search
LoginSignup
0

More than 1 year has passed since last update.

posted at

updated at

AWS Security Hubを触ってみたいだけの記事

アドカレ初日はどうも。また会いましたね。

どうもdev.aokiです。
社内ツールのセキュリティ対策の相談をしたところ、AWS Security Hubがいいぞって話を聞いたので、
自分の個人アカウントを利用して、試しにポチポチ設定してみた記録を残すことにしました。マジ、そんだけの記事。

AWS Security Hubとは

なんかしらんが色々セキュリティリスクを教えてくれるつよいやつ、ぐらいの知識しかありません。
詳細は公式ドキュメントを読みましょう (僕も読もう……)
https://aws.amazon.com/jp/security-hub/

Security Hub本体は基本的にはアカウント設定などのベストプラクティスを元に設定内容の準拠状況を検出し、
問題個所を指摘してくれる、というもののようですね。
またGuardDutyなどのAWS内別サービスで検出された、Security Hub本体とは少し切り口の違うリスクについても
同じダッシュボード内に統合して、横断的にリスクを検出できるもの、といった感じのようでした。

ざっくりは聞いていたけど、よさそうですね。

AWS Configの有効化

では早速設定していきましょ。
ということでWebコンソールでAWS Security Hubを開いたら、こんな感じで
まずAWS Configでの記録が前提条件だぞって言われたので
image.png

コレを有効化してみました。
image.png

準備OKっぽいかな?

AWS Security Hubを有効化

本題のAWS Security Hubの有効化設定をします。
image.png

設定少ないですね。せいぜいセキュリティ基準のどれを有効にするかくらいです。
ひとまずデフォルトで有効になっている AWS 基礎セキュリティのベストプラクティスv1.0.0 を有効化
CIS AWS Foundations Benchmark v1.2.0 を有効化 をなんも考えずにやってみます。えいっとな。

image.png

できたよう…ですが、イマイチなにが動いたのかわかりません。なんも検出されてないですね。

なんじゃこれ……と思って数分いじくっていたら、んん?

image.png

失敗列に 1 というカウント!なんか失敗してるっぽい!?
開いてみると、詳細にダメなところを教えてくれます。

image.png

RDSとな?
このアカウントは個人のお遊び用アカウントのため、ほとんどのリソースは使い終わったら片付けているのでデータなしなんですが、
以前立てていたRDSのスナップショットがよくないよって言われてるみたいですね、なるほどなぁ。
こんな感じでアカウント内のセキュリティ上よくない部分を自動で指摘してくれるみたいです、便利!

image.png

項目をクリックすると詳細解説もあるんですが、修復手順もリンクで教えてくれます、手厚い!
こんな感じで怒られたところをぼちぼち直していくとベストプラクティスに近づくって感じですね。

放置していると続々と様々なチェックが走ったようで、24時間ほど放置するとこんな感じに落ち着きました。
image.png

わーい結構色々リスク抱えてらぁ……ちゃんと整備しよって思いました。

何も考えずにパブリックに公開したS3バケットとかどうなるんだろう

わざと怒られそうなことをやってみて、動くところを見てみようと思いました。
S3バケットが公開なのは典型的なセキュリティダメダメパターンかなと思い実施、案の定怒られました。

概要のインサイトの中でまぁまぁ目立つ位置ですね。
image.png

開くとこんな感じ。
image.png

へー。

統合の検出結果を見てみる

Security Hubのコンソールから Amazon GuardDuty とか Amazon Inspector とか、
他の脅威検出系サービスの検出状況も見えるということなので、試してみたいと思います。

設定してないと最初はこんな感じ。
image.png

まぁ何も検出しないわな。

GuardDutyを統合して表示してみる

まず試しに GuardDuty を設定してみましょうか。
現時点ではなんも設定されていないので、リンクに飛んで開始してみよう。

これを
image.png

こうして
image.png

こうじゃ!
image.png

ってやるとほぼ何も考えずに設定されました。
直後なんで何も出ないですが、 設定 タブの 結果サンプルの生成 とかやると
image.png

こんな感じに見え方が確認できます。
image.png

そのときSecurity Hubのダッシュボードはというと、まずダッシュボードにも出てきますし
image.png

検出結果画面にも製品名 GuardDuty として色々項目が出てきてますね。
image.png

Inspectorも統合して表示してみる

Webサービスの脆弱性検出にいいぞって話を聞いているのでこれは是非とも使ってみたい。ということで。

image.png

これを

image.png

こうして(ちなみにWeeklyがオススメっぽいのでそのまま)

image.png

こうじゃ!

……動いたのか?と思ったので 評価の実行 タブを覗いてみると

image.png

自分のアカウントにはnginxのEC2インスタンスが一つ立っているのですが、エージェントが要るって話があるの忘れてたので入れます。
こちら を読みつつ。

EC2インスタンスにログインして作業。

$ wget https://inspector-agent.amazonaws.com/linux/latest/install
()
$ sudo bash install
()
$ sudo /opt/aws/awsagent/bin/awsagent status
Configuration file path : /opt/aws/awsagent/etc/agent.cfg
Configuration status :
Proxy In Use: false
Agent version : 1.1.1657.0
System release : "Ubuntu 18.04.3 LTS" - 4.15.0-1051-aws
()

かんたーん。

評価を再実行してみると、ちゃんと動いた気配のレコードが追加されました。
image.png

ちなみに走り切るの結構時間かかりました。終わったところがこちら(若干試行錯誤の痕跡が…)
image.png

こちらもSecurity Hubから見るとどうなるかなっていうと、ダッシュボードに無事出てきていて
image.png

検出結果にも、製品名 Inspector として出てますね。
image.png

感想

リスク自動検出結果を、いくつかのサービス間で横断的に見れるのは便利でいいですね。

僕自身振り返ると、開発にばかり目を向けていると知識として抜け落ちがちなのがセキュリティ周りのスキルだなぁ、
と常々反省しているところです。
そんな僕みたいなタイプが使うと、リスクを防ぐ意味に加え、自身の知識向上・学びという意味でもメリットがあり、
とても良さそうだと感じました。

設定も簡単な感じですし、重宝しそうな気がします、使っていこ!

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
What you can do with signing up
0