はじめに
AWS Security Hub の機能の中に、AWS が考えるセキュリティのベストプラクティスに沿っていないものを検出してくれる機能があります。例えば、Security Group が不用意に開放されしまっていることや、S3 Bucket が Public 公開されている点を検出してくれます。自分たちでリソースを一つずつ確認していくのは大変な作業なので、セキュリティ対策の第一歩目として検出結果から検討をしていくことも出来ます。
AWS Security Hub を有効化する手順を、1ステップずつ載せていきます。
検出結果の例
AWS Security Hub を使うと、セキュリティのベストプラクティスに沿っていないものを自動検出できます。次の画像が、検出結果の例です。
検出された結果が重要度と共に一覧化されています。タイトルをクリックすると、検出された詳細な情報と、検出対象の AWS リソースを確認できます。また、修復手順をクリックすることで、詳細な AWS Document を確認することもできます。
AWS Config の有効化
AWS マネージメントコンソール上部の検索ボックスに Config と入力して、出現した Config を選択します
今すぐ始める を選択します
カスタマイズ可能なオーバーライドのあるすべてのリソースタイプ を選択します。そして、リソースタイプにある グローバルに記録されたすべての IAM リソースタイプを 削除 を押します。Security Hub で IAM に関するセキュリティ基準のチェックをしたいので、記録をするために削除をおします。
このまま 次へ を押します。
ルールは何も選択せず、そのまま 次へ を押します。必要に応じて有効化していただいて問題ありません。
確認 を押します
AWS Config が有効化されました。
AWS Security Hub の有効化
AWS マネージメントコンソール上部の検索ボックスに Security Hubと入力して、出現した Security Hub を選択します
Security Hub に移動 を選択します
確認したいセキュリティ基準を チェックオン にしたあとで、Security Hub の有効化 を押します。特にこだわりが無ければ、まずは基礎セキュリティの 1 つをチェックオンでよいと思います。あとから追加が可能です。
有効化ができました。2 時間ほど後に Security Hub の検出結果が表示されるはずです。
Security Hub で「データなし」になる原因
網羅しているわけではないですが、いくつかの原因が考えられます。
- AWS Config のレコード記録で、「グローバルリソース」を記録していない
- ※ AWS アカウント内のうち、1個のリージョンでグローバルリソースを有効にする。複数のリージョンで有効にすると、重複した検出を行うためコストが若干もったいない
- AWS Config に付与している IAM Role の Policy が不足している