Upgrade to Pro — share decks privately, control downloads, hide ads and more …

JAWS-UG SRE支部 #7 Security Hubは俺の姑

Takashi Yamaguchi
October 18, 2023
Technology
0
630

JAWS-UG SRE支部 #7 Security Hubは俺の姑

[Security Hubを触ったことがない人]、
[Security Hubを運用している人]向けに発表する
[Security Hubは俺の姑]は
[Security Hubのネタセッション]です
これは[現場での発生した事案に基づいて構成しているネタセッションのため、納得感]があり
これまでの事例発表や公式資料とは違って
[Security Hubのちょっと困った挙動と、Security Hubとのほどよい付き合い方に焦点をあてている]

Takashi Yamaguchi

October 18, 2023
Tweet

More Decks by Takashi Yamaguchi

See All by Takashi Yamaguchi
年10万で社内Webアプリを10個動かす チャレンジをしている話 / The story of the challenge to run 10 in-house web apps for 100kJPY a year.
yamaguchitk333
0
150
CodeCatalyst in Action: Automating PR Creation for Route 53 and IAM Identity Center Management
yamaguchitk333
0
83
DevSecOpsの内回りと外回りで考える持続可能なセキュリティ対策 / Considering Sustainable Security Measures in DevSecOps: Left Loop and Right Loop Perspectives
yamaguchitk333
2
2.1k
DevSecOpsの内回りと外回りで考える持続可能なセキュリティ対策 | Sustainable security measures for DevSecOps inside and outside the DevSecOps system.
yamaguchitk333
4
2.5k
コスト削減のハードスキルとソフトスキル / Hard and Soft skills for cost reduction
yamaguchitk333
0
100
クラウドセキュリティの技術選択と、セキュリティ対応していく中で出て来た課題
yamaguchitk333
0
150
コンテナセキュリティの概要と デプロイフローに組み込んだ後の課題
yamaguchitk333
1
1.1k
クラウドセキュリティの技術選択と、セキュリティ対応していく中で出て来た課題
yamaguchitk333
0
6.1k
JAWS-UG コンテナ支部 × JAWS-UG 千葉支部 #1 コンテナセキュリティ対応でSnykを導入中に 発生した・発生中のいろんなこと
yamaguchitk333
0
1.1k

Other Decks in Technology

See All in Technology
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
3.8k
"君は見ているが観察していない"で考えるインシデントマネジメント
grimoh
4
1.1k
地理情報データをデータベースに格納しよう~ GPUを活用した爆速データベース PG-Stromの紹介 ~
sakaik
1
130
TinyGoを使ったVSCode拡張機能実装
askua
2
210
Lambdaと地方とコミュニティ
miu_crescent
2
320
Intuneお役立ちツールのご紹介
sukank
3
770
QAEチームが辿った3年 ボクらが改善業務にスクラムを選んだワケ / 20241108_cloudsign_ques23
bengo4com
0
1.3k
Windows Autopilot Deployment by OSD Guy
tamaiyutaro
0
380
エンジニア候補者向け資料2024.11.07.pdf
macloud
0
4.6k
B2B SaaS × AI機能開発 〜テナント分離のパターン解説〜 / B2B SaaS x AI function development - Explanation of tenant separation pattern
oztick139
1
130
スクラム成熟度セルフチェックツールを作って得た学びとその活用法
coincheck_recruit
1
110
隣接領域をBeyondするFinatextのエンジニア組織設計 / beyond-engineering-areas
stajima
1
240

Featured

See All Featured
Writing Fast Ruby
sferik
627
61k
How to train your dragon (web standard)
notwaldorf
88
5.7k
Rails Girls Zürich Keynote
gr2m
94
13k
Unsuck your backbone
ammeep
668
57k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
506
140k
KATA
mclloyd
29
14k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
109
49k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
159
15k
How to Ace a Technical Interview
jacobian
276
23k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
26
1.4k
We Have a Design System, Now What?
morganepeng
50
7.2k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
10
700

Transcript

  1. 株式会社 Gunosy テクノロジー本部 プロダクト開発部 SREチーム マネージャー 山口 隆史 <YAMAGUCHI Takashi>

    2023年10月18日(水) Security Hubは俺の姑

  2. (C) Gunosy Inc. All Rights Reserved. PAGE | 2 エレベーターピッチ

    [Security Hubを触ったことがない人]、 [Security Hubを運用している人]向けに発表する [Security Hubは俺の姑]は [Security Hubのネタセッション]です これは[現場での発生した事案に基づいて構成しているネタセッションのた め、納得感]があり これまでの事例発表や公式資料とは違って [Security Hubのちょっと困った挙動と、Security Hubとのほどよい付き 合い方に焦点をあてている]

  3. (C) Gunosy Inc. All Rights Reserved. PAGE | 3 LT終了後に狙う状態

    論理面 - Security Hubのちょっと困ったところが理解できる - Security Hubとの付き合い方が理解できる 感情面 - Security Hubってそんなところあるよなーと共感してもらう - Security Hubに興味をもってもらう

  4. (C) Gunosy Inc. All Rights Reserved. 本題に入る前に自己紹介

  5. (C) Gunosy Inc. All Rights Reserved. PAGE | 5 自己紹介

    氏名:山口隆史(やまぐちたかし) 所属:株式会社Gunosy テクノロジー本部 プロダクト開発部 SREチーム マネージャー 業務:Pure SREとしての活動 略歴:フリーランス、SIer等を渡り歩く→現職(2022/01〜) 自称:Security Hub芸人 好きなAWSサービス:Security Hub、GuardDuty、サポート 他:AWS Community Builder(Security & Identity)、JAWS-UG千葉支部運営 第022587号

  6. (C) Gunosy Inc. All Rights Reserved. PAGE | 6 株式会社Gunosy

    ギリシャ語で「知識」を意味する「Gnosis(グノーシス)」+「u(“you”)」 「”Gnosis” for “you”」あなたのための知識  =情報を届けるサービスを提供し続ける、という意味 ▪ 2012年11月創業 ▪ 2015年4月東証マザーズ上場 ▪ 2017年12月東証第一部に市場変更 ▪ 2022年4月東京証券取引所の市場一部からプライム市場に移行 ▪ 従業員数 252名 (2023年5月末現在 連結ベース) ▪ 事業内容 – 情報キュレーションサービスその他メディアの開発及び運営 ▪ 提供サービス  グノシー、ニュースパス、 auサービスToday、YOU IN 企業理念「情報を世界中の人に最適に届ける」

  7. (C) Gunosy Inc. All Rights Reserved. ここから本題

  8. (C) Gunosy Inc. All Rights Reserved. PAGE | 8 アジェンダ

    話すこと • AWS Security Hubとは • AWS Security Hubのちょっと困ったところ • AWS Security Hubとの付き合い方

  9. (C) Gunosy Inc. All Rights Reserved. 前提

  10. (C) Gunosy Inc. All Rights Reserved. AWS Security Hubとはどんなサービスなのか

  11. (C) Gunosy Inc. All Rights Reserved. PAGE | 11 AWS

    Security Hubとは AWS Security Hub は、セキュリティのベストプラクティスのチェックを行い、アラートを集約 し、自動修復を可能にするクラウドセキュリティ体制管理サービスです。

  12. (C) Gunosy Inc. All Rights Reserved. この説明だとよくわかんないですよね?

  13. (C) Gunosy Inc. All Rights Reserved. PAGE | 13 AWS

    Security Hubがやってくれること ▪ AWSリソースのミスコンフィグ(脆弱性)のチェック – AWS Configを使ってリソース情報を収集してチェック – ベストプラクティス、業界規制やコンプライアンスフレームワークに合わせたセ キュリティチェック ▪ AWSのセキュリティ系サービスの情報集約 – Amazon GuardDuty – Amazon Inspector – AWS Systems Managers – AWS Health – AWS Config – AWS Firewall Manager – AWS IAM Access Analyzer – Amazon Macie

  14. (C) Gunosy Inc. All Rights Reserved. PAGE | 14 AWS

    Security Hubがやってくれること ▪ パートナーサービスの情報も一元管理可能 – ASFFフォーマットで送信することで、Security Hubに集約可能 ▪ セキュリティスコアと概要のダッシュボード – セキュリティスコアはAWS Configを使用したミスコンフィグだけ ▪ 以上の情報をリージョン集約、アカウント集約して委任アカウントで確認できる – 委任アカウントの設定はAWS Organizationの導入が必要 ▪ 検出結果が自動更新される ▪ 修復アクションが可能 – 自動でも手動でも

  15. (C) Gunosy Inc. All Rights Reserved. 細かいところに気づいたり(ミスコンフィグ) ご近所からいろんなうわさばなしを集めてきたり (リージョン集約アカウント集約) 勝手にいろいろやってくれる(自動修復)

  16. (C) Gunosy Inc. All Rights Reserved. なかなか便利ですごいですよね

  17. (C) Gunosy Inc. All Rights Reserved. イメージ的には 細かいところによく気がついて ご近所付き合いが上手で お世話上手な

    スーパー姑さん

  18. (C) Gunosy Inc. All Rights Reserved. そんなAWS Security Hub(姑さん)にも ちょっと困ったところがあります

  19. (C) Gunosy Inc. All Rights Reserved. PAGE | 19 チェックが細かい

    例えば • [RDS.16] タグをスナップショットにコピーするように RDS DB クラス ターを設定する必要があります • [CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィル ターとアラームが存在することを確認します • [RDS.23] RDS インスタンスはデータベースエンジンのデフォルト ポートを使用しないようにする必要があります

  20. (C) Gunosy Inc. All Rights Reserved. PAGE | 20 チェックが細かい

    例えば • [RDS.16] タグをスナップショットにコピーするように RDS DB クラス ターを設定する必要があります • [CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィル ターとアラームが存在することを確認します • [RDS.23] RDS インスタンスはデータベースエンジンのデフォルト ポートを使用しないようにする必要があります 対応する必要があるかどうかはそれぞれのセキュリティポリシーや運用に 応じて決定しましょう コントロールによっては無効化することが有効です

  21. (C) Gunosy Inc. All Rights Reserved. PAGE | 21 お金のことを気にしてくれない

    例えば • [CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統 合する必要があります

  22. (C) Gunosy Inc. All Rights Reserved. PAGE | 22 お金のことを気にしてくれない

    例えば • [CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統 合する必要があります CloudTrailはAthenaで確認出るのと、GuardDutyでチェックできることも多 いので必要かどうかは要検討 通信量、APIコール量によっては課金爆発してしまうので、ご利用は計画的 に!

  23. (C) Gunosy Inc. All Rights Reserved. PAGE | 23 こっちの事情は気にせずいろいろ言ってくる

    例えば • [IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必 要があります

  24. (C) Gunosy Inc. All Rights Reserved. PAGE | 24 こっちの事情は気にせずいろいろ言ってくる

    例えば • [IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必 要があります ハードウェアMFAが推奨なのはわかるんですが、運用の都合で仮想MFAを 使っています その他、組織の運用と合わない例もいくつか

  25. (C) Gunosy Inc. All Rights Reserved. PAGE | 25 集めた情報を整理して伝えてくれない

    例えば • アカウント別だと検出数の合計になる • 重要度別だと全てのアカウントの合計になる

  26. (C) Gunosy Inc. All Rights Reserved. PAGE | 26 集めた情報を整理して伝えてくれない

    例えば • アカウント別だと検出数の合計になる • 重要度別だと全てのアカウントの合計になる ダッシュボードは別で作りましょう Security Lake+QuickSightでもいけます 参考:https://tech.gunosy.io/entry/amazon-security-lake-start

  27. (C) Gunosy Inc. All Rights Reserved. PAGE | 27 ときどきお願いしたことを忘れる

    例えば • 例外にしてたのに、何かのサービスアップデートのタイミングで例外 が外れたり(サポートに確認したらバグでした)

  28. (C) Gunosy Inc. All Rights Reserved. PAGE | 28 ときどきお願いしたことを忘れる

    例えば • 例外にしてたのに、何かのサービスアップデートのタイミングで例外 が外れたり(サポートに確認したらバグでした) 面倒でも例外にしたリソース、その理由はドキュメント化して残しておいたほ うが良いです (リスクを許容しているのが前提ですが)例外にしたリソースもサービスアッ プデートによって対応できたり、アプリ修正のタイミングで対応できたりしま す

  29. (C) Gunosy Inc. All Rights Reserved. まとめ

  30. (C) Gunosy Inc. All Rights Reserved. PAGE | 30 まとめ

    ▪ AWS Security Hubはよく気がつくかわいい姑さん ▪ 指摘に対する対応要否は適宜判断しましょう – 組織の運用ルールと合わない場合もあるので、ルール毎に組織のポリシーと 照らし合わせて対応の要否、コントロール自体の無効化を判断しましょう Security Hubといい距離感を保って楽しくセキュリティ対応をしましょう

  31. 情報を世界中の人に最適に届ける