こんにちはこんばんは! サーバーワークスの新谷です。
AWSではセキュリティ関連のサービスが多くありますが、構成情報からセキュリティのベストプラクティスに
照らし合わせて評価してくれるツールとして、Security Hub があります。
Hub という名前が付くくらいなので、複数のAWSサービスやサードパーティ製品からセキュリティデータを
収集・統合し、セキュリティの問題を一元的に検出、調査、修復することもできます。
弊社ではAWS関連のブログが多く発信されているのですが、Security Hub の導入手順については
動画のものがあるのみで、少し古いものでした。
というわけで、改めて Security Hub の簡単な導入手順を記載しておきたいと思います。
Security Hub 設定手順
1. AWS Config の導入(未導入の場合のみ)
AWS Security Hub は、AWS Config のルールを使用してコントロールのセキュリティチェックを実行するため、AWS Config を有効にします。
※有効化されている場合は、この手順をスキップします。
1-1. AWS マネージメントコンソール上部の検索ボックスに Config と入力し、表示された [AWS Config] を選択します。
1-2. [今すぐ始める] を選択します
1-3. コスト削減のため、「グローバルに記録されたすべての IAM リソースタイプ」は、最初は記録から除外されています。 (ここには、IAM ユーザー、グループ、ロール、およびカスタマー管理ポリシーが含まれます。) [削除] を選択してオーバーライドを削除し、これらのリソースを記録に含めます。
1-4. ルールは選択せず、そのまま [次へ] を押します。必要に応じて有効化していただいても問題ありません。
1-5. オーバーライドが追加されていないことを確認し、 [確認] を押下します。
2. IAM記録除外設定の削除
AWS Config で IAM関連のリソースが監視対象外になっている場合、そのオーバーライド設定を削除します。 (すでに対応済みであれば、スキップしてください)
2-1. AWS Config 画面の左側メニューから、 [設定] を選択し、「オーバーライド設定のあるリソースタイプ」を確認します。 IAM関連のリソースが除外されている場合、 [編集] を押下します。
2-2. 編集画面で「オーバーライド設定」を確認し、「記録から除外」の設定がある場合は、 [削除] ボタンでそれぞれ削除します。
2-3. 削除できたら、 [保存] を押下して変更完了です。
3. AWS Security Hub の有効化
3-1. AWS マネージメントコンソール上部の検索ボックスに Security Hubと入力し、表示された [Security Hub] を選択します。
3-2. [Security Hub に移動] を押下します。
3-3. 準拠するセキュリティ基準を選択します。
ここでは「AWS 基礎セキュリティのベストプラクティス v1.0.0 を有効にする」をチェックし、 [Security Hub の有効化] を押下します。
必要に応じて、他のセキュリティ基準 も選択可能です。
AWS Security Hub で選択可能なセキュリティ基準
セキュリティ基準 | 説明 |
---|---|
AWS 基礎セキュリティのベストプラクティス | AWSにおける基本的なセキュリティのベストプラクティス |
AWS リソースタグ付け標準 | リソースに対し、必要とするタグ(リソースに付与出来るキーと値のペア)が欠けていないかを確認できる |
CIS AWS Foundations Benchmark | Center for Internet Security (CIS) による、AWS のセキュリティ構成のベストプラクティス |
NIST Special Publication 800-53 | 米国国立標準技術研究所 (NIST) によって開発されたサイバーセキュリティとコンプライアンスのフレームワーク |
PCI DSS | クレジットカード所有者のデータを扱うための一連の AWS セキュリティのベストプラクティス |
3-4. Security Hub が有効化されます。
4. Security Hub 検出結果の確認
4-1. 画面左側の [検出結果] を押下することで、検出結果の一覧を確認できます。
4-2. [概要] からのダッシューボードでは、セキュリティ基準に準拠しているパーセンテージが表示できます。
さいごに
セキュリティは、ビジネスの付加的な要素ではなく、成功に不可欠な戦略的優先事項です。
AWS Security Hub で構成上の脆弱さを確認するだけであれば導入自体のハードルは非常に低く、
スコアによって現在の状況を確認できるという分かりやすさもあります。
AWS環境のセキュリティを大幅に強化させる重要な一歩となってくれるかと思いますので
未導入の場合はぜひお試しください。