はじめに
re:Invent 2018で発表された新機能の1つである AWS Security Hub についての概要がAWSが提供する動画コンテンツサイトにて公開されています。本記事では動画を和訳しながら AWS Security Hubのについて紹介していきます。
なおコンテンツへのアクセス方法はこちらに記載しています。
Introduction
AWSの利用者は原則として AWS 上の顧客データ、オペレーティングシステム、ネットワーク、プラットフォームやアプリケーション、そしてリソースを管理する必要があります。
しかし実際には全てのデータの機密性、整合性、可用性、そしてコンプライアンスといった要件全てを満たすのは決して簡単ではありません。
この図は、セキュリティについて考える際の一連の流れです。
そして、セキュリティを考える際には、以下のポイントを抑える必要があります。
- Identify : 何を保護しているか・保護すべきなのか、セキュリティの現状を理解する
- Protect : 実際にAWSサービスを利用してセキュアな状態を構築する
- Detect : 異常が見つかった際にすぐに調査できる状態にする
- Automate・Investigate・Respond:異常の発見、調査、そしてレスポンスといった流れを自動化する
- Recover:バックアップ環境を用意し、異常が起きてもリカバリできる状態にする
-
Identify
- AWS System Manager
- AWS Config
-
Protect
- Amazon VPC
- AWS Secret Manager
- AWS Firewall Manager
- AWS WAF, AWS Shield
-
Detect
- Amazon Inspector
- Amazon GuardDuty
- Amazon Macie
-
Investigate
- Amazon CloudWorks
- AWS CloudTrail
-
Automate
- AWS Lambda
-
Recover
- Snapshot
- Archive
しかし、クラウド上のサービスを全てセキュアな状態を維持するのはとても大変で、もし行うのであれば、以下のような作業をする必要があります。
- AWSアカウント内のデータの洗い出し
- セキュリティの優先順位付け
- セキュアな環境が一目で分かるように可視化
それに加えて、別々のサービスを利用して取得したデータや作業内容を1つにまとめるのは、さらに大変なことです。
そのような問題を解決するために生まれたサービスがAWS Security Hubです。このサービスであれば、セキュリティ関連の情報を一元管理することができます。
Introducing AWS Security Hub
AWS Security Hubは、様々なAWSセキュリティサービスが収集した関連データをまとめて表示することができます。
AWS Security Hubを利用することで以下のメリットが得られます。
- セキュリティ関連の調査結果をまとめる時間が省ける
- コンプライアンスを自動チェックすることで改善することができる
- 収集したセキュリティデータを可視化できる
AWS Security Hub の仕組み
AWS Security Hubは以下のような仕組みとなっております。
- AWS Security Hubに登録したAWSアカウントを全て管理下に置きます。
- 登録されたアカウントのセキュリティを定期的に調査して情報を収集します。
- コンプライアンスの管理とスキャンの自動更新を行います。
- セキュリティ調査結果に基づき、サービスを実行してセキュリティの問題点を解決します。
AWS Security HubはSIEM toolsとは以下の点で違います。
- Security HubはAWSにのみにフォーカス
- Security Hubはコンプライアンスチェックも行う
AWS Security Hubにはコンプライアンススタンダードという機能があります。
- CIS AWS Foundations Benchmarkがベース
- セキュリティ調査結果はクイックアクセスできるようメインダッシュボードに表示
- 問題解決のためにベストプラクティス情報が提供される
AWS Security Hub insightsとは、優先順位付けのために、内容によって相関やグループ分けがされたセキュリティ調査結果です。以下のような特徴があります。
- 100以上のinsightsが事前に用意されている
- insightsを自身で作成することが可能
- 優先順位の高い調査結果はダッシュボードに搭載して見やすくすることが可能
- 1つひとつのセキュリティ調査結果内容にレビューを加えることが可能
ユースケース
AWS Security Hub は、Amazon CloudWatch Events と組み合わせることで、特定のセキュリティを実行することができるように設定できます。Security findings as custom events
を Amazon CloudWatch Events Rule として組み込みます。
これによって登録された内容に応じたセキュリティ調査を定期的に行うことができるようになります。
図の例だと、ステータスが黄色の場合はLambdaを起動し、ステータスが赤の場合はAmazon SNSを起動するといったアラートの優先順位付け(トリアージ)を実装しています。
AWS Security Hubについてのまとめは以下となります。
- 自身のAWSにおけるセキュリティ状況とコンプライアンスの把握が可能
- リージョン内の複数アカウントからセキュリティ調査結果の収集と作成が可能
- 自身のコンプライアンスをベストフレームワークと規則の両方から評価が可能
- 調査結果をもとに改善ポイントと優先度を明確にすることが可能
まとめ
AWS Security Hubについての紹介は以上です。このSecurity Hubを利用することで、既存のAWSアカウントのセキュリティを改善する方法と対策を一度に調べられます。セキュアな環境構築の際には今後必須なサービスとなってくるでしょう。どんどん利用していきたいですね!