Upgrade to Pro — share decks privately, control downloads, hide ads and more …

JAWS-UG 横浜 #54 資料

takakuni
January 28, 2023
Technology
0
600

JAWS-UG 横浜 #54 資料

JAWS-UG 横浜 #54 で「AWS Foundational Security Best Practicesのコントロールって約200種類あんねん。〜個人的にオススメする Security Hub との向き合い方〜」と言うタイトルの登壇資料です。

takakuni

January 28, 2023
Tweet

More Decks by takakuni

See All by takakuni
サンプルサンプル株式会社 会社説明資料
takakuni
0
1.1k
re:Inforce 2024 コンテナセキュリティアップデートまとめ
takakuni
0
390
AWS re:Inforce 2024 個人的推しアップデート総まとめ(仮)
takakuni
0
1.2k
Backlog Git を AWS に繋ぎ
 コンテナイメージをビルドしてみた

takakuni
0
150
巷で話題の SOCI についてのお話
takakuni
0
210
NW-JAWS #11 re:Cap 2023 Amazon Q network trouble shooting について
takakuni
0
1.2k
re:Invent 2023 コンテナイメージスキャンどうなった!?
takakuni
0
1.9k
AWS Engineer Meetsup 2023 登壇資料
takakuni
0
3.3k
JAWS-UG 朝会 #43 登壇資料
takakuni
0
1.2k

Other Decks in Technology

See All in Technology
Terraform CI/CD パイプラインにおける AWS CodeCommit の代替手段
hiyanger
1
240
TypeScript、上達の瞬間
sadnessojisan
46
13k
Shopifyアプリ開発における Shopifyの機能活用
sonatard
4
250
100 名超が参加した日経グループ横断の競技型 AWS 学習イベント「Nikkei Group AWS GameDay」の紹介/mediajaws202411
nikkei_engineer_recruiting
1
170
組織成長を加速させるオンボーディングの取り組み
sudoakiy
2
170
Lambdaと地方とコミュニティ
miu_crescent
2
370
AWS Lambda のトラブルシュートをしていて思うこと
kazzpapa3
2
180
リンクアンドモチベーション ソフトウェアエンジニア向け紹介資料 / Introduction to Link and Motivation for Software Engineers
lmi
4
300k
iOSチームとAndroidチームでブランチ運用が違ったので整理してます
sansantech
PRO
0
140
20241120_JAWS_東京_ランチタイムLT#17_AWS認定全冠の先へ
tsumita
2
280
サイバーセキュリティと認知バイアス:対策の隙を埋める心理学的アプローチ
shumei_ito
0
390
Evangelismo técnico: ¿qué, cómo y por qué?
trishagee
0
360

Featured

See All Featured
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
16
2.1k
Agile that works and the tools we love
rasmusluckow
327
21k
How To Stay Up To Date on Web Technology
chriscoyier
788
250k
What's in a price? How to price your products and services
michaelherold
243
12k
VelocityConf: Rendering Performance Case Studies
addyosmani
325
24k
The Cost Of JavaScript in 2023
addyosmani
45
6.8k
Practical Orchestrator
shlominoach
186
10k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
28
8.2k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.7k
How to Ace a Technical Interview
jacobian
276
23k
Raft: Consensus for Rubyists
vanstee
136
6.6k
Bash Introduction
62gerente
608
210k

Transcript

  1. AWS Foundational Security Best Practices
 のコントロールって約200種類あんねん。
 〜個人的にオススメする Security Hub との向き合い方〜


    JAWS-UG横浜 #54 AWS re:Invent 2022 ReCap Security
 2023/1/28
 
 たかくに
 1

  2. 2 スライドの内容はすべてフィクションです。 実在の人物や団体などとは関係ありません。

  3. • AWS事業本部 コンサルティング部
 • ロール:ソリューションアーキテクト
 • 好きなAWSサービス:Amazon VPC
 • Twitter:@takakuni_


    たかくに
 自己紹介 3

  4. 4 前置き

  5. 5 AWS Foundational Security Best Practices コントロール数の推移

  6. 6 AWS Foundational Security Best Practices コントロール数の推移 機能の追加 • 新規

    AWS リソースの追加 • 既存 AWS リソースの機能追加 • AWS Config の取得可能なリソースの追加 セキュリティ脅威の傾向変化

  7. 7 AWS Foundational Security Best Practices コントロール数の推移 機能の追加 • 新規

    AWS リソースの追加 • 既存 AWS リソースの機能追加 • AWS Config の取得可能なリソースの追加 セキュリティ脅威の傾向変化 項目にどのように向き合っていこう?

  8. 8 レベル 1

  9. 9 AWS Security Hub とは • AWS アカウント内の環境がセキュリティ規格にどれほど準拠している かを確認するためのサービス ◦

    CIS AWS Foundations (v1.2.0 Level 1,2, v1.4.0) ◦ Payment Card Industry Data Security Standard ◦ AWS Foundational Security Best Practices (v1.0.0) • Amazon GuardDuty , Amazon Inspector などの AWS で提供されるセ キュリティサービスの検出結果を一元管理

  10. 10 AWS Security Hub とは • AWS アカウント内の環境がセキュリティ規格にどれほど準拠している かを確認するためのサービス ◦

    CIS AWS Foundations (v1.2.0 Level 1,2) ◦ Payment Card Industry Data Security Standard ◦ AWS Foundational Security Best Practices (v1.0.0) • Amazon GuardDuty , Amazon Inspector などのセキュリティサービス の検出結果を一元管理

  11. 11 AWS Security Hub とは • AWS アカウント内の環境がセキュリティ規格にどれほど準拠している かを 確認するためのサービス

    ◦ CIS AWS Foundations (v1.2.0 Level 1,2) ◦ Payment Card Industry Data Security Standard ◦ AWS Foundational Security Best Practices (v1.0.0) • Amazon GuardDuty , Amazon Inspector などのセキュリティサービス の検出結果を一元管理

  12. 12 現実 AWS Security Hubは 自動で全部のコントロールを是正しない

  13. 13 セキュリティの レビューをして欲しい!

  14. 14 Security Hub 有効化しました? はい! 有効化しました!

  15. 15 検出結果みました? みてません! 何もしてません!

  16. 16 AWS Security Hub とは (※間違いです) • AWS アカウント内の環境がセキュリティ規格に準拠していなかったら イイ感じに是正してくれるサービス

    ◦ CIS AWS Foundations (v1.2.0 Level 1,2) ◦ Payment Card Industry Data Security Standard ◦ AWS Foundational Security Best Practices (v1.0.0) • Amazon GuardDuty , Amazon Inspector などのセキュリティサービス の検出結果を一元管理

  17. 17 AWS Security Hub とは • AWS アカウント内の環境がセキュリティ規格にどれほど準拠している かを 確認するためのサービス

    ◦ CIS AWS Foundations (v1.2.0 Level 1,2) ◦ Payment Card Industry Data Security Standard ◦ AWS Foundational Security Best Practices (v1.0.0) • Amazon GuardDuty , Amazon Inspector などのセキュリティサービス の検出結果を一元管理

  18. 18 (考察) なぜ補正がかかったのか • AWS Config ( 自動修復ルール ) ◦

    Security Hub を利用するには AWS Config の有効化が関わる ◦ Security Hub で AWS Config ルールが作成されるが、自動修復ルールとは 別物 • AWS ソリューション:AWS での自動化されたセキュリティ対応 ◦ AWS Security Hub で検知されたコントロールを自動修復 ◦ AWS Foundational Security Best Practices の場合、33個のコントロールを 自動修復可能 ◦ 残りの165コントロール (84%) を無視していい理由にはならない

  19. 19 そう。是正するのは 画面の向こうのあなたです

  20. 20 レベル 2

  21. 向き合っただけあなたは素晴らしい 21 まずは確認 (または有効化) してみよう

  22. 大丈夫。よくあることだ 22 スコアが低い。失敗の数が多いだって?

  23. • まずは失敗したコントロールがどのようなものなのかを確認 ◦ 重要度や設定変更難易度でコントロールをカテゴライズ ▪ 要件上必要な設定値かどうか • 失敗したコントロールの数について ◦ 数に囚われる必要はない(%を追い求めるんだ)

    ▪ 同じ項目で複数のリソースが検知されているケースもある 23 具体的にどうするのか

  24. • マインド ◦ 粗探しのマインドでやると設計/構築担当がキツい ▪ 問題点を発見したことが重要(ラッキーです) ▪ 現在の常識は当時の常識ではない場合もあるため、敬意を 持ったレビュー意識 ◦

    要件上どうしようもないコントロールもある ▪ コントロールの抑止もできるため柔軟さを忘れない 24 具体的にどうするのか

  25. • 継続的なレビューを! ◦ セキュリティの傾向は常に変化する ◦ タイミング(どちらもが望ましい) ▪ セキュリティ規格のアップデート ▪ 既存リソースがコントロールに逸脱したタイミング

    • 設定変更等の何らかの事象 • CloudWatch Event を利用した通知もできるよ 25 具体的にどうするのか

  26. 26