Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
"とにかくやってみる"で始めるAWS Security Hub
Search
mai miya
November 22, 2024
Technology
2
290
"とにかくやってみる"で始めるAWS Security Hub
2024/11/22 JAWS-UG朝会 #63
https://jawsug-asa.connpass.com/event/331907/
mai miya
November 22, 2024
Tweet
Share
More Decks by mai miya
See All by mai miya
re:Invent2024で広がった AWS Verified Accessの可能性を探る
maimyyym
1
49
“自分”を大切に、フラットに。キャリアチェンジしてからの一年 三ヶ月で見えたもの。
maimyyym
0
350
IAM JSON ポリシーと仲良くなろう
maimyyym
3
80
2年目エンジニアが過ごしたre:Invent、私にできる明日からのEverything starts with security
maimyyym
0
87
AWS Well-Architected Framework をみんなで読んでいる話
maimyyym
1
80
課金体系を紐解いて学ぶAWS WAF
maimyyym
2
150
自由で便利なLaravelのしんどいポイントを楽しさに変える
maimyyym
1
130
LandingZoneAccelerator と学ぶ 「スケーラブルで安全なマルチアカウントAWS環境」と 私たちにもできるベストプラクティス
maimyyym
1
260
初めての札幌と初めてのBedrock ~Bedrock Converse API×SAMで遊んでみる~
maimyyym
1
370
Other Decks in Technology
See All in Technology
2024.02.19 W&B AIエージェントLT会 / AIエージェントが業務を代行するための計画と実行 / Algomatic 宮脇
smiyawaki0820
14
3.5k
Helm , Kustomize に代わる !? 次世代 k8s パッケージマネージャー Glasskube 入門 / glasskube-entry
parupappa2929
0
250
人はなぜISUCONに夢中になるのか
kakehashi
PRO
6
1.7k
偶然 × 行動で人生の可能性を広げよう / Serendipity × Action: Discover Your Possibilities
ar_tama
1
1.1k
クラウドサービス事業者におけるOSS
tagomoris
2
860
オブザーバビリティの観点でみるAWS / AWS from observability perspective
ymotongpoo
8
1.5k
明日からできる!技術的負債の返済を加速するための実践ガイド~『ホットペッパービューティー』の事例をもとに~
recruitengineers
PRO
3
410
ビジネスモデリング道場 目的と背景
masuda220
PRO
9
560
個人開発から公式機能へ: PlaywrightとRailsをつなげた3年の軌跡
yusukeiwaki
11
3k
Amazon S3 Tablesと外部分析基盤連携について / Amazon S3 Tables and External Data Analytics Platform
nttcom
0
140
「海外登壇」という 選択肢を与えるために 〜Gophers EX
logica0419
0
710
ホワイトボードチャレンジ 説明&実行資料
ichimichi
0
130
Featured
See All Featured
Build The Right Thing And Hit Your Dates
maggiecrowley
34
2.5k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
Java REST API Framework Comparison - PWX 2021
mraible
28
8.4k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
3.7k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
114
50k
Statistics for Hackers
jakevdp
797
220k
Rebuilding a faster, lazier Slack
samanthasiow
80
8.8k
Gamification - CAS2011
davidbonilla
80
5.1k
The World Runs on Bad Software
bkeepers
PRO
67
11k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
366
25k
YesSQL, Process and Tooling at Scale
rocio
172
14k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
12
960
Transcript
©Fusic Co., Ltd. 0 ”とにかくやってみる” で始めるAWS Security Hub 2024.11.22 Mai
Miyazaki @maimyyym JAWS-UG朝会 #63
©Fusic Co., Ltd. 1 宮崎 真⾐ Miyazaki Mai HN: mai
(@maimyyym ) ◉ I am - 管理栄養⼠(養成校卒業・資格保持のみ) - 元百貨店スタッフ(Beauty Counselor) - 2023年10⽉ Fusic⼊社 ◉ Skill - AWS / Python / TypeScript / PHP(Laravel) - Interested in: Security & Compliance ◉ Comment - re:Invent 2024 ⾏きます! ⾃⼰紹介 はじめに 事業本部 技術創造部⾨ / エンジニア 株式会社Fusic
©Fusic Co., Ltd. 2 CONTENTS ⽬次 1. AWS Security Hubとは?
2. “とにかくやってみる” 3. やってみた結果 4. やってみて初めて分かったこと 5. まとめ
©Fusic Co., Ltd. 3 想定聴講者 はじめに AWS Security Hubというサービスが何をするのか 知っているけれど、実際に導⼊したことはない⽅
まず可視化すること⾃体はとても簡単だということ、初めて導⼊した所感をお話します。 具体的な運⽤Tipsや設定についてはお話しません。 AWS Security Hub をまずはとにかく導⼊してみる、そのハードルが下がれば幸いです。
©Fusic Co., Ltd. 4 AWS Security Hubとは? 1
©Fusic Co., Ltd. 5 AWS Security Hubの概要 AWS Security Hubとは?
https://aws.amazon.com/jp/security-hub/ AWS Security Hub を使⽤すると、 セキュリティのベストプラクティスのチェックを⾃動化し、 セキュリティアラートを単⼀の場所と形式に集約し、 すべての AWS アカウントで全体的なセキュリティの体制を把握することができます。
©Fusic Co., Ltd. 6 AWS Security Hubの概要 AWS Security Hubとは?
https://aws.amazon.com/jp/security-hub/ ベストプラクティスの チェックを⾃動化 アラートの集約
©Fusic Co., Ltd. 7 AWS Security Hubでできること AWS Security Hubとは?
ベストプラクティスのチェックを⾃動化 Security Hub (+AWS Config)を有効化するだけで 業界標準やベストプラクティスに基づいた⾃動コンプライアンスチェックができる Security Hubをまず 有効化する時の画⾯
©Fusic Co., Ltd. 8 AWS Security Hubでできること AWS Security Hubとは?
アラートの集約 標準化されたデータ形式で集約 AWS Security Hub Amazon EventBridge Amazon Inspector Amazon GuardDuty … AWS Chatbot AWS Lambda … マルチアカウント(⼤規模な組織)では特に効果を発揮
©Fusic Co., Ltd. 9 考えることはたくさん AWS Security Hubとは? 設定のベストプラクティス 何をどう運⽤するか
⼀元管理できるが故のカスタマイズの幅広さ …まだ、いろいろ、ある!
©Fusic Co., Ltd. 10 “とにかくやってみる” 2
©Fusic Co., Ltd. 11 Go to Security Hub “とにかくやってみる”
©Fusic Co., Ltd. 12 Security Hubを有効化する “とにかくやってみる”
©Fusic Co., Ltd. 13 Security Hubを有効化する “とにかくやってみる” AWS Configで リソース記録を有効にする
©Fusic Co., Ltd. 14 Security Hubを有効化する “とにかくやってみる” AWS Configで リソース記録を有効にする
AWS Configはリソースの設定状況を追跡‧監視するサービス AWS Configを有効化することでSecurityHubがAWSリソースの 設定が選択した標準に則っているか正確に追跡できる
©Fusic Co., Ltd. 15 AWS Configのリソース記録を有効化 “とにかくやってみる” (まずは)デフォルト設定のままでOK!
©Fusic Co., Ltd. 16 Security Hubを有効化する “とにかくやってみる” 適⽤するセキュリティ標準を選択
©Fusic Co., Ltd. 17 セキュリティ標準の選択 “とにかくやってみる” https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/standards-reference.html Security Hub 標準のリファレンス
• AWS Foundational Security Best Practices v1.0.0 (FSBP) 標準 • CIS AWS Foundations ベンチマーク(v1.2.0 / v1.4.0 / v3.0.0) • NIST Special Publication 800-53 Revision 5 • PCI DSS v3.2.1 詳しくはリファレンスを参照
©Fusic Co., Ltd. 18 セキュリティ標準の選択 “とにかくやってみる” https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/standards-reference.html Security Hub 標準のリファレンス
• AWS Foundational Security Best Practices v1.0.0 (FSBP) 標準 • CIS AWS Foundations ベンチマーク(v1.2.0 / v1.4.0 / v3.0.0) • NIST Special Publication 800-53 Revision 5 • PCI DSS v3.2.1 詳しくはリファレンスを参照 まずはデフォルトから!
©Fusic Co., Ltd. 19 Security Hubを有効化する “とにかくやってみる” 有効化!
©Fusic Co., Ltd. 20 やってみて⾒えたもの 3
©Fusic Co., Ltd. 21 実際のプロジェクトに導⼊してみた やってみて⾒えたもの 画像は運⽤段階のものです。 実際の運⽤結果についてはお答えできかねます。 ご了承ください🙇
©Fusic Co., Ltd. 22 実際のプロジェクトに導⼊してみた やってみて⾒えたもの 対象プロジェクトのインフラストラクチャはTerraformで管理していましたが、 まずは⼿軽に簡単に始めてみたかったのでコンソールを直接触って有効化 (Terraformコードに含まれないことはドキュメントに明記しておく)
©Fusic Co., Ltd. 23 可視化を待つ やってみて⾒えたもの 30分程で可視化
©Fusic Co., Ltd. 24 Summaryが⾒える やってみて⾒えたもの
©Fusic Co., Ltd. 25 コントロールの結果が⾒える やってみて⾒えたもの severity = 重⼤性 が⾒える
©Fusic Co., Ltd. 26 コントロールの結果が⾒える やってみて⾒えたもの 各検出結果の 詳細にアクセスできる
©Fusic Co., Ltd. 27 やってみて初めて分かったこと 4
©Fusic Co., Ltd. 28 できることを対応する やってみて初めて分かったこと AWSの推奨を(容赦なく)突きつけられる
©Fusic Co., Ltd. 29 できることを対応する やってみて初めて分かったこと AWSの推奨を(容赦なく)突きつけられる AWS Foundational Security
Best Practices v1.0.0 で Severity =【High】となる⼀例 Amazon Inspectorを有効にする Amazon GuardDutyを有効にする ECSサービスのパブリックIP ⾃動割り当てをしない VPCデフォルトのセキュリティグループで トラフィックを許可しない
©Fusic Co., Ltd. 30 できることを対応する やってみて初めて分かったこと AWSの推奨を(容赦なく)突きつけられる AWS Foundational Security
Best Practices v1.0.0 で Severity =【High】となる⼀例 Amazon Inspectorを有効にする Amazon GuardDutyを有効にする ECSサービスのパブリックIP ⾃動割り当てをしない VPCデフォルトのセキュリティグループで トラフィックを許可しない すぐに対応できたもの
©Fusic Co., Ltd. 31 できることを対応する やってみて初めて分かったこと AWSの推奨を(容赦なく)突きつけられる AWS Foundational Security
Best Practices v1.0.0 で Severity =【High】となる⼀例 Amazon Inspectorを有効にする Amazon GuardDutyを有効にする ECSサービスのパブリックIP ⾃動割り当てをしない VPCデフォルトのセキュリティグループで トラフィックを許可しない すぐに対応できたもの ※時間の都合上、具体的な対応内容については省略します。 • プロジェクトに応じた⾦額的コストとリスクのバランス • 対応のために発⽣する⼯数が適切か • 必要性の判断(サードパーティで対応できているからOKとする、やむをえない都合がある等) 基本的にはCritical => High => Medium…の順で検討 基準‧理由をハッキリさせて判断していく
©Fusic Co., Ltd. 32 できることを対応する やってみて初めて分かったこと 意味ある活⽤のためにSlack通知は必須
©Fusic Co., Ltd. 33 通知機構を作ってこそ機能する やってみて初めて分かったこと AWS Security Hub Amazon
Inspector AWS Config コンソールにアクセスしないと 何も⾒えない‧‧‧ 意味ある活⽤のためにSlack通知は必須
©Fusic Co., Ltd. 34 通知機構を作ってこそ機能する やってみて初めて分かったこと AWS Security Hub Amazon
EventBridge Amazon Inspector AWS Chatbot AWS Config (コンソールを⾒にいかなくても) ⾒える!気づける! 意味ある活⽤のためにSlack通知は必須
©Fusic Co., Ltd. 35 通知機構を作ってこそ機能する やってみて初めて分かったこと 通知の運⽤も、やってみて初めて分かる • 検出された全て(100〜数百件)がSlackに通知 •
対応したのにまた通知される
©Fusic Co., Ltd. 36 NEW NOTIFIED RESOLVED SUPPRESSED 通知機構を作ってこそ機能する やってみて初めて分かったこと
通知の運⽤も、やってみて初めて分かる • 検出された全て(100〜数百件)がSlackに通知 • 対応したのにまた通知される Severity=Critical のものだけ通知 検討‧対応したら workflow statusを更新する
©Fusic Co., Ltd. 37 通知機構を作ってこそ機能する やってみて初めて分かったこと Event Bridge Rulesのイベントパターンで通知内容を制御 {
"source": ["aws.securityhub"], "detail-type": ["Security Hub Findings - Imported"], "detail": { "findings": { "RecordState": ["ACTIVE"], "Severity": { "Label": ["CRITICAL"] }, "Workflow": { "Status": ["NEW"] } } } } まずは可視化。 通知に慣れすぎないバランスは難しいが、 各プロジェクトの必要⼗分なイベントパターン を設定する。
©Fusic Co., Ltd. 38 運⽤中に有効化するリスク やってみて初めて分かったこと 開発中のプロジェクトに導⼊した結果…
©Fusic Co., Ltd. 39 運⽤中に有効化するリスク やってみて初めて分かったこと 開発中のプロジェクトに導⼊した結果… リソースの変更が頻繁にある
©Fusic Co., Ltd. 40 運⽤中に有効化するリスク やってみて初めて分かったこと 開発中のプロジェクトに導⼊した結果… リソースの変更が頻繁にある AWS Configの料⾦がそのたびに重なる!
©Fusic Co., Ltd. 41 運⽤中に有効化するリスク やってみて初めて分かったこと 開発中のプロジェクトに導⼊した結果… リソースの変更が頻繁にある AWS Configの料⾦がそのたびに重なる!
[発表後追記] AWS Configの導⼊タイミングは要検討
©Fusic Co., Ltd. 42 まとめ 5
©Fusic Co., Ltd. 43 まとめ ”とにかくやってみる”で始めるAWS Security Hub AWS Security
Hubの始め⽅は“有効化”するだけなので簡単! Point 01 がんばりすぎない、できることをやる。やらないより意味がある。 Point 02 運⽤して初めて分かることは、運⽤してみるまで分からない。だから、まずやってみる。 Point 03 (感想) AWS SecurityHubが好きになりました。 Point 04
©Fusic Co., Ltd. 44 Thank You We are Hiring! https://recruit.fusic.co.jp/
ご清聴いただきありがとうございました