AWS Security Hubを使用したセキュリティサービスを提供しているチームに所属しており、Security Hubのステータスについて調べる機会があったので、本記事でまとめます。
JAWS-UG横浜 #70 AWS re:Invent 2023 Recap Securityで登壇した際の内容になります。
AWS Security Hubとは
そもそも、AWS Security Hubとは?という人向けに簡単に説明します。
AWS Security Hubは、AWS環境全体のリソースに対してセキュリティのベストプラクティスをチェックしてくれるクラウドセキュリティ体制管理サービスです。
AWS ConfigやAmazon GuardDuty、Amazon Inspectorなど、様々なセキュリティサービスと連携しており、セキュリティアラートを集約して簡単に修復を加えることも可能となります。
このサービスを利用して、AWSを安心安全に使用するためにセキュリティ対策済みのアカウントを社内外に提供するサービスを展開しています。
- 社内セキュリティガイドラインに準拠した環境を提供
- 上記に違反した設定項目や変更があった場合に通知
などなどの機能を提供しています。
AWS Security Hubのステータス
他AWSのサービスなどの状態をチェックして管理するサービスであるAWS Security Hubには、複数のステータスが存在します。それぞれの概要をまとめてみます。
コンプライアンス
AWS Configの属性(AWS Config ルールが準拠しているかどうか)を管理します。
4つのステータス(Compliant・Non Compliant・Not Applicable・Insufficient)が存在します。
ワークフロー
検出結果に対する調査の進行状況を表します。
4つのステータス(New・Notified・Suppressed・Resolved)が存在します。
レコード
結果を送信するサービスから入ってきた段階での状況を表します。
2つのステータス(Active・Archived)が存在します。
チェックすべきステータスは?
では、この中から利用者がチェックすべきステータスは何でしょうか。
もちろん、状況に応じて変わってきますし、一つだけチェックすればいいケースもたくさんあると思います。ただ、通知が多すぎると、検知内容を見なくなってしまうものです。
幣チームのサービス自体も、元々はワークフローステータスが「New」となっているもののみ、通知対象としていました。
しかし、「通知するべきか」「診断結果を保存すべきか」といった個々の観点で考慮すると、ニーズや目的が異なるため、それぞれ別々のステータスでイベントを仕分けするべきという結論になりました。
そこで、各ステータスの状態遷移図を以下にまとめます。
ざっと、レコードステータス→コンプライアンスステータス→ワークフローステータスの流れになっています。
レコードステータスが「Active」の場合、コンプライアンスステータスに遷移し、コンプライアンスステータスが「Warning」「Failed」「Not Available」の場合、ワークフローステータスが「New」となります。
また、意図的に通知を抑止したい場合は、ワークフローステータスを「Suppressed」とします。
これらを考慮し、本サービスを利用して、セキュリティのガイドラインに準拠しているか利用者に通知したい(要対応かつ利用者側で意図していない)場合は、「コンプライアンスステータスがFailedである」で「ワークフローステータスがSuppressed以外である」という条件にしています。
一方で、診断結果を保存したい場合は、ワークフローステータスのみで判断しています。ログ保管についてはニーズに合わせて変更することが推奨かと思うので、ログ量が膨大になってきたら、チェックするステータスを変更することで、効率的な運用に繋がります。
まとめ
いかがでしたでしょうか。AWS Security Hubはステータスが複数あるほかに、色々な機能が含まれているので、いきなり使いこなすのは少し難しいかもしれません。
スモールスタートで、用途に合わせて取り込む機能を拡充していく方針をおすすめします。