Slide 1

Slide 1 text

スコ ア ア ップを目指 し た 話 Security Hub

Slide 2

Slide 2 text

自己紹介 小寺 加奈子 【仕事】 AWSパートナーでアライアンスリード 【ミッション】 日本とベトナムのAWSビジネス グロース 【好きなAWSサービス】 Cost Exploler 【趣味】 お琴 【JAWS】クラウド女子会運営、      2023年事務局メンバー

Slide 3

Slide 3 text

セキュリティレベルを底上げしようと思ったきっかけ アジェンダ Security Hubとは? ハイスコアにするためのPDCAの回し方

Slide 4

Slide 4 text

Security Hubを用いたAWSセキュリティの可視化 話すこと 運用の諦めないPDCAの回し方 話さないこと Security Hubの詳細設定 Security Hubと他サービスの連携

Slide 5

Slide 5 text

セキュリティレベルを 底上げしようと 思ったきっかけ

Slide 6

Slide 6 text

AWS マネージドサービスプロバイダー (MSP) パートナーを目指す

Slide 7

Slide 7 text

MSPでのセキュリティ要件(抜粋) AWS パートナーが管理する少なくとも 1 つの AWS Organization の すべての AWS アカウントにおけるセキュリティ設定状況を示す、セキュ リティ ダッシュボードを提出する必要があります。 重要度が高いまたはクリティカルな結果にはすべて、リスクの軽減方法 および/または改善のタイムラインに関するド キュメントを添付する必要 があります。

Slide 8

Slide 8 text

Organizations アカウント配下で セキュリティ設定状況を示す、 セキュリティ ダッシュボード

Slide 9

Slide 9 text

Security Hubとは?

Slide 10

Slide 10 text

複数のサービスで発生したセキュリティアラートの 集約や整理、優先順位付けを行い、一つの管理画面で わかりやすく見ることができます。 Security Hubのおさらい

Slide 11

Slide 11 text

Security Hubと連携できるサービス ※結果送信のみ。サードパーティとも連携可能

Slide 12

Slide 12 text

結果の集約以外は「コンプライアンス向上」 セキュリティ基準として提供されるのは2024年2月時点で 以下の5つ ・AWS 基礎セキュリティのベストプラクティス v1.0.0 ・CIS AWS Foundations Benchmark v1.2.0 ・CIS AWS Foundations Benchmark v1.4.0 ・NIST Special Publication 800-53 Revision 5 ・PCI DSS v3.2.1

Slide 13

Slide 13 text

「AWS基礎セキュリティベストプラクティス」 は汎用性の高いチェックツールで可視化が可能

Slide 14

Slide 14 text

ハイスコアにするための PDCAの回し方

Slide 15

Slide 15 text

「AWS基礎セキュリティのベストプラクティス」 ハイスコアを目指してみる

Slide 16

Slide 16 text

重要度は以下の通り設定されている INFORMATIONAL – 問題は見つかりませんでした。 LOW – この問題は単独で対処する必要はありません。 MEDIUM – この問題は対処する必要がありますが、緊急ではあ りません。 HIGH – この問題は優先事項として対処する必要があります。 CRITICAL – この問題は悪化しないようにすぐに修正する必要が あります

Slide 17

Slide 17 text

To Be As Is 1 2 High,Criticalは自動 対応がされている 自社で決めたポリシーに従い 標準形としてお客様に提供し たい 1 2 導入したときは、ルールが 決められていないので、ど うやって対応ができるかを AWS画面から確認 ポリシー決めのため、 High, Criticalで検出されて くるものを整理

Slide 18

Slide 18 text

最初に対応したこと Critical 、Highでかつ全Organizationsのアカウントに 適用できるルールを確認 Organizationsでの一括設定を目標に SCPで設定を実施

Slide 19

Slide 19 text

IAM.4 (重大) IAM ルートユーザーのアクセスキーが存在してはいけません IAM.6 (重大) ルートユーザーに対してハードウェア MFA を有効にする必要があります まずはルール確認(例)

Slide 20

Slide 20 text

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Deny", "Action": [ "ec2:DisableSnapshotBlockPublicAccess" ], "Resource": "*" } ] } SCPから制御 各アカウント毎に設定・設計しなくてすむことを目指す AWS Organizations>サービスコントロールポリシー (SCP) 例)EBSのスナップショットの公開禁止

Slide 21

Slide 21 text

No 確認日 対応 レベル 番号 タイトル 修復方法 1 2024/1/18 完了 重要 IAM.6 Hardware MFA should be enabled for the root user 無効化 2 2024/1/18 対応中 重要 KMS.3 AWS KMS keys should not be deleted unintentionally SCPでの記載 3 2024/1/18 検証中 重要 RDS.1 RDS snapshot should be private 4 2024/1/18 対応中 高 EC2.2 VPC default security groups should not allow inbound or outbound traffic 無効化 5 2024/1/18 対応済 高 GuardDuty.1 GuardDuty should be enabled Organizationsから 有効化 設定を見直す時間を取る Security Hub確認用のミーティングを実施 上がってきたRiskがHigh/Criticalをメモしておいてチェックする

Slide 22

Slide 22 text

1)SCPを設定したときは、SCP検証用のOUにアカウントをアタ ッチ 2)ルールがOKであれば他のOUに適用 再度設定&検証 設定見直しミーティングと検証をしばらく繰り返す

Slide 23

Slide 23 text

スコアアップのためには「無効化」も対応 コントロールの [無効化] を選択することで、 コントロールを無効にできる。 無効化したコントロールはチェックの対象外になります。(関連して生 成している Configルールも削除) 試してみる無効化

Slide 24

Slide 24 text

更に進んだ運用に向けて Config Rulesを利用することにより 違反したリソースを自動的に修復する Security Hub 標準を有効にする前に AWS Config でリソース記 録を有効にすることを推奨

Slide 25

Slide 25 text

Thank you for listening! Don't hesitate to ask any questions!