2021年4月15日 / 最終更新日 : 2022年12月9日 MikoshibaHiroyuki セキュリティ

AWSセキュリティ【AWS Security Hub】:統合されたAWS セキュリティ&コンプライアンスセンター

AWS Security Hubの、「統合されたAWS セキュリティ&コンプライアンスセンター」というフレーズは、最終的にセキュリティ標準としての品質を評価することを表しているので、イメージとしてはDetectiveよりはわかりやすいと思うのですが、Detectiveと同じようにSecurity Hubダッシュボードに構成のイメージが図柄で説明されています。

また、AWS Security Hubは統合的なセキュリティ基準に対する評価をするものなので、最後に実施すべき機能だと思います。
セキュリティ機能の中でも、「AWS WAF」、「Amazon Detective」、「Amazon GuardDuty」、「Amazon Inspector」は先に作業しておくべきだと思われます。

「仕組み」と「利点と特徴」
料金表

AWS Security Hub の有効化手順

Security Hub をクリック Security Hub に移動
Security Hub を有効化する

■■■ 直後の表示内容 ■■■

(概要)

(概要)

(セキュリティ基準)

(セキュリティ基準)セキュリティ基準に対する全体評価は、当初、セキュリティスコア=34% でかなり低いのでビックリした!!

(インサイト)

(インサイト)

(検出結果)

(検出結果)

(統合)

(統合)

 (設定)ーアカウント

 (設定)ーアカウント

(設定)ーカスタムアクション

(設定)ーカスタムアクション

(設定)ー使用

(設定)ー使用

(設定)ー 一般

(設定)ー 一般

(最新機能)

(最新機能)

■■■ 設定した翌日朝の表示内容 ■■■

(概要)
セキュリティ対応を少し進めたので、34% から 56% に点数が上がった。

(概要)セキュリティ対応を少し進めたので、34% から 56% に点数が上がった。

(セキュリティ基準)

(セキュリティ基準)

(インサイト)

(インサイト)

(検出結果)

(検出結果)
(統合)変わりなし

(設定)「使用」以外は変化なし
(最新機能)変わりなし

セキュリティ対応の進め方

Amazon InspectorでのCVE番号からの修正作業に比べて、Security Hubのセキュリティ基準対応は、CloudTrai、Cloudwatchなどの監査証跡に関連した対応や、VPCや認証関係の対応など、AWSサービスの基幹部分を改善しなければならない項目が多く、作業工数的にもかなり負荷が高い作業になります。

セキュリティ対応の進め方

セキュリティ対応の進め方

チェックしたセキュリティ基準について
「結果を表示する」をクリックして
内容を確認する。

ステータスが「失敗」になっている
項目を1つずつ対応していくために
タイトルのリンクをクリック

展開したページにある「修復手順」
をクリック
AWSドキュメント AWSドキュメントが開くので、日本語化すると修復をどのように行えば良いのかわかる。

セキュリティスコア100達成!!

初めに、スコア34%だったところから調整していって、紆余曲折ありましたが、スコア100%達成しました!

やはり、どこに問題があるのか、情報を収集するところから始めたので、なんだかんだで1週間ぐらいかかりました!

Inspectorの結果ページから、CVE番号を検索しての、「Amazon Linux Security Center 」から改修方法を得てのEC2改修と、

SecurityHubのセキュリティ基準ページからの改修(前項目「セキュリティ対応の進め方」で紹介)が中心の作業でした。

■作業でのメモ■

  • 普段のメンテナンスで使うIAMユーザについて、「90 日以上使用されていない認証情報が無効であることを確認する」と指摘がありましたが、90日経っていないユーザに対しての指摘がなぜか消えなかったので、その指摘項目は「無効」に変更しました。
  • 「ハードウエアMFAが「ルート」アカウントに対して有効であることを確認する」の指摘がありましたが、ハードウエアMFAを用意できなかったので、この指摘項目も「無効」としました。ただし、ルートアカウントの認証は、VPNを経由した専用端末で公開鍵認証をセットしており、ある意味、ハードウエアMFAよりもセキュリティ強度は強いともいえると思いますので、ちゃんとした理由があれば「無効」に設定して評価するところだと思います。
  • 評価したAWSアカウント上には、VPNを提供するSoftEtherVPNを使ったネットワークを構築したあったが、そのVPNを受け付けるセキュリティグループやIPsecの受付口の設定などが、セキュリティ的には「穴」と評価されてしまうので、別AWSアカウントにVPN構築部分をお引越ししました。ネットワークに関するところなど、基幹部分をいじくらなくてはならなくなるとやっぱり大変だと思いました。
  • 複数AWSアカウントの対応として、AWS Organizations を導入しておくとか、CloudTrail、Config、CloudWatchなど基本的な監査機能のベースを準備しておくことや、その上でログの暗号化であるとか、異常検出した時に、SNSなどで通知する仕組みを整えておくとか、監査機能をしっかり仕上げておくことが、ちょっと重めの総仕上げ作業となりました。
  • スコア100%をクリアした後で、Webサイトの領域不足に対応して、EBSボリュームの拡張作業を行いましたが、その後でスコアが99%に落ちる現象があり、調べてみると Systems Manager に管理されていたEC2が外れていた。これは一度100点であっても、運用によって、品質が下がることがあることを示しており、でも注意していれば指摘されていて、気付ける状態であることがわかった。
「AWS 基礎セキュリティのベストプラクティス v1.0.0」と「CIS AWS ファウンデーションベンチマーク v1.2.0」

セキュリティ基準
「AWS 基礎セキュリティのベストプラクティス v1.0.0」 と 「CIS AWS ファウンデーションベンチマーク v1.2.0」
を評価するようにセットした。

両方、スコア100%を達成!!
セキュリティスコア100% 達成!!
セキュリティスコア100% 達成!!
カテゴリー
セキュリティ仮想システム
タグ
セキュリティ

前の記事

AWSセキュリティ【Amazon Detective】:過去ログや検出イベントを時系列にまとめ、脆弱性を特定する
2021年4月13日
ネットワーク

次の記事

テレワークのためのWebツール、Slackを代替えするRocket.Chat
2021年5月23日