Upgrade to Pro — share decks privately, control downloads, hide ads and more …

初心者でも大丈夫!AWSアカウント作成時のセキュリティ設定

 初心者でも大丈夫!AWSアカウント作成時のセキュリティ設定

2020年5月29日(金)
「Security-JAWS 【第17回】 勉強会」で発表した資料です

https://s-jaws.doorkeeper.jp/events/106722

※10月1日 SecurityHubの通知情報が変更になったため更新しました。
 「Security Hubの通知設定 例」

fumiakiueno

May 29, 2020
Tweet

More Decks by fumiakiueno

Other Decks in Technology

Transcript

  1. 1 自己紹介 名前: 上野 史瑛(うえの ふみあき) 所属: NRIネットコム株式会社 経歴: ・各種Webシステムのインフラ構築・運用

    - サーバ、ネットワーク管理や構築がメイン - PCIDSS取得対応等にも参画 - オンプレとAWSの両方を経験 ・AWS最適化プロジェクトに参画 ・AWS技術検証や構成レビュー ・2020 APN Ambassadors ・2020 APN AWS Top Engineers ・2020 APN ALL AWS Certifications Engineer @fu3ak1
  2. 24 AWS Security Hub 有効化 AWSアカウント内のセキュリティ状況やコンプライアンスの準拠状況を 1箇所で確認できるサービス • CIS AWS

    Foundations BenchmarkやPCI DSSしたがったコンプライアンスチェック • GuardDuty、Macie、Inspector、Firewall Manager、IAM Access Analyzer といった各種AWSのセキュリティサービスや3rd Partyの検出、アラートの一元管理 BETTER SHOULD MUST
  3. 26 Security Hubの通知設定 例 イベントパターンを以下の通り記載することで、通知内容を限定することが可能 BETTER SHOULD MUST { "source":

    [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ], "detail": { "findings": { "ProductFields": { "aws/securityhub/SeverityLabel": [ "HIGH", "MEDIUM" ] } } } } { "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ], "detail": { "findings": { "ProductFields": { "aws/securityhub/ProductName": [ "GuardDuty" ] } } } } 例1. 重要度がHIGH、MEDIUMのみ通知 例2. GuardDutyのみ通知
  4. 27 Security Hubの通知設定 例 イベントパターンを以下の通り記載することで、通知内容を限定することが可能 BETTER SHOULD MUST { "source":

    [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ], "detail": { "findings": { "ProductFields": { "aws/securityhub/SeverityLabel": [ "HIGH", "MEDIUM" ] } } } } { "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ], "detail": { "findings": { "ProductFields": { "aws/securityhub/ProductName": [ "GuardDuty" ] } } } } 例1. 重要度がHIGH、MEDIUMのみ通知 例2. GuardDutyのみ通知
  5. 28 Security Hubの通知設定 例 イベントパターンを以下の通り記載することで、通知内容を限定することが可能 ※レベル別の通知はフィールド情報の変更があったため、以下の通り変更する必要があります 参考:https://forums.aws.amazon.com/ann.jspa?annID=7937 BETTER SHOULD MUST

    { "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ], "detail": { "findings": { "Severity": { "Label": [ "HIGH", "MEDIUM" ] } } } } { "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ], "detail": { "findings": { "ProductFields": { "aws/securityhub/ProductName": [ "GuardDuty" ] } } } } 例1. 重要度がHIGH、MEDIUMのみ通知 例2. GuardDutyのみ通知 変更箇所
  6. 30 Amazon Detective 使用方法 IAMユーザー、EC2、AWSアカウント、IPアドレス、ユーザーエージェント別に AWS環境上での操作実行内容の分析が可能で、地域別の分析も可能 BETTER MUST SHOULD クリック

    指定したIAMユーザーの、API実行状況、エラー状況がわかる IPアドレス別、アクセスキー別の一覧もあり IAMユーザーを指定した場合の例
  7. 32 その他紹介しなかったAWSサービス S3上の個人情報検知に活用 Amazon Macie AWS Personal Health Dashboard AWS

    Well-Architected Tool AWS Trusted Advisor AWS全体の障害やメンテナンス情報、 アカウント内のメンテナンス情報の検知 AWSアカウント内のベストプラクティス準拠状況を確認 ワークロードの設計レビューに活用
  8. 33 コストについて AWSサービス 利用料金(割合) 備考 全利用料 100% Config 1.2% Configルールの設定は無し

    GuardDuty 0.6% SecurityHub 1% CIS AWS Foundations Benchmark 有効 Detective 1% 無料期間中(30日間)のため容量から算出 CloudTrail 0.01% S3の容量から算出 実際に利用しているSandBox用途のアカウントで利用料の状況を確認してみました ※利用状況によって料金は変動しますのでご注意ください※ セキュリティ系のサービス全体で全体の約3.8%、全体利用料$1,000の場合は$38 積極的にご利用ください!