はじめに
AWS Security Hubからクロスアカウント、クロスリージョンで以下のサービスを一括有効化してみました。
- Amazon Inspector
- Amazon GuardDuty
- AWS Security Hub CSPM
一括有効化に使用したAWS Security Hubのポリシーとデプロイ機能の紹介と
設定手順を実際の画面をみながら確認していきます!
Security Hubのポリシーとデプロイについて
Security Hubでは、AWS Organizationsと連携してメンバーアカウントやリージョン全体に対するセキュリティ設定を管理できます。
組織設定には 「ポリシー」 と 「デプロイ」 の2種類があります。
それぞれ設定できるサービスと特徴は以下の通りです。
| 種類 | 対象サービス | 特徴 |
|---|---|---|
| ポリシー | Security Hub / Inspector | Organizationsポリシーとして管理され、OU単位で適用・編集が可能 |
| デプロイ | GuardDuty / Security Hub CSPM | 対象OU/アカウントとリージョンに対して実行される1回限りのアクション |
ポリシーは Organizationsポリシーとして継続的に適用される設定で、OUやアカウント単位で管理できます。
一方、デプロイは 対象OU/アカウントに対してサービスを有効化する1回限りの処理です。
そのため後から編集することはできず、新しく追加されたアカウントにも自動では適用されません。
※新規アカウントにも自動的に有効化したい場合は、GuardDutyやSecurity Hub CSPM側で提供されている自動有効化設定を利用する必要があります。
委任管理者の指定について
Security Hubの組織設定を利用するには、事前に Security Hubの委任管理者を指定する必要があります。
Security Hubの委任管理者に設定したアカウントは、以下のサービスの委任管理者にも自動的に設定されます。
- Inspector
- GuardDuty
- Security Hub CSPM
ただし、これらのサービスで既に委任管理者が設定されている場合、そのサービスの委任管理者は 変更されません。
AWS公式ドキュメントでは、一貫したガバナンスのため すべてのセキュリティサービスで同じ委任管理者を使用することが推奨されています。
また、委任管理者を設定した後は、委任管理者がSecurity Hubの組織設定をできるようにするための委任管理者ポリシーを作成する必要があります。
詳しくは以下を参照してください。
実際に試してみた
今回は Account AをSecurity Hubの委任管理者として設定し、以下の構成で検証を行いました。
Organization
├ Root
│
├ Security OU
│ ├ Account A(委任管理者)
│ └ Account B
│
└ Dev OU
└ Account C
この環境でSecurity Hubコンソールからポリシーとデプロイの設定を実施し、以下の内容を確認します。
- Security Hubの一括有効化
- Inspectorの一括有効化
- GuardDutyの一括有効化
- Security Hub CSPMの一括有効化
設定手順
Security Hubコンソールの 「設定」>「設定カタログ」 からポリシーとデプロイを設定できます。
今回はポリシーとデプロイが一緒にできる「Security Hub」の設定カタログを使用します。
設定画面は以下のようになっています。
「カスタマイズ機能」を選択すると、各機能の有効/無効を選択できます。
少しわかりづらいですが、黄枠がポリシーの設定、緑枠がデプロイの設定となります。
チェックした機能が有効になります。
グレーアウトしていて選択できない項目はSecurity Hubの基本機能のため、必須有効化となります。
タグマークがついている項目については、+αの機能となり各サービスで別途課金が発生するため、今回の検証では有効化しません。
(GuardDuty有効化のため「基本的な脅威検出」に関しては、有効化しています。)
下にスクロールすると、ポリシーのターゲット先とリージョンを選択できます。
今回はすべてのアカウントとリージョンを選択しました。
詳細設定ではポリシーが競合した場合の継承設定を定義できます。
「確認」>「適用」してみました。
「設定」>「設定済みポリシー」からSecurity HubとInspectorのポリシーが作成されているのが確認できました。
Organizationsコンソールからもそれぞれのポリシーを確認できました。
【Security Hub ポリシー】
【Inspector ポリシー】
前述したとおり、デプロイは1回限りのアクションになります。
そのため後から編集したり確認することはできません。
Security Hubコンソール画面からも、GuardDutyやSecurity Hub CSPMの設定は確認できないことがわかります。
動作確認
委任管理者からサインアウトし、別のメンバーアカウントで状態を確認してみます。
【メンバーアカウントのSecurity Hub】
【メンバーアカウントのInspector】
【メンバーアカウントのGuardDuty】
【メンバーアカウントのSecurity Hub CSPM】
メンバーアカウントで各サービスが有効になっていることを確認できました。
再び委任管理者アカウントにサインインし、Security Hubで集約できているかどうかを確認してみます。
マスクしてますが、複数のメンバーアカウント+全リージョンの検出結果がひとつの画面で確認できました。
まとめ
Security Hubコンソールの設定から操作することで、各サービスの有効化をまとめて実行できることを確認できました。
Security Hubを中心に組織のセキュリティサービスをまとめて設定できるため、マルチアカウント環境での初期設定や管理をシンプルにできる機能だと感じました。
今後Organizations環境でセキュリティサービスを導入する際には、Security Hubの組織設定機能を活用すると運用がしやすくなりそうです。