Slide 1

Slide 1 text

1

Slide 2

Slide 2 text

イントロ 自己紹介 今日話すこと 2

Slide 3

Slide 3 text

自己紹介 #1 ブログURL: Classmethod クラウド事業本部 コンサルティング部 https://dev.classmethod.jp/author/kawahara-masahiro/ 3

Slide 4

Slide 4 text

自己紹介 #2 最近仕事でやっていること AWS マルチアカウント環境のセキュリティ可視化 コスト最適化いろいろ 好きなこと ツーリング、ゲーム、Emacs 、愛猫と戯れる 4

Slide 5

Slide 5 text

今日話すこと Security Hub (Preview) について 特徴#1: よりハブらしく 特徴#2: 新しい検出結果: 露出( エクスポージャー) 細かい話: Config レコーダーについて まとめ 5

Slide 6

Slide 6 text

Security Hub (Preview) について AWS Security Hub: Unified cloud security solution (Preview) 6

Slide 7

Slide 7 text

特徴 統合セキュリティソリューション: 統合クラウドセキュリティソリューションの一元管理により、クラウド環境全体でより広範な可視性を実現 アクション可能なセキュリティインサイト: 高度な分析により、環境に関連するセキュリティリスクを学習するためのアクション可能なセキュリティ インサイトを取得 応答時間の短縮: 自動化ワークフローと統合チケットシステムにより応答時間を合理化 露出検出結果: Security Hub CSPM コントロールチェック、Amazon Inspector 、その他のAWS サービスからの検出結果を相関付けて、AWS リソースに関連 する露出を検出 OCSF 形式の検出結果: OCSF 形式で検出結果を生成し、Security Hub CSPM 、GuardDuty 、Macie 、Inspector からの検出結果をOCSF 形式で受信 ※OCSF: Open Cybersecurity Schema Framework 包括的ダッシュボード: Security Hub コンソールは露出、脅威、セキュリティカバレッジ、リソースの包括的なビューと、露出検出結果に関連するリソ ースへの攻撃者のアクセス方法を示すアタックパスグラフを提供 サードパーティ製品統合: Jira Cloud やServiceNow ITSM などのサードパーティ統合により、検出結果からチケットを作成してセキュリティ体制を強化 > 参考: What is AWS Security Hub? - AWS Security Hub 7

Slide 8

Slide 8 text

特に変わったところ よりハブらしく 新しい検出結果: 露出( エクスポージャー) が出てきた 8

Slide 9

Slide 9 text

よりハブらしく 「さまざまなセキュリティ情報を集約する」が 主要な機能 に! 9

Slide 10

Slide 10 text

Before: 従来のSecurity Hub 10

Slide 11

Slide 11 text

After: 新しいSecurity Hub 11

Slide 12

Slide 12 text

新しい Security Hub が集約するもの 体制管理: AWS Security Hub CSPM ※ 脆弱性: Amazon Inspector 脅威: Amazon GuardDuty 機密データ: Amazon Macie ※ 従来の Security Hub は AWS Security Hub CSPM に置き換わりました。 12

Slide 13

Slide 13 text

新しい検出結果: 露出( エクスポージャー) が出 てきた 13

Slide 14

Slide 14 text

露出( エクスポージャー) とは 「複数の潜在的な問題が掛け合わさったヤバい状況」 を発見する 複数サービス( Security Hub CSPM や Inspector 等) の検出を関連付け Exposure Finding として OCSF 形式で出力される 14

Slide 15

Slide 15 text

サポートされているリソース/ カテゴリ Supported resource types for exposure findings in Security Hub - AWS Security Hub Supported trait types in Security Hub - AWS Security Hub 15

Slide 16

Slide 16 text

サポートされているリソース AWS::DynamoDB::Table AWS::EC2::Instance AWS::ECS::Service AWS::EKS::Cluster AWS::IAM::User AWS::Lambda::Function AWS::RDS::DBInstance AWS::S3::Bucket 16

Slide 17

Slide 17 text

サポートされているカテゴリ 設定ミス: リソースの設定が不適切 到達可能性: ネットワークパスが開放されている 機密データ: 機密データを含有 脆弱性: 共通脆弱性識別子(CVE )にさらされている 17

Slide 18

Slide 18 text

エクスポージャー検出のサンプル https://dev.classmethod.jp/articles/aws-securityhub-advanced-exposure-attackpath/ 18

Slide 19

Slide 19 text

潜在的な攻撃パス 19

Slide 20

Slide 20 text

リソースの確認 20

Slide 21

Slide 21 text

IAM ポリシーも確認 21

Slide 22

Slide 22 text

Tips: どういう基準でエクスポージャーを出している? 「検出されるエクスポージャーのリスト」的なドキュメントは無い エクスポージャーが出たとき修復ガイドはある AWS 側で様々な要素を総合的に評価して、生成されていそう Remediating exposure findings - AWS Security Hub 22

Slide 23

Slide 23 text

露出結果が出るパターン/ 出ないパターン 露出結果が生成!: インスタンスプロファイルがアタッチされた公開イ ンスタンス 露出結果は生成されず: インスタンスプロファイルが未アタッチの公開 インスタンス 参考: 新しいAWS Security Hub の露出結果(Exposure findings) は、露出特性 (Exposure traits) が不十分だと生成されません! #AWSreInforce | DevelopersIO 23

Slide 24

Slide 24 text

Config レコーダーについて 24

Slide 25

Slide 25 text

Config " サービスリンクレコーダー" が作られてた 機能自体は で出てきたもの 新 Security Hub を有効化すると 自動作成 される サービスリンクレコーダー自体には 料金は掛かからない 従来は Security Hub 利用のためにConfig レコーダーを手動設定していたが、 それが 不要になる( 便利!) re:Invent 2024 のアプデ 25

Slide 26

Slide 26 text

補足 じゃあサービスリンクレコーダーだけでいいじゃん... では無さそう 例えば S3 バケット/SNS へのConfig 情報配信はサービスリンクレコーダ ーではできない 記録スコープは、構成レコーダーにリンクされてい るサービスによって設定され、配信チャネルで構成 アイテム(CI )を受信するかどうかを決定します。 記録スコープが内部である場合、配信チャネルでCI を受信することはありません 。 – (DeepL 訳) PutServiceLinkedConfigurationRecorder - AWS Config 26

Slide 27

Slide 27 text

まとめ 従来の Security Hub は 「Security Hub CSPM 」に改名された 新しい Security Hub はよりハブらしくなった 新しい検出結果: 露出( エクスポージャー) が登場 Config 準備の手間が省けたのが地味に便利 現在、新Security Hub はプレビュー中。無料で使えます! ※ 連携している各サービスの料金は掛かります 27

Slide 28

Slide 28 text

参考 What is AWS Security Hub? - AWS Security Hub Unify your security with the new AWS Security Hub for risk prioritization and response at scale (Preview) | AWS News Blog [ プレビュー]AWS Security Hub が機能分離され統合セキュリティソリュ ーションに生まれ変わりました #AWSreInforce | DevelopersIO 新しいAWS Security Hub の露出結果(Exposure findings) は、露出特性 (Exposure traits) が不十分だと生成されません! #AWSreInforce | DevelopersIO 28