは

泥臭く調査 12

泥臭く調査 13

失敗リソースの量が多

失敗リソースの量が多

失敗リソースの量が多

泥臭く調査 17

泥臭く調査 18

泥臭く調査 19

泥臭く調査 20

学び 21 このサービスはこんな機能で、セキュリティの観点だとここに気を付けたほうがいいんだ！

学び 22 機能：ストリーミングデータの処理 • ストリーム内のデータを暗号化して、不正アクセスから保護する • IAMポリシーを使用して、ストリームへのアクセスを制限する

調査結果 23 × S3バケットがインターネットアクセス許可されていた × セキュリティグループにてポートが全開放

苦労ポイント②

検証環境だから、、対応できない調査結果もあるね

検証環境を考慮する 26

よかったこと 27 • AWSのベストプラクティスを理解したことで、提案や設計で押さえるべき箇所が分かりやすくなった

今後の付き合い方 28 ◎

まとめ 29 ✓ 失敗チェック項目が多すぎて苦労した ✓ ベストプラクティスと検証環境との兼ね合いを考慮するのに苦労した AWSの各サービスについてより理解を深め、