Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Security Hub から AWSのベストプラクティスを学びたい

和田響
October 15, 2024
500

AWS Security Hub から AWSのベストプラクティスを学びたい

和田響

October 15, 2024
Tweet

Transcript

  1. 2 自己紹介 和⽥ 響(わだ ひびき) • AWS事業本部コンサルティング部 • ソリューションアーキテクト •

    セキュリティ‧コスト周りが得意(たぶん) • 25歳(社会⼈3年⽬) • 2024 Japan AWS Jr. Champions • 2024 Japan AWS All Certifications Engineers
  2. 3 2024 Japan AWS Jr. Champions とは? 「Japan AWS Jr.

    Champion Program」とは、AWS Partner Network (APN) 参加企 業に所属し、現在社会⼈歴 1 〜 3 年⽬で AWS を積極的に学び、アクションを起こ し、周囲に影響を与えている APN 若⼿エンジニアを選出しコミュニティを形成す る、⽇本独⾃の認定プログラムです。 【主な応募資格】 社会⼈歴 : 3 年以内 受賞⼈数:1企業につき2⼈まで 認定資格:計3つ以上(CLF+2個以上) https://aws.amazon.com/jp/blogs/psa/2024-japan-aws-jr-champions-criteria/
  3. 6 はじめに • 今⽇話すこと ◦ AWS Security Hubのサービス概要 ◦ AWS

    Security Hubを⽤いた学習⽅法 • 話さないこと ◦ 企業のセキュリティ対策 • 誰に向けてか? ◦ 実務でAWSに触り始めて数年の⽅ ◦ AWSを学習中だが何を学んだら良いかわからない⽅ ◦ AWSが⼤好きな⽅!
  4. 9 AWS Security Hubについて AWS Security Hubは、AWSアカウント全体のセキュリティ状況を⼀元的に可視化 し、管理するサービス AWS Security

    Hub 【特徴】 • Security Hubがチェックする要件(コントロール)に対して、準拠しているかいな いかを教えてくれる • 様々なセキュリティ規格に対応している ◦ AWS Foundational Security Best Practices v1.0.0 (FSBP) ◦ CIS AWS Foundations Benchmark ◦ NIST SP 800-53 Rev. 5 ◦ PCI DSS v3.2.1 • Amazon Detectiveを有効にすることで対象のリソースの特定もできる
  5. 11 学習方法 なぜAWS Security Hubを学ぶのか? • セキュリティに強いエンジニアをどの企業も求めてる!(はず) • 「AWS Security

    Hubを理解する = 各種AWSサービスを理解する」につながるか ら • 学習コストが⽐較的低いから
  6. 15 学習方法 補⾜:レベル別学習⽅法 例:[CloudTrail.1] CloudTrail 読み取りおよび書き込み管理イベントを含む少なくとも 1 つのマルチリージョ ン追跡を有効にして設定する必要があります レベル

    理解度 おすすめ学習方法 5 コントロールをみて修正方法や意図がわかる (あ〜OK,OK!俺に任せて!) - 4 コントロールの意図がわからない (なんで準拠しなきゃいけないの?) • 公式リファレンスを読む • DevelopersIO「AWS Security Hub 基礎セキュリティのベストプ ラクティスコントロール修復手順」を読む • (実際に修正してみる) 3 修正方法がわからない (どうしたら「成功」になるの?) 2 コンポーネントの意味がわからない (書き込み管理イベントって何?) • BlackBeltでサービス概要を勉強する • DevelopersIO 「入門ブログリレー」を読む 1 サービスの概要がわからない (CloudTrailって何?)
  7. 21 学べること 【学べること】 • AWSのベストプラクティス ◦ パブリックIPは使わない ◦ ログを取る •

    AWSが有効にしてほしいセキュリティサービス ◦ Inspector,GuardDuty,Macie …etc STEP3:重要度が「重要」「⾼」のものを調査してみる
  8. 22 学べること 補⾜:AWS Security Hubで検出可能なAWSサービスたち • ACM • APIGateway •

    AppSync • Athena • AutoScaling • Backup • CloudFront • CloudTrail • CodeBuild • Config • DataFirehose • DataSync • DMS • DocumentDB • EC2 • ECR • ECS • EFS • EKS • ElastiCache • ElasticBeanstalk • ELB • EMR • ES • EventBridge • FSx • Glue • GuardDuty • IAM • Inspector • Kinesis • KMS • Lambda • Macie • MQ • MSK • Neptune • NetworkFirewall • Opensearch • Route53 • RDS • Redshift • S3 • SageMaker • SecretsManager • ServiceCatalog • SQS • SSM • StepFunctions • Transfer • WAF • WorkSpaces ※赤字は重要度が「重要」「高」のコントロールがあるサービス
  9. 23 学べること 【学べること】 • 通知に必要な各種AWSサービスの仕様/制約 ◦ EventBridge ◦ SNS ◦

    Chatbot ◦ Lambda EXTRA:重要度が「重要」「⾼」で、     コントロールステータスが「失敗」のものを通知してみる
  10. 25