Upgrade to Pro — share decks privately, control downloads, hide ads and more …

JAWS-UG 横浜 #54 資料

takakuni
January 28, 2023
Technology
0
600

JAWS-UG 横浜 #54 資料

JAWS-UG 横浜 #54 で「AWS Foundational Security Best Practicesのコントロールって約200種類あんねん。〜個人的にオススメする Security Hub との向き合い方〜」と言うタイトルの登壇資料です。

takakuni

January 28, 2023
Tweet

More Decks by takakuni

See All by takakuni
サンプルサンプル株式会社 会社説明資料
takakuni
0
810
re:Inforce 2024 コンテナセキュリティアップデートまとめ
takakuni
0
380
AWS re:Inforce 2024 個人的推しアップデート総まとめ(仮)
takakuni
0
1.2k
Backlog Git を AWS に繋ぎ
 コンテナイメージをビルドしてみた

takakuni
0
140
巷で話題の SOCI についてのお話
takakuni
0
190
NW-JAWS #11 re:Cap 2023 Amazon Q network trouble shooting について
takakuni
0
1.2k
re:Invent 2023 コンテナイメージスキャンどうなった!?
takakuni
0
1.8k
AWS Engineer Meetsup 2023 登壇資料
takakuni
0
3.2k
JAWS-UG 朝会 #43 登壇資料
takakuni
0
1.2k

Other Decks in Technology

See All in Technology
omakaseしないための.rubocop.yml のつくりかた / How to Build Your .rubocop.yml to Avoid Omakase #kaigionrails
linkers_tech
3
530
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
5
49k
サイバーエージェントにおける生成AIのリスキリング施策の取り組み / cyber-ai-reskilling
cyberagentdevelopers
PRO
2
170
ABEMA のコンテンツ制作を最適化!生成 AI x クラウド映像編集システム / abema-ai-editor
cyberagentdevelopers
PRO
1
170
失敗しないOpenJDKの非互換調査
tabatad
0
260
いまならこう作りたい AWSコンテナ[本格]入門ハンズオン 〜2024年版 ハンズオンの構想〜
horsewin
7
1.9k
生成AIの強みと弱みを理解して、生成AIがもたらすパワーをプロダクトの価値へ繋げるために実践したこと / advance-ai-generating
cyberagentdevelopers
PRO
1
160
プロダクトチームへのSystem Risk Records導入・運用事例の紹介/Introduction and Case Studies on Implementing and Operating System Risk Records for Product Teams
taddy_919
1
100
「最高のチューニング」をしないために / hack@delta 24.10
fujiwara3
19
3.1k
ネット広告に未来はあるか?「3rd Party Cookie廃止とPrivacy Sandboxの効果検証の裏側」 / third-party-cookie-privacy
cyberagentdevelopers
PRO
1
120
Commitment vs Harrisonism - Keynote for Scrum Niseko 2024
miholovesq
5
640
グローバル展開を見据えたサービスにおける機械翻訳プラクティス / dp-ai-translating
cyberagentdevelopers
PRO
1
140

Featured

See All Featured
A better future with KSS
kneath
238
17k
Designing on Purpose - Digital PM Summit 2013
jponch
115
6.9k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
328
21k
GraphQLの誤解/rethinking-graphql
sonatard
66
9.9k
Agile that works and the tools we love
rasmusluckow
327
21k
Code Reviewing Like a Champion
maltzj
519
39k
Making Projects Easy
brettharned
115
5.9k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.1k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
250
21k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
231
17k
The Pragmatic Product Professional
lauravandoore
31
6.3k

Transcript

  1. AWS Foundational Security Best Practices
 のコントロールって約200種類あんねん。
 〜個人的にオススメする Security Hub との向き合い方〜


    JAWS-UG横浜 #54 AWS re:Invent 2022 ReCap Security
 2023/1/28
 
 たかくに
 1

  2. 2 スライドの内容はすべてフィクションです。 実在の人物や団体などとは関係ありません。

  3. • AWS事業本部 コンサルティング部
 • ロール:ソリューションアーキテクト
 • 好きなAWSサービス:Amazon VPC
 • Twitter:@takakuni_


    たかくに
 自己紹介 3

  4. 4 前置き

  5. 5 AWS Foundational Security Best Practices コントロール数の推移

  6. 6 AWS Foundational Security Best Practices コントロール数の推移 機能の追加 • 新規

    AWS リソースの追加 • 既存 AWS リソースの機能追加 • AWS Config の取得可能なリソースの追加 セキュリティ脅威の傾向変化

  7. 7 AWS Foundational Security Best Practices コントロール数の推移 機能の追加 • 新規

    AWS リソースの追加 • 既存 AWS リソースの機能追加 • AWS Config の取得可能なリソースの追加 セキュリティ脅威の傾向変化 項目にどのように向き合っていこう?

  8. 8 レベル 1

  9. 9 AWS Security Hub とは • AWS アカウント内の環境がセキュリティ規格にどれほど準拠している かを確認するためのサービス ◦

    CIS AWS Foundations (v1.2.0 Level 1,2, v1.4.0) ◦ Payment Card Industry Data Security Standard ◦ AWS Foundational Security Best Practices (v1.0.0) • Amazon GuardDuty , Amazon Inspector などの AWS で提供されるセ キュリティサービスの検出結果を一元管理

  10. 10 AWS Security Hub とは • AWS アカウント内の環境がセキュリティ規格にどれほど準拠している かを確認するためのサービス ◦

    CIS AWS Foundations (v1.2.0 Level 1,2) ◦ Payment Card Industry Data Security Standard ◦ AWS Foundational Security Best Practices (v1.0.0) • Amazon GuardDuty , Amazon Inspector などのセキュリティサービス の検出結果を一元管理

  11. 11 AWS Security Hub とは • AWS アカウント内の環境がセキュリティ規格にどれほど準拠している かを 確認するためのサービス

    ◦ CIS AWS Foundations (v1.2.0 Level 1,2) ◦ Payment Card Industry Data Security Standard ◦ AWS Foundational Security Best Practices (v1.0.0) • Amazon GuardDuty , Amazon Inspector などのセキュリティサービス の検出結果を一元管理

  12. 12 現実 AWS Security Hubは 自動で全部のコントロールを是正しない

  13. 13 セキュリティの レビューをして欲しい!

  14. 14 Security Hub 有効化しました? はい! 有効化しました!

  15. 15 検出結果みました? みてません! 何もしてません!

  16. 16 AWS Security Hub とは (※間違いです) • AWS アカウント内の環境がセキュリティ規格に準拠していなかったら イイ感じに是正してくれるサービス

    ◦ CIS AWS Foundations (v1.2.0 Level 1,2) ◦ Payment Card Industry Data Security Standard ◦ AWS Foundational Security Best Practices (v1.0.0) • Amazon GuardDuty , Amazon Inspector などのセキュリティサービス の検出結果を一元管理

  17. 17 AWS Security Hub とは • AWS アカウント内の環境がセキュリティ規格にどれほど準拠している かを 確認するためのサービス

    ◦ CIS AWS Foundations (v1.2.0 Level 1,2) ◦ Payment Card Industry Data Security Standard ◦ AWS Foundational Security Best Practices (v1.0.0) • Amazon GuardDuty , Amazon Inspector などのセキュリティサービス の検出結果を一元管理

  18. 18 (考察) なぜ補正がかかったのか • AWS Config ( 自動修復ルール ) ◦

    Security Hub を利用するには AWS Config の有効化が関わる ◦ Security Hub で AWS Config ルールが作成されるが、自動修復ルールとは 別物 • AWS ソリューション:AWS での自動化されたセキュリティ対応 ◦ AWS Security Hub で検知されたコントロールを自動修復 ◦ AWS Foundational Security Best Practices の場合、33個のコントロールを 自動修復可能 ◦ 残りの165コントロール (84%) を無視していい理由にはならない

  19. 19 そう。是正するのは 画面の向こうのあなたです

  20. 20 レベル 2

  21. 向き合っただけあなたは素晴らしい 21 まずは確認 (または有効化) してみよう

  22. 大丈夫。よくあることだ 22 スコアが低い。失敗の数が多いだって?

  23. • まずは失敗したコントロールがどのようなものなのかを確認 ◦ 重要度や設定変更難易度でコントロールをカテゴライズ ▪ 要件上必要な設定値かどうか • 失敗したコントロールの数について ◦ 数に囚われる必要はない(%を追い求めるんだ)

    ▪ 同じ項目で複数のリソースが検知されているケースもある 23 具体的にどうするのか

  24. • マインド ◦ 粗探しのマインドでやると設計/構築担当がキツい ▪ 問題点を発見したことが重要(ラッキーです) ▪ 現在の常識は当時の常識ではない場合もあるため、敬意を 持ったレビュー意識 ◦

    要件上どうしようもないコントロールもある ▪ コントロールの抑止もできるため柔軟さを忘れない 24 具体的にどうするのか

  25. • 継続的なレビューを! ◦ セキュリティの傾向は常に変化する ◦ タイミング(どちらもが望ましい) ▪ セキュリティ規格のアップデート ▪ 既存リソースがコントロールに逸脱したタイミング

    • 設定変更等の何らかの事象 • CloudWatch Event を利用した通知もできるよ 25 具体的にどうするのか

  26. 26