aws-recipe-user はじめに
re:Invent 2018で発表された新機能の1つである AWS Security Hub についての概要がAWSが提供する動画コンテンツサイトにて公開されています。本記事では動画を和訳しながら AWS Security Hubについて紹介していきます。
コンテンツへのアクセス方法はこちらに記載しています。
Introduction of AWS Security Hub
ユーザは基本的にAWS上の顧客データ、オペレーティングシステム、ネットワーク、プラットフォームやアプリケーション、そしてリソースを管理する必要があります。しかし、全てのデータの気密性、整合性、可用性、そしてコンプライアンスといった要件全てを満たそうとするのは、簡単ではありません。
この図は、セキュリティについて考える際の一連の流れです。
そして、セキュリティを考える際には、以下のポイントを抑える必要があります。
①Identify:何を保護しているか・保護すべきなのか、セキュリティの現状を理解する
②Protect:実際にAWSサービスを利用してセキュアな状態を構築する
③Detect:異常が見つかった際にすぐに調査できる状態にする
④Automate・Investigate・Respond:異常の発見、調査、そしてレスポンスといった流れを自動化する
⑤Recover:バックアップ環境を用意し、異常が起きてもリカバリできる状態にする
また、AWSでは図の様にそれぞれの場面に適したサービスが用意されています。
・Identify: AWS System Manager, AWS Config
・Protect: Amazon VPC, AWS Secret Manager, AWS Firewall Manager, AWS WAF, AWS Shield, etc
・Detect: Amazon Inspector, Amazon GuardDuty, Amazon Macie
・Investigate: Amazon CloudWorks, AWS CloudTrail
・Automate: AWS Lambda
・Recover: Snapshot, Archive
しかし、クラウド上のサービスを全てセキュアな状態を維持するのはとても大変で、もし行うのであれば、以下のような作業をする必要があります。
・AWSアカウント内のデータの洗い出し
・セキュリティの優先順位付け
・セキュアな環境が一目で分かるように可視化
それに加えて、別々のサービスを利用して取得したデータや作業内容を1つにまとめるのは、さらに大変なことです。
そのような問題を解決するために生まれたサービスがAWS Security Hubです。このサービスであれば、セキュリティ関連の情報を一元管理することができます。
Introducing AWS Security Hub
AWS Security Hubは、様々なAWSセキュリティサービスが収集した関連データをまとめて表示することができます。
AWS Security Hubを利用することで以下のメリットが得られます。
・セキュリティ関連の調査結果をまとめる時間が省ける
・コンプライアンスを自動チェックすることで改善することができる
・収集したセキュリティデータを可視化できる
How does Security Hub work?
AWS Security Hubの仕組みについてみていきましょう
AWS Security Hubは以下のような仕組みとなっております。
①AWS Security Hubに登録したAWSアカウントを全て管理下に置きます。
②登録されたアカウントのセキュリティを定期的に調査して情報を収集します。
③コンプライアンスの管理とスキャンの自動更新を行います。
④セキュリティ調査結果に基づき、サービスを実行してセキュリティの問題点を解決します。
AWS Security HubはSIEM toolsとは以下の点で違います。
・Security HubはAWSにのみにフォーカス
・Security Hubはコンプライアンスチェックも行う
AWS Security Hubにはコンプライアンススタンダードという機能があります。
・CIS AWS Foundations Benchmarkがベース
・セキュリティ調査結果はクイックアクセスできるようメインダッシュボードに表示
・問題解決のためにベストプラクティス情報が提供される
AWS Security Hub insightsとは、優先順位付けのために、内容によって相関やグループ分けがされたセキュリティ調査結果です。以下のような特徴があります。
・100以上のinsightsが事前に用意されている
・insightsを自身で作成することが可能
・優先順位の高い調査結果はダッシュボードに搭載して見やすくすることが可能
・1つひとつのセキュリティ調査結果内容にレビューを加えることが可能
Use Case
AWS Security Hubのユースケースを1つ紹介したいと思います。
ユースケース:アラートトリアージ
AWS Security Hubは、Amazon CloudWatch Eventsと組み合わせることで、特定のセキュリティを実行することができるように設定できます。Security findings as custom events をAmazon CloudWatch Events Ruleとして組み込みます。これによって、登録された内容に応じたセキュリティ調査を定期的に行うことができるようになります。
図の例だと、ステータスが黄色の場合はLambdaを起動し、ステータスが赤の場合はAmazon SNSを起動する、といったようなことが可能です。
まとめ
AWS Security Hubについてのまとめは以下となります。
・自身のAWSにおけるセキュリティ状況とコンプライアンスの把握が可能
・リージョン内の複数アカウントからセキュリティ調査結果の収集と作成が可能
・自身のコンプライアンスをベストフレームワークと規則の両方から評価が可能
・調査結果をもとに改善ポイントと優先度を明確にすることが可能
おわりに
AWS Security Hubについての紹介は以上です。このSecurity Hubを利用することで、既存のAWSアカウントのセキュリティを改善する方法と対策を一度に調べられます。セキュアな環境構築の際には今後必須なサービスとなってくるでしょう。どんどん利用していきたいですね!
