JAWS-UG 横浜 #54 で「AWS Foundational Security Best Practicesのコントロールって約200種類あんねん。〜個人的にオススメする Security Hub との向き合い方〜」と言うタイトルの登壇資料です。
AWS Foundational Security Best Practices のコントロールって約200種類あんねん。 〜個人的にオススメする Security Hub との向き合い方〜 JAWS-UG横浜 #54 AWS re:Invent 2022 ReCap Security 2023/1/28 たかくに 1
View Slide
2スライドの内容はすべてフィクションです。実在の人物や団体などとは関係ありません。
● AWS事業本部 コンサルティング部 ● ロール:ソリューションアーキテクト ● 好きなAWSサービス:Amazon VPC ● Twitter:@takakuni_ たかくに 自己紹介 3
4前置き
5AWS Foundational Security Best Practices コントロール数の推移
6AWS Foundational Security Best Practices コントロール数の推移機能の追加● 新規 AWS リソースの追加● 既存 AWS リソースの機能追加● AWS Config の取得可能なリソースの追加セキュリティ脅威の傾向変化
7AWS Foundational Security Best Practices コントロール数の推移機能の追加● 新規 AWS リソースの追加● 既存 AWS リソースの機能追加● AWS Config の取得可能なリソースの追加セキュリティ脅威の傾向変化項目にどのように向き合っていこう?
8レベル 1
9AWS Security Hub とは● AWS アカウント内の環境がセキュリティ規格にどれほど準拠しているかを確認するためのサービス○ CIS AWS Foundations (v1.2.0 Level 1,2, v1.4.0)○ Payment Card Industry Data Security Standard○ AWS Foundational Security Best Practices (v1.0.0)● Amazon GuardDuty , Amazon Inspector などの AWS で提供されるセキュリティサービスの検出結果を一元管理
10AWS Security Hub とは● AWS アカウント内の環境がセキュリティ規格にどれほど準拠しているかを確認するためのサービス○ CIS AWS Foundations (v1.2.0 Level 1,2)○ Payment Card Industry Data Security Standard○ AWS Foundational Security Best Practices (v1.0.0)● Amazon GuardDuty , Amazon Inspector などのセキュリティサービスの検出結果を一元管理
11AWS Security Hub とは● AWS アカウント内の環境がセキュリティ規格にどれほど準拠しているかを確認するためのサービス○ CIS AWS Foundations (v1.2.0 Level 1,2)○ Payment Card Industry Data Security Standard○ AWS Foundational Security Best Practices (v1.0.0)● Amazon GuardDuty , Amazon Inspector などのセキュリティサービスの検出結果を一元管理
12現実AWS Security Hubは自動で全部のコントロールを是正しない
13セキュリティのレビューをして欲しい!
14Security Hub 有効化しました?はい!有効化しました!
15検出結果みました?みてません!何もしてません!
16AWS Security Hub とは (※間違いです)● AWS アカウント内の環境がセキュリティ規格に準拠していなかったらイイ感じに是正してくれるサービス○ CIS AWS Foundations (v1.2.0 Level 1,2)○ Payment Card Industry Data Security Standard○ AWS Foundational Security Best Practices (v1.0.0)● Amazon GuardDuty , Amazon Inspector などのセキュリティサービスの検出結果を一元管理
17AWS Security Hub とは● AWS アカウント内の環境がセキュリティ規格にどれほど準拠しているかを確認するためのサービス○ CIS AWS Foundations (v1.2.0 Level 1,2)○ Payment Card Industry Data Security Standard○ AWS Foundational Security Best Practices (v1.0.0)● Amazon GuardDuty , Amazon Inspector などのセキュリティサービスの検出結果を一元管理
18(考察) なぜ補正がかかったのか● AWS Config ( 自動修復ルール )○ Security Hub を利用するには AWS Config の有効化が関わる○ Security Hub で AWS Config ルールが作成されるが、自動修復ルールとは別物● AWS ソリューション:AWS での自動化されたセキュリティ対応○ AWS Security Hub で検知されたコントロールを自動修復○ AWS Foundational Security Best Practices の場合、33個のコントロールを自動修復可能○ 残りの165コントロール (84%) を無視していい理由にはならない
19そう。是正するのは画面の向こうのあなたです
20レベル 2
向き合っただけあなたは素晴らしい21まずは確認 (または有効化) してみよう
大丈夫。よくあることだ22スコアが低い。失敗の数が多いだって?
● まずは失敗したコントロールがどのようなものなのかを確認○ 重要度や設定変更難易度でコントロールをカテゴライズ■ 要件上必要な設定値かどうか● 失敗したコントロールの数について○ 数に囚われる必要はない(%を追い求めるんだ)■ 同じ項目で複数のリソースが検知されているケースもある23具体的にどうするのか
● マインド○ 粗探しのマインドでやると設計/構築担当がキツい■ 問題点を発見したことが重要(ラッキーです)■ 現在の常識は当時の常識ではない場合もあるため、敬意を持ったレビュー意識○ 要件上どうしようもないコントロールもある■ コントロールの抑止もできるため柔軟さを忘れない24具体的にどうするのか
● 継続的なレビューを!○ セキュリティの傾向は常に変化する○ タイミング(どちらもが望ましい)■ セキュリティ規格のアップデート■ 既存リソースがコントロールに逸脱したタイミング● 設定変更等の何らかの事象● CloudWatch Event を利用した通知もできるよ25具体的にどうするのか
26