Slide 1
Slide 1 text
AWS Foundational Security Best Practices
のコントロールって約200種類あんねん。
〜個人的にオススメする Security Hub との向き合い方〜
JAWS-UG横浜 #54 AWS re:Invent 2022 ReCap Security
2023/1/28
たかくに
1
Slide 2
Slide 2 text
2
スライドの内容はすべてフィクションです。
実在の人物や団体などとは関係ありません。
Slide 3
Slide 3 text
● AWS事業本部 コンサルティング部
● ロール:ソリューションアーキテクト
● 好きなAWSサービス:Amazon VPC
● Twitter:@takakuni_
たかくに
自己紹介 3
Slide 4
Slide 4 text
4
前置き
Slide 5
Slide 5 text
5
AWS Foundational Security Best Practices コントロール数の推移
Slide 6
Slide 6 text
6
AWS Foundational Security Best Practices コントロール数の推移
機能の追加
● 新規 AWS リソースの追加
● 既存 AWS リソースの機能追加
● AWS Config の取得可能なリソースの追加
セキュリティ脅威の傾向変化
Slide 7
Slide 7 text
7
AWS Foundational Security Best Practices コントロール数の推移
機能の追加
● 新規 AWS リソースの追加
● 既存 AWS リソースの機能追加
● AWS Config の取得可能なリソースの追加
セキュリティ脅威の傾向変化
項目にどのように向き合っていこう?
Slide 8
Slide 8 text
8
レベル 1
Slide 9
Slide 9 text
9
AWS Security Hub とは
● AWS アカウント内の環境がセキュリティ規格にどれほど準拠している
かを確認するためのサービス
○ CIS AWS Foundations (v1.2.0 Level 1,2, v1.4.0)
○ Payment Card Industry Data Security Standard
○ AWS Foundational Security Best Practices (v1.0.0)
● Amazon GuardDuty , Amazon Inspector などの AWS で提供されるセ
キュリティサービスの検出結果を一元管理
Slide 10
Slide 10 text
10
AWS Security Hub とは
● AWS アカウント内の環境がセキュリティ規格にどれほど準拠している
かを確認するためのサービス
○ CIS AWS Foundations (v1.2.0 Level 1,2)
○ Payment Card Industry Data Security Standard
○ AWS Foundational Security Best Practices (v1.0.0)
● Amazon GuardDuty , Amazon Inspector などのセキュリティサービス
の検出結果を一元管理
Slide 11
Slide 11 text
11
AWS Security Hub とは
● AWS アカウント内の環境がセキュリティ規格にどれほど準拠している
かを
確認するためのサービス
○ CIS AWS Foundations (v1.2.0 Level 1,2)
○ Payment Card Industry Data Security Standard
○ AWS Foundational Security Best Practices (v1.0.0)
● Amazon GuardDuty , Amazon Inspector などのセキュリティサービス
の検出結果を一元管理
Slide 12
Slide 12 text
12
現実
AWS Security Hubは
自動で全部のコントロールを是正しない
Slide 13
Slide 13 text
13
セキュリティの
レビューをして欲しい!
Slide 14
Slide 14 text
14
Security Hub 有効化しました?
はい!
有効化しました!
Slide 15
Slide 15 text
15
検出結果みました?
みてません!
何もしてません!
Slide 16
Slide 16 text
16
AWS Security Hub とは (※間違いです)
● AWS アカウント内の環境がセキュリティ規格に準拠していなかったら
イイ感じに是正してくれるサービス
○ CIS AWS Foundations (v1.2.0 Level 1,2)
○ Payment Card Industry Data Security Standard
○ AWS Foundational Security Best Practices (v1.0.0)
● Amazon GuardDuty , Amazon Inspector などのセキュリティサービス
の検出結果を一元管理
Slide 17
Slide 17 text
17
AWS Security Hub とは
● AWS アカウント内の環境がセキュリティ規格にどれほど準拠している
かを
確認するためのサービス
○ CIS AWS Foundations (v1.2.0 Level 1,2)
○ Payment Card Industry Data Security Standard
○ AWS Foundational Security Best Practices (v1.0.0)
● Amazon GuardDuty , Amazon Inspector などのセキュリティサービス
の検出結果を一元管理
Slide 18
Slide 18 text
18
(考察) なぜ補正がかかったのか
● AWS Config ( 自動修復ルール )
○ Security Hub を利用するには AWS Config の有効化が関わる
○ Security Hub で AWS Config ルールが作成されるが、自動修復ルールとは
別物
● AWS ソリューション:AWS での自動化されたセキュリティ対応
○ AWS Security Hub で検知されたコントロールを自動修復
○ AWS Foundational Security Best Practices の場合、33個のコントロールを
自動修復可能
○ 残りの165コントロール (84%) を無視していい理由にはならない
Slide 19
Slide 19 text
19
そう。是正するのは
画面の向こうのあなたです
Slide 20
Slide 20 text
20
レベル 2
Slide 21
Slide 21 text
向き合っただけあなたは素晴らしい
21
まずは確認 (または有効化) してみよう
Slide 22
Slide 22 text
大丈夫。よくあることだ
22
スコアが低い。失敗の数が多いだって?
Slide 23
Slide 23 text
● まずは失敗したコントロールがどのようなものなのかを確認
○ 重要度や設定変更難易度でコントロールをカテゴライズ
■ 要件上必要な設定値かどうか
● 失敗したコントロールの数について
○ 数に囚われる必要はない(%を追い求めるんだ)
■ 同じ項目で複数のリソースが検知されているケースもある
23
具体的にどうするのか
Slide 24
Slide 24 text
● マインド
○ 粗探しのマインドでやると設計/構築担当がキツい
■ 問題点を発見したことが重要(ラッキーです)
■ 現在の常識は当時の常識ではない場合もあるため、敬意を
持ったレビュー意識
○ 要件上どうしようもないコントロールもある
■ コントロールの抑止もできるため柔軟さを忘れない
24
具体的にどうするのか
Slide 25
Slide 25 text
● 継続的なレビューを!
○ セキュリティの傾向は常に変化する
○ タイミング(どちらもが望ましい)
■ セキュリティ規格のアップデート
■ 既存リソースがコントロールに逸脱したタイミング
● 設定変更等の何らかの事象
● CloudWatch Event を利用した通知もできるよ
25
具体的にどうするのか
Slide 26
Slide 26 text
26