"とにかくやってみる"で始めるAWS Security Hub

Slide 1

Slide 1 text

©Fusic Co., Ltd. 0 ”とにかくやってみる” で始めるAWS Security Hub 2024.11.22 Mai Miyazaki @maimyyym JAWS-UG朝会 #63

Slide 2

Slide 2 text

©Fusic Co., Ltd. 1 宮崎真⾐ Miyazaki Mai HN: mai (@maimyyym ) ◉ I am - 管理栄養⼠（養成校卒業・資格保持のみ） - 元百貨店スタッフ（Beauty Counselor） - 2023年10⽉ Fusic⼊社 ◉ Skill - AWS / Python / TypeScript / PHP(Laravel) - Interested in: Security & Compliance ◉ Comment - re:Invent 2024 ⾏きます！⾃⼰紹介はじめに事業本部技術創造部⾨ / エンジニア株式会社Fusic

Slide 3

Slide 3 text

©Fusic Co., Ltd. 2 CONTENTS ⽬次 1. AWS Security Hubとは？ 2. “とにかくやってみる” 3. やってみた結果 4. やってみて初めて分かったこと 5. まとめ

Slide 4

Slide 4 text

©Fusic Co., Ltd. 3 想定聴講者はじめに AWS Security Hubというサービスが何をするのか知っているけれど、実際に導⼊したことはない⽅まず可視化すること⾃体はとても簡単だということ、初めて導⼊した所感をお話します。具体的な運⽤Tipsや設定についてはお話しません。 AWS Security Hub をまずはとにかく導⼊してみる、そのハードルが下がれば幸いです。

Slide 5

Slide 5 text

©Fusic Co., Ltd. 4 AWS Security Hubとは？ 1

Slide 6

Slide 6 text

©Fusic Co., Ltd. 5 AWS Security Hubの概要 AWS Security Hubとは？ https://aws.amazon.com/jp/security-hub/ AWS Security Hub を使⽤すると、セキュリティのベストプラクティスのチェックを⾃動化し、セキュリティアラートを単⼀の場所と形式に集約し、すべての AWS アカウントで全体的なセキュリティの体制を把握することができます。

Slide 7

Slide 7 text

©Fusic Co., Ltd. 6 AWS Security Hubの概要 AWS Security Hubとは？ https://aws.amazon.com/jp/security-hub/ ベストプラクティスのチェックを⾃動化アラートの集約

Slide 8

Slide 8 text

©Fusic Co., Ltd. 7 AWS Security Hubでできること AWS Security Hubとは？ベストプラクティスのチェックを⾃動化 Security Hub (+AWS Config)を有効化するだけで業界標準やベストプラクティスに基づいた⾃動コンプライアンスチェックができる Security Hubをまず有効化する時の画⾯

Slide 9

Slide 9 text

©Fusic Co., Ltd. 8 AWS Security Hubでできること AWS Security Hubとは？アラートの集約標準化されたデータ形式で集約 AWS Security Hub Amazon EventBridge Amazon Inspector Amazon GuardDuty … AWS Chatbot AWS Lambda … マルチアカウント(⼤規模な組織)では特に効果を発揮

Slide 10

Slide 10 text

©Fusic Co., Ltd. 9 考えることはたくさん AWS Security Hubとは？設定のベストプラクティス何をどう運⽤するか⼀元管理できるが故のカスタマイズの幅広さ …まだ、いろいろ、ある！

Slide 11

Slide 11 text

©Fusic Co., Ltd. 10 “とにかくやってみる” 2

Slide 12

Slide 12 text

©Fusic Co., Ltd. 11 Go to Security Hub “とにかくやってみる”

Slide 13

Slide 13 text

©Fusic Co., Ltd. 12 Security Hubを有効化する “とにかくやってみる”

Slide 14

Slide 14 text

©Fusic Co., Ltd. 13 Security Hubを有効化する “とにかくやってみる” AWS Configでリソース記録を有効にする

Slide 15

Slide 15 text

©Fusic Co., Ltd. 14 Security Hubを有効化する “とにかくやってみる” AWS Configでリソース記録を有効にする AWS Configはリソースの設定状況を追跡‧監視するサービス AWS Configを有効化することでSecurityHubがAWSリソースの設定が選択した標準に則っているか正確に追跡できる

Slide 16

Slide 16 text

©Fusic Co., Ltd. 15 AWS Conﬁgのリソース記録を有効化 “とにかくやってみる” （まずは）デフォルト設定のままでOK！

Slide 17

Slide 17 text

©Fusic Co., Ltd. 16 Security Hubを有効化する “とにかくやってみる” 適⽤するセキュリティ標準を選択

Slide 18

Slide 18 text

©Fusic Co., Ltd. 17 セキュリティ標準の選択 “とにかくやってみる” https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/standards-reference.html Security Hub 標準のリファレンス • AWS Foundational Security Best Practices v1.0.0 (FSBP) 標準 • CIS AWS Foundations ベンチマーク(v1.2.0 / v1.4.0 / v3.0.0) • NIST Special Publication 800-53 Revision 5 • PCI DSS v3.2.1 詳しくはリファレンスを参照

Slide 19

Slide 19 text

©Fusic Co., Ltd. 18 セキュリティ標準の選択 “とにかくやってみる” https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/standards-reference.html Security Hub 標準のリファレンス • AWS Foundational Security Best Practices v1.0.0 (FSBP) 標準 • CIS AWS Foundations ベンチマーク(v1.2.0 / v1.4.0 / v3.0.0) • NIST Special Publication 800-53 Revision 5 • PCI DSS v3.2.1 詳しくはリファレンスを参照まずはデフォルトから！

Slide 20

Slide 20 text

©Fusic Co., Ltd. 19 Security Hubを有効化する “とにかくやってみる” 有効化！

Slide 21

Slide 21 text

©Fusic Co., Ltd. 20 やってみて⾒えたもの 3

Slide 22

Slide 22 text

©Fusic Co., Ltd. 21 実際のプロジェクトに導⼊してみたやってみて⾒えたもの画像は運⽤段階のものです。実際の運⽤結果についてはお答えできかねます。ご了承ください🙇

Slide 23

Slide 23 text

©Fusic Co., Ltd. 22 実際のプロジェクトに導⼊してみたやってみて⾒えたもの対象プロジェクトのインフラストラクチャはTerraformで管理していましたが、まずは⼿軽に簡単に始めてみたかったのでコンソールを直接触って有効化（Terraformコードに含まれないことはドキュメントに明記しておく）

Slide 24

Slide 24 text

©Fusic Co., Ltd. 23 可視化を待つやってみて⾒えたもの 30分程で可視化

Slide 25

Slide 25 text

©Fusic Co., Ltd. 24 Summaryが⾒えるやってみて⾒えたもの

Slide 26

Slide 26 text

©Fusic Co., Ltd. 25 コントロールの結果が⾒えるやってみて⾒えたもの severity = 重⼤性が⾒える

Slide 27

Slide 27 text

©Fusic Co., Ltd. 26 コントロールの結果が⾒えるやってみて⾒えたもの各検出結果の詳細にアクセスできる

Slide 28

Slide 28 text

©Fusic Co., Ltd. 27 やってみて初めて分かったこと 4

Slide 29

Slide 29 text

©Fusic Co., Ltd. 28 できることを対応するやってみて初めて分かったこと AWSの推奨を（容赦なく）突きつけられる

Slide 30

Slide 30 text

©Fusic Co., Ltd. 29 できることを対応するやってみて初めて分かったこと AWSの推奨を（容赦なく）突きつけられる AWS Foundational Security Best Practices v1.0.0 で Severity =【High】となる⼀例 Amazon Inspectorを有効にする Amazon GuardDutyを有効にする ECSサービスのパブリックIP ⾃動割り当てをしない VPCデフォルトのセキュリティグループでトラフィックを許可しない

Slide 31

Slide 31 text

©Fusic Co., Ltd. 30 できることを対応するやってみて初めて分かったこと AWSの推奨を（容赦なく）突きつけられる AWS Foundational Security Best Practices v1.0.0 で Severity =【High】となる⼀例 Amazon Inspectorを有効にする Amazon GuardDutyを有効にする ECSサービスのパブリックIP ⾃動割り当てをしない VPCデフォルトのセキュリティグループでトラフィックを許可しないすぐに対応できたもの

Slide 32

Slide 32 text

©Fusic Co., Ltd. 31 できることを対応するやってみて初めて分かったこと AWSの推奨を（容赦なく）突きつけられる AWS Foundational Security Best Practices v1.0.0 で Severity =【High】となる⼀例 Amazon Inspectorを有効にする Amazon GuardDutyを有効にする ECSサービスのパブリックIP ⾃動割り当てをしない VPCデフォルトのセキュリティグループでトラフィックを許可しないすぐに対応できたもの ※時間の都合上、具体的な対応内容については省略します。 • プロジェクトに応じた⾦額的コストとリスクのバランス • 対応のために発⽣する⼯数が適切か • 必要性の判断（サードパーティで対応できているからOKとする、やむをえない都合がある等）基本的にはCritical => High => Medium…の順で検討基準‧理由をハッキリさせて判断していく

Slide 33

Slide 33 text

Slide 34

Slide 34 text

©Fusic Co., Ltd. 33 通知機構を作ってこそ機能するやってみて初めて分かったこと AWS Security Hub Amazon Inspector AWS Config コンソールにアクセスしないと何も⾒えない‧‧‧ 意味ある活⽤のためにSlack通知は必須

Slide 35

Slide 35 text

©Fusic Co., Ltd. 34 通知機構を作ってこそ機能するやってみて初めて分かったこと AWS Security Hub Amazon EventBridge Amazon Inspector AWS Chatbot AWS Conﬁg （コンソールを⾒にいかなくても）⾒える！気づける！意味ある活⽤のためにSlack通知は必須

Slide 36

Slide 36 text

Slide 37

Slide 37 text

©Fusic Co., Ltd. 36 NEW NOTIFIED RESOLVED SUPPRESSED 通知機構を作ってこそ機能するやってみて初めて分かったこと通知の運⽤も、やってみて初めて分かる • 検出された全て(100〜数百件)がSlackに通知 • 対応したのにまた通知される Severity=Critical のものだけ通知検討‧対応したら workflow statusを更新する

Slide 38

Slide 38 text

©Fusic Co., Ltd. 37 通知機構を作ってこそ機能するやってみて初めて分かったこと Event Bridge Rulesのイベントパターンで通知内容を制御 { "source": ["aws.securityhub"], "detail-type": ["Security Hub Findings - Imported"], "detail": { "findings": { "RecordState": ["ACTIVE"], "Severity": { "Label": ["CRITICAL"] }, "Workflow": { "Status": ["NEW"] } } } } まずは可視化。通知に慣れすぎないバランスは難しいが、各プロジェクトの必要⼗分なイベントパターンを設定する。

Slide 39

Slide 39 text

Slide 40

Slide 40 text

Slide 41

Slide 41 text

Slide 42

Slide 42 text

©Fusic Co., Ltd. 41 運⽤中に有効化するリスクやってみて初めて分かったこと開発中のプロジェクトに導⼊した結果… リソースの変更が頻繁にある AWS Configの料⾦がそのたびに重なる！ [発表後追記] AWS Conﬁgの導⼊タイミングは要検討

Slide 43

Slide 43 text

Slide 44

Slide 44 text

©Fusic Co., Ltd. 43 まとめ ”とにかくやってみる”で始めるAWS Security Hub AWS Security Hubの始め⽅は“有効化”するだけなので簡単！ Point 01 がんばりすぎない、できることをやる。やらないより意味がある。 Point 02 運⽤して初めて分かることは、運⽤してみるまで分からない。だから、まずやってみる。 Point 03 (感想) AWS SecurityHubが好きになりました。 Point 04