Security Hub 勉強会 - Speaker Deck

Slide 1

Slide 1 text

Security Hub 勉強会 2020/08/20 川原征⼤ 1

Slide 2

Slide 2 text

2 ⽬次 - とりあえず始めてみよう - Security Hub とは︖ - セキュリティ標準 - 検出結果, ASFF - ASFF 属性/値の例 - ほか Tips

Slide 3

Slide 3 text

3 Next - とりあえず始めてみよう - Security Hub とは︖ - セキュリティ標準 - 検出結果, ASFF - ASFF 属性/値の例 - ほか Tips

Slide 4

Slide 4 text

4 とりあえず始めてみよう Configを有効化してから Security Hubへ

Slide 5

Slide 5 text

5 とりあえず始めてみようまずは「AWS ベストプラクティス」がおすすめ

Slide 6

Slide 6 text

6 (完) しばらく待つとスコアが出ます

Slide 7

Slide 7 text

7 Next - とりあえず始めてみよう - Security Hub とは︖ - セキュリティ標準 - 検出結果, ASFF - ASFF 属性/値の例 - ほか Tips

Slide 8

Slide 8 text

8 Security Hub とは︖ 以下を実施できるサービス - セキュリティサービスの検出結果を⼀元管理 - AWS内のセキュリティの状態を把握・評価

Slide 9

Slide 9 text

9 Security Hub とは︖

Slide 10

Slide 10 text

10 Security Hub とは︖ 検出結果(Finding) • Security Hub で管理するデータ • 統⼀されたフォーマット • AWS Security Finding Format (ASFF)

Slide 11

Slide 11 text

11 Next - とりあえず始めてみよう - Security Hub とは︖ - セキュリティ標準 - 検出結果, ASFF - ASFF 属性/値の例 - ほか Tips

Slide 12

Slide 12 text

12 セキュリティ標準とは AWS環境の継続的なセキュリティチェックベストプラクティスや業界標準に基づいたチェック

Slide 13

Slide 13 text

13 セキュリティ標準とは利⽤できるセキュリティ標準 - CIS AWS Foundations - PCI DSS - AWS の基本的なセキュリティのベストプラクティス

Slide 14

Slide 14 text

14 セキュリティ標準とはコントロール = セキュリティチェック項⽬

Slide 15

Slide 15 text

15 セキュリティ標準のスコアを上げよう

Slide 16

Slide 16 text

16 スコア上げ #修復⼿順

Slide 17

Slide 17 text

17 スコア上げ #重要度(Severity) ⾼い重要度のコントロールから解決する

Slide 18

Slide 18 text

18 スコア上げ #重要度(Severity) - INFORMATIONAL :: 問題は⾒つかりませんでした - LOW :: この問題は単独で対処する必要はありません - MEDIUM :: この問題は対処する必要がありますが、緊急では有りません - HIGH :: この問題は優先事項として対処する必要があります - CRITICAL :: この問題は悪化しないようにすぐに修正する必要があります https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-findings-format.html#asff-severity

Slide 19

Slide 19 text

19 スコア上げ #無効化 2つの無効化 - コントロール単位の無効化 - リソース単位の無効化

Slide 20

Slide 20 text

20 スコア上げ #無効化コントロール単位の無効化

Slide 21

Slide 21 text

21 スコア上げ #無効化コントロール単位の無効化 https://dev.classmethod.jp/articles/tuning-cis-benchmark-config-rules-on-security-hub/ https://dev.classmethod.jp/articles/tuning-foundational-security-best-practices-standard/

Slide 22

Slide 22 text

22 スコア上げ #無効化リソース単位の無効化

Slide 23

Slide 23 text

23 Next - とりあえず始めてみよう - Security Hub とは︖ - セキュリティ標準 - 検出結果, ASFF - ASFF 属性/値の例 - ほか Tips

Slide 24

Slide 24 text

24 検出結果, ASFF 検出結果(Finding) • Security Hub で管理するデータ • 統⼀されたフォーマット • AWS Security Finding Format (ASFF)

Slide 25

Slide 25 text

25 ASFF AWS Security Finding Format(ASFF) = 検出結果の形式 - 様々なセキュリティサービスの結果を ASFFに統⼀ - データ変換の作業が不要に https://docs.aws.amazon.com/ja_jp/securityhub/latest/ userguide/securityhub-findings-format.html

Slide 26

Slide 26 text

26 ASFF よく読るページ https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-findings-format.html

Slide 27

Slide 27 text

27 検出結果の検索

Slide 28

Slide 28 text

28 検出結果の検索 - フィルター・グループ化ができる - 英語のほうが検索しやすい - (⽇本語はASFF属性名との対応が分かりにくいため)

Slide 29

Slide 29 text

29 インサイト

Slide 30

Slide 30 text

30 インサイト - 「検出結果の検索」のプリセット集 - セキュリティの問題を継続的に追跡

Slide 31

Slide 31 text

31 インサイト - マネージドインサイト :: AWS提供の組込インサイト - カスタムインサイト :: ⾃前でフィルタ/グループ化を指定して作成するインサイト

Slide 32

Slide 32 text

32 Next - とりあえず始めてみよう - Security Hub とは︖ - セキュリティ標準 - 検出結果, ASFF - ASFF 属性/値の例 - ほか Tips

Slide 33

Slide 33 text

33 ASFF 属性/値の例 Finding JSON

Slide 34

Slide 34 text

34 ASFF 属性/値の例 - AwsAccountId :: AWS アカウントID - CreatedAt :: "2020-06-19T09:01:37.143Z" - UpdateAt :: "2020-08-10T00:39:07.846Z” - Title :: "S3.4 S3 buckets should have server-side encryption enabled" - Description :: "This AWS control checks that your Amazon S3 bucket either has Amazon S3 default encryption enabled or that the S3 bucket policy explicitly denies put-object requests without server side encryption."

Slide 35

Slide 35 text

35 ASFF 属性/値の例 - ProductArn :: "arn:aws:securityhub:ap-northeast- 1::product/aws/securityhub" - Types :: “Software and Configuration Checks/Industry and Regulatory Standards/AWS-Foundational-Security-Best- Practices” - GeneratorId :: “aws-foundational-security-best- practices/v/1.0.0/S3.4” - Id :: “arn:aws:securityhub:ap-northeast- 1:XXXXXXXXXXXX:subscription/aws-foundational-security- best-practices/v/1.0.0/S3.4/finding/ebfa3e8c-aaaa-bbbb- cccc-abcdefg”

Slide 36

Slide 36 text

36 ASFF 属性/値の例 - Resources :: リソース情報

Slide 37

Slide 37 text

37 ASFF 属性/値の例 - Severity.Label :: MEDIUM - RecordState :: ACTIVE RecordState = ARCHIVED のとき、検出結果は⾮表⽰になる

Slide 38

Slide 38 text

38 ASFF 属性/値の例 - Compliance.Status :: FAILED - Workflow.Status :: NEW

Slide 39

Slide 39 text

39 Next - とりあえず始めてみよう - Security Hub とは︖ - セキュリティ標準 - 検出結果, ASFF - ASFF 属性/値の例 - ほか Tips

Slide 40

Slide 40 text

40 カスタムアクション CloudWatch イベントを⾶ばせます

Slide 41

Slide 41 text

41 利⽤できる CloudWatch イベント - Security Hub Findings - Imported ::すべての検出結果 - Security Hub Findings - Custom Action ::カスタムアクションに関連付けられた結果 - Security Hub Insight Results ::インサイトに関連付けられた結果

Slide 42

Slide 42 text

42 利⽤できる CloudWatch イベント

Slide 43

Slide 43 text

43 統合サードパーティのセキュリティサービスの結果を Security Hub に統合 https://dev.classmethod.jp/articles/link-securityhub-to-dome9/

Slide 44

Slide 44 text

44 Amazon Detective 連携 (GuardDuty からの結果のみ)

Slide 45

Slide 45 text

45 マルチアカウント利⽤マスターアカウントの Security Hub 上でメンバーアカウントの検出結果を確認・操作

Slide 46

Slide 46 text

46 ほかセキュリティチェックサービスとの⽐較 - Trusted Advisor :: 無料で最低限のセキュリティチェック - Config (Conformance Pack) ::カスタマイズ可能。Config ルールを展開、AWS環境を評価 - Security Hub セキュリティ標準 :: AWSマネージドな標準。内部的には Configルールを活⽤ https://dev.classmethod.jp/articles/security-hub-vs-config-conformance-packs/

Slide 47

Slide 47 text

47 最近のアップデート https://dev.classmethod.jp/articles/security-hub-cis-auto-remediation/

Slide 48

Slide 48 text

48 おわり