Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
"とにかくやってみる"で始めるAWS Security Hub
Search
mai miya
November 22, 2024
Technology
2
320
"とにかくやってみる"で始めるAWS Security Hub
2024/11/22 JAWS-UG朝会 #63
https://jawsug-asa.connpass.com/event/331907/
mai miya
November 22, 2024
Tweet
Share
More Decks by mai miya
See All by mai miya
ABWG2024採択者が語るエンジニアとしての自分自身の見つけ方〜発信して、つながって、世界を広げていく〜
maimyyym
1
300
re:Invent2024で広がった AWS Verified Accessの可能性を探る
maimyyym
1
65
“自分”を大切に、フラットに。キャリアチェンジしてからの一年 三ヶ月で見えたもの。
maimyyym
0
390
IAM JSON ポリシーと仲良くなろう
maimyyym
3
99
2年目エンジニアが過ごしたre:Invent、私にできる明日からのEverything starts with security
maimyyym
0
100
AWS Well-Architected Framework をみんなで読んでいる話
maimyyym
1
97
課金体系を紐解いて学ぶAWS WAF
maimyyym
2
160
自由で便利なLaravelのしんどいポイントを楽しさに変える
maimyyym
1
150
LandingZoneAccelerator と学ぶ 「スケーラブルで安全なマルチアカウントAWS環境」と 私たちにもできるベストプラクティス
maimyyym
1
290
Other Decks in Technology
See All in Technology
RAGの基礎から実践運用まで:AWS BedrockとLangfuseで実現する構築・監視・評価
sonoda_mj
0
440
DevOps文化を育むQA 〜カルチャーバブルを生み出す戦略〜 / 20250317 Atsushi Funahashi
shift_evolve
1
110
技術好きなエンジニアが _リーダーへの進化_ によって得たものと失ったもの / The Gains and Losses of a Tech-Enthusiast Engineer’s “Evolution into Leadership”
kaminashi
0
210
Cline、めっちゃ便利、お金が飛ぶ💸
iwamot
19
19k
Redefine_Possible
upsider_tech
0
280
チームビルディング「脅威モデリング」ワークショップ
koheiyoshikawa
0
150
職種に名前が付く、ということ/The fact that a job title has a name
bitkey
1
250
コード品質向上で得られる効果と実践的取り組み
ham0215
2
200
どっちの API SHOW?SharePoint 開発における SharePoint REST API Microsoft Graph API の違い / Which API show? Differences between Microsoft Graph API and SharePoint REST API
karamem0
0
110
Restarting_SRE_Road_to_SRENext_.pdf
_awache
0
170
Dapr For Java Developers SouJava 25
salaboy
1
130
年末調整プロダクトの内部品質改善活動について
kaomi_wombat
0
210
Featured
See All Featured
Navigating Team Friction
lara
184
15k
Docker and Python
trallard
44
3.3k
Code Review Best Practice
trishagee
67
18k
Making the Leap to Tech Lead
cromwellryan
133
9.2k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
Documentation Writing (for coders)
carmenintech
69
4.7k
Why You Should Never Use an ORM
jnunemaker
PRO
55
9.3k
Being A Developer After 40
akosma
90
590k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
Bash Introduction
62gerente
611
210k
Site-Speed That Sticks
csswizardry
4
450
Optimizing for Happiness
mojombo
377
70k
Transcript
©Fusic Co., Ltd. 0 ”とにかくやってみる” で始めるAWS Security Hub 2024.11.22 Mai
Miyazaki @maimyyym JAWS-UG朝会 #63
©Fusic Co., Ltd. 1 宮崎 真⾐ Miyazaki Mai HN: mai
(@maimyyym ) ◉ I am - 管理栄養⼠(養成校卒業・資格保持のみ) - 元百貨店スタッフ(Beauty Counselor) - 2023年10⽉ Fusic⼊社 ◉ Skill - AWS / Python / TypeScript / PHP(Laravel) - Interested in: Security & Compliance ◉ Comment - re:Invent 2024 ⾏きます! ⾃⼰紹介 はじめに 事業本部 技術創造部⾨ / エンジニア 株式会社Fusic
©Fusic Co., Ltd. 2 CONTENTS ⽬次 1. AWS Security Hubとは?
2. “とにかくやってみる” 3. やってみた結果 4. やってみて初めて分かったこと 5. まとめ
©Fusic Co., Ltd. 3 想定聴講者 はじめに AWS Security Hubというサービスが何をするのか 知っているけれど、実際に導⼊したことはない⽅
まず可視化すること⾃体はとても簡単だということ、初めて導⼊した所感をお話します。 具体的な運⽤Tipsや設定についてはお話しません。 AWS Security Hub をまずはとにかく導⼊してみる、そのハードルが下がれば幸いです。
©Fusic Co., Ltd. 4 AWS Security Hubとは? 1
©Fusic Co., Ltd. 5 AWS Security Hubの概要 AWS Security Hubとは?
https://aws.amazon.com/jp/security-hub/ AWS Security Hub を使⽤すると、 セキュリティのベストプラクティスのチェックを⾃動化し、 セキュリティアラートを単⼀の場所と形式に集約し、 すべての AWS アカウントで全体的なセキュリティの体制を把握することができます。
©Fusic Co., Ltd. 6 AWS Security Hubの概要 AWS Security Hubとは?
https://aws.amazon.com/jp/security-hub/ ベストプラクティスの チェックを⾃動化 アラートの集約
©Fusic Co., Ltd. 7 AWS Security Hubでできること AWS Security Hubとは?
ベストプラクティスのチェックを⾃動化 Security Hub (+AWS Config)を有効化するだけで 業界標準やベストプラクティスに基づいた⾃動コンプライアンスチェックができる Security Hubをまず 有効化する時の画⾯
©Fusic Co., Ltd. 8 AWS Security Hubでできること AWS Security Hubとは?
アラートの集約 標準化されたデータ形式で集約 AWS Security Hub Amazon EventBridge Amazon Inspector Amazon GuardDuty … AWS Chatbot AWS Lambda … マルチアカウント(⼤規模な組織)では特に効果を発揮
©Fusic Co., Ltd. 9 考えることはたくさん AWS Security Hubとは? 設定のベストプラクティス 何をどう運⽤するか
⼀元管理できるが故のカスタマイズの幅広さ …まだ、いろいろ、ある!
©Fusic Co., Ltd. 10 “とにかくやってみる” 2
©Fusic Co., Ltd. 11 Go to Security Hub “とにかくやってみる”
©Fusic Co., Ltd. 12 Security Hubを有効化する “とにかくやってみる”
©Fusic Co., Ltd. 13 Security Hubを有効化する “とにかくやってみる” AWS Configで リソース記録を有効にする
©Fusic Co., Ltd. 14 Security Hubを有効化する “とにかくやってみる” AWS Configで リソース記録を有効にする
AWS Configはリソースの設定状況を追跡‧監視するサービス AWS Configを有効化することでSecurityHubがAWSリソースの 設定が選択した標準に則っているか正確に追跡できる
©Fusic Co., Ltd. 15 AWS Configのリソース記録を有効化 “とにかくやってみる” (まずは)デフォルト設定のままでOK!
©Fusic Co., Ltd. 16 Security Hubを有効化する “とにかくやってみる” 適⽤するセキュリティ標準を選択
©Fusic Co., Ltd. 17 セキュリティ標準の選択 “とにかくやってみる” https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/standards-reference.html Security Hub 標準のリファレンス
• AWS Foundational Security Best Practices v1.0.0 (FSBP) 標準 • CIS AWS Foundations ベンチマーク(v1.2.0 / v1.4.0 / v3.0.0) • NIST Special Publication 800-53 Revision 5 • PCI DSS v3.2.1 詳しくはリファレンスを参照
©Fusic Co., Ltd. 18 セキュリティ標準の選択 “とにかくやってみる” https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/standards-reference.html Security Hub 標準のリファレンス
• AWS Foundational Security Best Practices v1.0.0 (FSBP) 標準 • CIS AWS Foundations ベンチマーク(v1.2.0 / v1.4.0 / v3.0.0) • NIST Special Publication 800-53 Revision 5 • PCI DSS v3.2.1 詳しくはリファレンスを参照 まずはデフォルトから!
©Fusic Co., Ltd. 19 Security Hubを有効化する “とにかくやってみる” 有効化!
©Fusic Co., Ltd. 20 やってみて⾒えたもの 3
©Fusic Co., Ltd. 21 実際のプロジェクトに導⼊してみた やってみて⾒えたもの 画像は運⽤段階のものです。 実際の運⽤結果についてはお答えできかねます。 ご了承ください🙇
©Fusic Co., Ltd. 22 実際のプロジェクトに導⼊してみた やってみて⾒えたもの 対象プロジェクトのインフラストラクチャはTerraformで管理していましたが、 まずは⼿軽に簡単に始めてみたかったのでコンソールを直接触って有効化 (Terraformコードに含まれないことはドキュメントに明記しておく)
©Fusic Co., Ltd. 23 可視化を待つ やってみて⾒えたもの 30分程で可視化
©Fusic Co., Ltd. 24 Summaryが⾒える やってみて⾒えたもの
©Fusic Co., Ltd. 25 コントロールの結果が⾒える やってみて⾒えたもの severity = 重⼤性 が⾒える
©Fusic Co., Ltd. 26 コントロールの結果が⾒える やってみて⾒えたもの 各検出結果の 詳細にアクセスできる
©Fusic Co., Ltd. 27 やってみて初めて分かったこと 4
©Fusic Co., Ltd. 28 できることを対応する やってみて初めて分かったこと AWSの推奨を(容赦なく)突きつけられる
©Fusic Co., Ltd. 29 できることを対応する やってみて初めて分かったこと AWSの推奨を(容赦なく)突きつけられる AWS Foundational Security
Best Practices v1.0.0 で Severity =【High】となる⼀例 Amazon Inspectorを有効にする Amazon GuardDutyを有効にする ECSサービスのパブリックIP ⾃動割り当てをしない VPCデフォルトのセキュリティグループで トラフィックを許可しない
©Fusic Co., Ltd. 30 できることを対応する やってみて初めて分かったこと AWSの推奨を(容赦なく)突きつけられる AWS Foundational Security
Best Practices v1.0.0 で Severity =【High】となる⼀例 Amazon Inspectorを有効にする Amazon GuardDutyを有効にする ECSサービスのパブリックIP ⾃動割り当てをしない VPCデフォルトのセキュリティグループで トラフィックを許可しない すぐに対応できたもの
©Fusic Co., Ltd. 31 できることを対応する やってみて初めて分かったこと AWSの推奨を(容赦なく)突きつけられる AWS Foundational Security
Best Practices v1.0.0 で Severity =【High】となる⼀例 Amazon Inspectorを有効にする Amazon GuardDutyを有効にする ECSサービスのパブリックIP ⾃動割り当てをしない VPCデフォルトのセキュリティグループで トラフィックを許可しない すぐに対応できたもの ※時間の都合上、具体的な対応内容については省略します。 • プロジェクトに応じた⾦額的コストとリスクのバランス • 対応のために発⽣する⼯数が適切か • 必要性の判断(サードパーティで対応できているからOKとする、やむをえない都合がある等) 基本的にはCritical => High => Medium…の順で検討 基準‧理由をハッキリさせて判断していく
©Fusic Co., Ltd. 32 できることを対応する やってみて初めて分かったこと 意味ある活⽤のためにSlack通知は必須
©Fusic Co., Ltd. 33 通知機構を作ってこそ機能する やってみて初めて分かったこと AWS Security Hub Amazon
Inspector AWS Config コンソールにアクセスしないと 何も⾒えない‧‧‧ 意味ある活⽤のためにSlack通知は必須
©Fusic Co., Ltd. 34 通知機構を作ってこそ機能する やってみて初めて分かったこと AWS Security Hub Amazon
EventBridge Amazon Inspector AWS Chatbot AWS Config (コンソールを⾒にいかなくても) ⾒える!気づける! 意味ある活⽤のためにSlack通知は必須
©Fusic Co., Ltd. 35 通知機構を作ってこそ機能する やってみて初めて分かったこと 通知の運⽤も、やってみて初めて分かる • 検出された全て(100〜数百件)がSlackに通知 •
対応したのにまた通知される
©Fusic Co., Ltd. 36 NEW NOTIFIED RESOLVED SUPPRESSED 通知機構を作ってこそ機能する やってみて初めて分かったこと
通知の運⽤も、やってみて初めて分かる • 検出された全て(100〜数百件)がSlackに通知 • 対応したのにまた通知される Severity=Critical のものだけ通知 検討‧対応したら workflow statusを更新する
©Fusic Co., Ltd. 37 通知機構を作ってこそ機能する やってみて初めて分かったこと Event Bridge Rulesのイベントパターンで通知内容を制御 {
"source": ["aws.securityhub"], "detail-type": ["Security Hub Findings - Imported"], "detail": { "findings": { "RecordState": ["ACTIVE"], "Severity": { "Label": ["CRITICAL"] }, "Workflow": { "Status": ["NEW"] } } } } まずは可視化。 通知に慣れすぎないバランスは難しいが、 各プロジェクトの必要⼗分なイベントパターン を設定する。
©Fusic Co., Ltd. 38 運⽤中に有効化するリスク やってみて初めて分かったこと 開発中のプロジェクトに導⼊した結果…
©Fusic Co., Ltd. 39 運⽤中に有効化するリスク やってみて初めて分かったこと 開発中のプロジェクトに導⼊した結果… リソースの変更が頻繁にある
©Fusic Co., Ltd. 40 運⽤中に有効化するリスク やってみて初めて分かったこと 開発中のプロジェクトに導⼊した結果… リソースの変更が頻繁にある AWS Configの料⾦がそのたびに重なる!
©Fusic Co., Ltd. 41 運⽤中に有効化するリスク やってみて初めて分かったこと 開発中のプロジェクトに導⼊した結果… リソースの変更が頻繁にある AWS Configの料⾦がそのたびに重なる!
[発表後追記] AWS Configの導⼊タイミングは要検討
©Fusic Co., Ltd. 42 まとめ 5
©Fusic Co., Ltd. 43 まとめ ”とにかくやってみる”で始めるAWS Security Hub AWS Security
Hubの始め⽅は“有効化”するだけなので簡単! Point 01 がんばりすぎない、できることをやる。やらないより意味がある。 Point 02 運⽤して初めて分かることは、運⽤してみるまで分からない。だから、まずやってみる。 Point 03 (感想) AWS SecurityHubが好きになりました。 Point 04
©Fusic Co., Ltd. 44 Thank You We are Hiring! https://recruit.fusic.co.jp/
ご清聴いただきありがとうございました