Slide 1

Slide 1 text

Security Hub 勉強会 2020/08/20 川原 征⼤ 1

Slide 2

Slide 2 text

2 ⽬次 - とりあえず始めてみよう - Security Hub とは︖ - セキュリティ標準 - 検出結果, ASFF - ASFF 属性/値の例 - ほか Tips

Slide 3

Slide 3 text

3 Next - とりあえず始めてみよう - Security Hub とは︖ - セキュリティ標準 - 検出結果, ASFF - ASFF 属性/値の例 - ほか Tips

Slide 4

Slide 4 text

4 とりあえず始めてみよう Configを有効化してから Security Hubへ

Slide 5

Slide 5 text

5 とりあえず始めてみよう まずは「AWS ベストプラクティス」がおすすめ

Slide 6

Slide 6 text

6 (完) しばらく待つとスコアが出ます

Slide 7

Slide 7 text

7 Next - とりあえず始めてみよう - Security Hub とは︖ - セキュリティ標準 - 検出結果, ASFF - ASFF 属性/値の例 - ほか Tips

Slide 8

Slide 8 text

8 Security Hub とは︖ 以下を実施できるサービス - セキュリティサービスの検出結果を⼀元管理 - AWS内のセキュリティの状態を把握・評価

Slide 9

Slide 9 text

9 Security Hub とは︖

Slide 10

Slide 10 text

10 Security Hub とは︖ 検出結果(Finding) • Security Hub で管理するデータ • 統⼀されたフォーマット • AWS Security Finding Format (ASFF)

Slide 11

Slide 11 text

11 Next - とりあえず始めてみよう - Security Hub とは︖ - セキュリティ標準 - 検出結果, ASFF - ASFF 属性/値の例 - ほか Tips

Slide 12

Slide 12 text

12 セキュリティ標準とは AWS環境の継続的なセキュリティチェック ベストプラクティスや業界標準に基づいたチェック

Slide 13

Slide 13 text

13 セキュリティ標準とは 利⽤できるセキュリティ標準 - CIS AWS Foundations - PCI DSS - AWS の基本的なセキュリティのベストプラクティス

Slide 14

Slide 14 text

14 セキュリティ標準とは コントロール = セキュリティチェック項⽬

Slide 15

Slide 15 text

15 セキュリティ標準のスコアを上げよう

Slide 16

Slide 16 text

16 スコア上げ #修復⼿順

Slide 17

Slide 17 text

17 スコア上げ #重要度(Severity) ⾼い重要度のコントロールから解決する

Slide 18

Slide 18 text

18 スコア上げ #重要度(Severity) - INFORMATIONAL :: 問題は⾒つかりませんでした - LOW :: この問題は単独で対処する必要はありません - MEDIUM :: この問題は対処する必要がありますが、緊急で は有りません - HIGH :: この問題は優先事項として対処する必要がありま す - CRITICAL :: この問題は悪化しないようにすぐに修正する 必要があります https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-findings-format.html#asff-severity

Slide 19

Slide 19 text

19 スコア上げ #無効化 2つの無効化 - コントロール単位の無効化 - リソース単位の無効化

Slide 20

Slide 20 text

20 スコア上げ #無効化 コントロール単位の無効化

Slide 21

Slide 21 text

21 スコア上げ #無効化 コントロール単位の無効化 https://dev.classmethod.jp/articles/tuning-cis-benchmark-config-rules-on-security-hub/ https://dev.classmethod.jp/articles/tuning-foundational-security-best-practices-standard/

Slide 22

Slide 22 text

22 スコア上げ #無効化 リソース単位の無効化

Slide 23

Slide 23 text

23 Next - とりあえず始めてみよう - Security Hub とは︖ - セキュリティ標準 - 検出結果, ASFF - ASFF 属性/値の例 - ほか Tips

Slide 24

Slide 24 text

24 検出結果, ASFF 検出結果(Finding) • Security Hub で管理するデータ • 統⼀されたフォーマット • AWS Security Finding Format (ASFF)

Slide 25

Slide 25 text

25 ASFF AWS Security Finding Format(ASFF) = 検出結果の形式 - 様々なセキュリティサービスの結果を ASFFに統⼀ - データ変換の作業が不要に https://docs.aws.amazon.com/ja_jp/securityhub/latest/ userguide/securityhub-findings-format.html

Slide 26

Slide 26 text

26 ASFF よく読るページ https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-findings-format.html

Slide 27

Slide 27 text

27 検出結果の検索

Slide 28

Slide 28 text

28 検出結果の検索 - フィルター・グループ化ができる - 英語のほうが検索しやすい - (⽇本語はASFF属性名との対応が分かりにくいため)

Slide 29

Slide 29 text

29 インサイト

Slide 30

Slide 30 text

30 インサイト - 「検出結果の検索」のプリセット集 - セキュリティの問題を継続的に追跡

Slide 31

Slide 31 text

31 インサイト - マネージドインサイト :: AWS提供の組込インサイト - カスタムインサイト :: ⾃前でフィルタ/グループ化 を指定して作成するインサイト

Slide 32

Slide 32 text

32 Next - とりあえず始めてみよう - Security Hub とは︖ - セキュリティ標準 - 検出結果, ASFF - ASFF 属性/値の例 - ほか Tips

Slide 33

Slide 33 text

33 ASFF 属性/値の例 Finding JSON

Slide 34

Slide 34 text

34 ASFF 属性/値の例 - AwsAccountId :: AWS アカウントID - CreatedAt :: "2020-06-19T09:01:37.143Z" - UpdateAt :: "2020-08-10T00:39:07.846Z” - Title :: "S3.4 S3 buckets should have server-side encryption enabled" - Description :: "This AWS control checks that your Amazon S3 bucket either has Amazon S3 default encryption enabled or that the S3 bucket policy explicitly denies put-object requests without server side encryption."

Slide 35

Slide 35 text

35 ASFF 属性/値の例 - ProductArn :: "arn:aws:securityhub:ap-northeast- 1::product/aws/securityhub" - Types :: “Software and Configuration Checks/Industry and Regulatory Standards/AWS-Foundational-Security-Best- Practices” - GeneratorId :: “aws-foundational-security-best- practices/v/1.0.0/S3.4” - Id :: “arn:aws:securityhub:ap-northeast- 1:XXXXXXXXXXXX:subscription/aws-foundational-security- best-practices/v/1.0.0/S3.4/finding/ebfa3e8c-aaaa-bbbb- cccc-abcdefg”

Slide 36

Slide 36 text

36 ASFF 属性/値の例 - Resources :: リソース情報

Slide 37

Slide 37 text

37 ASFF 属性/値の例 - Severity.Label :: MEDIUM - RecordState :: ACTIVE RecordState = ARCHIVED のとき、検出結果は⾮表⽰になる

Slide 38

Slide 38 text

38 ASFF 属性/値の例 - Compliance.Status :: FAILED - Workflow.Status :: NEW

Slide 39

Slide 39 text

39 Next - とりあえず始めてみよう - Security Hub とは︖ - セキュリティ標準 - 検出結果, ASFF - ASFF 属性/値の例 - ほか Tips

Slide 40

Slide 40 text

40 カスタムアクション CloudWatch イベントを⾶ばせます

Slide 41

Slide 41 text

41 利⽤できる CloudWatch イベント - Security Hub Findings - Imported ::すべての検出結果 - Security Hub Findings - Custom Action ::カスタムアク ションに関連付けられた結果 - Security Hub Insight Results ::インサイトに関連付けら れた結果

Slide 42

Slide 42 text

42 利⽤できる CloudWatch イベント

Slide 43

Slide 43 text

43 統合 サードパーティのセキュリティサービスの結果を Security Hub に統合 https://dev.classmethod.jp/articles/link-securityhub-to-dome9/

Slide 44

Slide 44 text

44 Amazon Detective 連携 (GuardDuty からの結果のみ)

Slide 45

Slide 45 text

45 マルチアカウント利⽤ マスターアカウントの Security Hub 上でメンバーアカ ウントの検出結果を確認・操作

Slide 46

Slide 46 text

46 ほか セキュリティチェックサービスとの⽐較 - Trusted Advisor :: 無料で最低限のセキュリティチェック - Config (Conformance Pack) ::カスタマイズ可能。Config ルールを展開、AWS環境を評価 - Security Hub セキュリティ標準 :: AWSマネージドな標準。 内部的には Configルールを活⽤ https://dev.classmethod.jp/articles/security-hub-vs-config-conformance-packs/

Slide 47

Slide 47 text

47 最近のアップデート https://dev.classmethod.jp/articles/security-hub-cis-auto-remediation/

Slide 48

Slide 48 text

48 おわり