Upgrade to Pro — share decks privately, control downloads, hide ads and more …

JAWS-UG 横浜 #54 資料

takakuni
January 28, 2023

JAWS-UG 横浜 #54 資料

JAWS-UG 横浜 #54 で「AWS Foundational Security Best Practicesのコントロールって約200種類あんねん。〜個人的にオススメする Security Hub との向き合い方〜」と言うタイトルの登壇資料です。

takakuni

January 28, 2023
Tweet

More Decks by takakuni

Other Decks in Technology

Transcript

  1. AWS Foundational Security Best Practices

    のコントロールって約200種類あんねん。

    〜個人的にオススメする Security Hub との向き合い方〜

    JAWS-UG横浜 #54 AWS re:Invent 2022 ReCap Security

    2023/1/28


    たかくに

    1

    View Slide

  2. 2
    スライドの内容はすべてフィクションです。
    実在の人物や団体などとは関係ありません。

    View Slide

  3. ● AWS事業本部 コンサルティング部

    ● ロール:ソリューションアーキテクト

    ● 好きなAWSサービス:Amazon VPC

    ● Twitter:@takakuni_

    たかくに

    自己紹介 3

    View Slide

  4. 4
    前置き

    View Slide

  5. 5
    AWS Foundational Security Best Practices コントロール数の推移

    View Slide

  6. 6
    AWS Foundational Security Best Practices コントロール数の推移
    機能の追加
    ● 新規 AWS リソースの追加
    ● 既存 AWS リソースの機能追加
    ● AWS Config の取得可能なリソースの追加
    セキュリティ脅威の傾向変化

    View Slide

  7. 7
    AWS Foundational Security Best Practices コントロール数の推移
    機能の追加
    ● 新規 AWS リソースの追加
    ● 既存 AWS リソースの機能追加
    ● AWS Config の取得可能なリソースの追加
    セキュリティ脅威の傾向変化
    項目にどのように向き合っていこう?

    View Slide

  8. 8
    レベル 1

    View Slide

  9. 9
    AWS Security Hub とは
    ● AWS アカウント内の環境がセキュリティ規格にどれほど準拠している
    かを確認するためのサービス
    ○ CIS AWS Foundations (v1.2.0 Level 1,2, v1.4.0)
    ○ Payment Card Industry Data Security Standard
    ○ AWS Foundational Security Best Practices (v1.0.0)
    ● Amazon GuardDuty , Amazon Inspector などの AWS で提供されるセ
    キュリティサービスの検出結果を一元管理

    View Slide

  10. 10
    AWS Security Hub とは
    ● AWS アカウント内の環境がセキュリティ規格にどれほど準拠している
    かを確認するためのサービス
    ○ CIS AWS Foundations (v1.2.0 Level 1,2)
    ○ Payment Card Industry Data Security Standard
    ○ AWS Foundational Security Best Practices (v1.0.0)
    ● Amazon GuardDuty , Amazon Inspector などのセキュリティサービス
    の検出結果を一元管理

    View Slide

  11. 11
    AWS Security Hub とは
    ● AWS アカウント内の環境がセキュリティ規格にどれほど準拠している
    かを
    確認するためのサービス
    ○ CIS AWS Foundations (v1.2.0 Level 1,2)
    ○ Payment Card Industry Data Security Standard
    ○ AWS Foundational Security Best Practices (v1.0.0)
    ● Amazon GuardDuty , Amazon Inspector などのセキュリティサービス
    の検出結果を一元管理

    View Slide

  12. 12
    現実
    AWS Security Hubは
    自動で全部のコントロールを是正しない

    View Slide

  13. 13
    セキュリティの
    レビューをして欲しい!

    View Slide

  14. 14
    Security Hub 有効化しました?
    はい!
    有効化しました!

    View Slide

  15. 15
    検出結果みました?
    みてません!
    何もしてません!

    View Slide

  16. 16
    AWS Security Hub とは (※間違いです)
    ● AWS アカウント内の環境がセキュリティ規格に準拠していなかったら
    イイ感じに是正してくれるサービス
    ○ CIS AWS Foundations (v1.2.0 Level 1,2)
    ○ Payment Card Industry Data Security Standard
    ○ AWS Foundational Security Best Practices (v1.0.0)
    ● Amazon GuardDuty , Amazon Inspector などのセキュリティサービス
    の検出結果を一元管理

    View Slide

  17. 17
    AWS Security Hub とは
    ● AWS アカウント内の環境がセキュリティ規格にどれほど準拠している
    かを
    確認するためのサービス
    ○ CIS AWS Foundations (v1.2.0 Level 1,2)
    ○ Payment Card Industry Data Security Standard
    ○ AWS Foundational Security Best Practices (v1.0.0)
    ● Amazon GuardDuty , Amazon Inspector などのセキュリティサービス
    の検出結果を一元管理

    View Slide

  18. 18
    (考察) なぜ補正がかかったのか
    ● AWS Config ( 自動修復ルール )
    ○ Security Hub を利用するには AWS Config の有効化が関わる
    ○ Security Hub で AWS Config ルールが作成されるが、自動修復ルールとは
    別物
    ● AWS ソリューション:AWS での自動化されたセキュリティ対応
    ○ AWS Security Hub で検知されたコントロールを自動修復
    ○ AWS Foundational Security Best Practices の場合、33個のコントロールを
    自動修復可能
    ○ 残りの165コントロール (84%) を無視していい理由にはならない

    View Slide

  19. 19
    そう。是正するのは
    画面の向こうのあなたです

    View Slide

  20. 20
    レベル 2

    View Slide

  21. 向き合っただけあなたは素晴らしい
    21
    まずは確認 (または有効化) してみよう

    View Slide

  22. 大丈夫。よくあることだ
    22
    スコアが低い。失敗の数が多いだって?

    View Slide

  23. ● まずは失敗したコントロールがどのようなものなのかを確認
    ○ 重要度や設定変更難易度でコントロールをカテゴライズ
    ■ 要件上必要な設定値かどうか
    ● 失敗したコントロールの数について
    ○ 数に囚われる必要はない(%を追い求めるんだ)
    ■ 同じ項目で複数のリソースが検知されているケースもある
    23
    具体的にどうするのか

    View Slide

  24. ● マインド
    ○ 粗探しのマインドでやると設計/構築担当がキツい
    ■ 問題点を発見したことが重要(ラッキーです)
    ■ 現在の常識は当時の常識ではない場合もあるため、敬意を
    持ったレビュー意識
    ○ 要件上どうしようもないコントロールもある
    ■ コントロールの抑止もできるため柔軟さを忘れない
    24
    具体的にどうするのか

    View Slide

  25. ● 継続的なレビューを!
    ○ セキュリティの傾向は常に変化する
    ○ タイミング(どちらもが望ましい)
    ■ セキュリティ規格のアップデート
    ■ 既存リソースがコントロールに逸脱したタイミング
    ● 設定変更等の何らかの事象
    ● CloudWatch Event を利用した通知もできるよ
    25
    具体的にどうするのか

    View Slide

  26. 26

    View Slide