今回は、弊社のYouTubeチャンネル「サーバーワークス チャンネル」にて先日公開した以下動画についてblogでも内容を紹介いたします。
動画内では、実際にAWSマネジメントコンソールを操作しながら設定を行っていくデモがありますのでもし興味があれば是非、動画も参照頂ければと思います。
内容が良かった、為になったと感じたら是非Goodボタンやチャンネル登録頂けると嬉しいです。
対象者
- AWSをこれからはじめたい方
- AWSをもっと活用したい方
- AWS Security Hub の概要や設定イメージを把握したい方
AWS Security Hubとは
AWS Security Hub は、AWSのセキュリティ関連のサービスのアラートや検知した情報を集約、整理、優先順位付けて一元管理できるサービスになります。
執筆の2020年7月3日現在、以下サービスが一元管理の対象としてサポートされています。
- Amazon GuardDuty (例: 侵入等の脅威検出の結果)
- Amazon Inspector (例: 脆弱性スキャンの結果)
- Amazon Macie (例: S3バケットポリシーの発見事項)
- AWS IAM Access Analyzer (例: 外部公開しているリソースの情報)
- AWS Firewall Manager (例: WAFカバレッジのないリソースの情報)
また、以下のセキュリティ基準をユーザ側で選択(後に変更可能) することにより、当該AWS環境が指定の基準を満たした設定になっているかチェックしてくれます。
- AWS Foundational Security Best Practices
(AWSのセキュリティ専門家により定義された AWSの基礎セキュリティベストプラクティス)
詳細: https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp.html - CIS AWS Foundations Benchmark
(CIS = Center for Internet Security のセキュリティベンチマーク)
詳細: https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-cis.html - PCI DSS
(Payment Card Industry Data Security Standard)
詳細: https://aws.amazon.com/jp/compliance/pci-dss-level-1-faqs/
AWSアカウント管理者視点だと、上の例に記載したような各種アラートや通知内容やセキュリティ基準を満たしているかの情報が自動的に一箇所に集約されモニタリング可能となるので運用コストを削減することができます。
参考: AWS Security Hub
https://aws.amazon.com/jp/security-hub/
AWS Security Hub の料金
セキュリティチェックの数と検出結果取り込みイベントの数に基づいた従量課金となります。
- セキュリティチェック件数
- 検出結果の取り込みイベント数 (月あたり1万回を超える場合から)
また、無料利用枠があり、利用開始後30日間は無料となっています。
無料で利用している期間中も利用料の推定を確認することが出来るので、試用と同時に費用感を把握されるのが良いと思われます。
また以下の公式サイトに「料金の例 (月あたり) 」として環境規模毎の費用感を把握出来る情報が掲載されていますので必要に応じて確認してください。
参考: AWS Security Hubの料金
https://aws.amazon.com/jp/security-hub/pricing/
AWS Security Hub の注意事項
注意点として以下3点を紹介します。
- セキュリティチェックを行う為には、AWS Configがの有効化が必要となります
ソースデータとして利用されるため、AWS Configのデータが必須となります。AWS Configについては、以下blogでも紹介しておりますので必要に応じて参照ください。
【はじめてのAWS】AWS Config を設定してみよう
http://blog.serverworks.co.jp/tech/2020/06/17/post-86860/
またサービス名にある通りHubとなるサービスなので、周囲のサポートされているAWSサービスについても必要に応じて有効化を検討してください。
- 検知できた問題点は管理者側で対処を検討する必要があります
AWS Security Hubを利用することで、セキュリティ関連のサポートされているAWSサービスのアラートやセキュリティチェックの結果を一元管理が可能となりますが、通知された各種情報や問題についての対応判断や実際の処置は当該AWSアカウント管理者側の責任で行う必要があります。
- リージョン毎に有効化が必要となります
AWS Security Hub は、対象AWSアカウントで有効にした リージョンからの結果のみを受け取り処理します。必要に応じて各リージョンで対応が必要となります。
AWS Security Hub のセットアップ実施のデモ(動画内 02:13〜)
実際にAWSマネジメントコンソールからAWS Security Hubの有効化設定を行い、概要(サマリー)と利用料金を確認するデモを動画内で紹介しています。
管理者視点で、ざっくりとAWS Security Hubの 設定イメージを掴んで頂ける内容となっておりますので、もし興味があれば動画を参照ください。
まとめ
AWS Security Hub は、AWSアカウントのセキュリティ状態を包括的に把握し、ベストプラクティスに沿っているかのチェックに役立ちます。
活用することで、AWSアカウントとワークロードのセキュリティを容易に管理、改善できるようになり運用コスト軽減が期待出来ます。
管理者としてAWSアカウントを作成した際には、設定項目として実施を検討してみてください。
関連blog
http://blog.serverworks.co.jp/tech/2020/04/21/securityhub_workflowstatus/
http://blog.serverworks.co.jp/tech/2020/05/22/securityhub_chatbot/