はじめに
SecurityHub CSPMはリージョンごとに有効化するサービスで、アカウントが複数になってくるとコントロールの確認や管理が大変になっていきます。
この記事では複数のアカウント・複数のリージョンのSecurityHub CSPMの有効/無効を一括で設定し、さらに検出結果を一つのアカウントに集約して全体を一か所で確認できるようにしていきます。
前提
- AWS Organization環境であること(後述する中央設定を利用するため)
- AWS Configが有効化されていること(SecurityHub CSPMの利用に必要なため)
SecurityHub CSPMとは
AWS Security Hub CSPMは、AWSアカウント全体にわたるセキュリティのベストプラクティスチェックを自動化し、全体的なセキュリティ態勢を把握できるサービスです。もともと「Security Hub」という名称でしたが、現在「Security Hub CSPM」という名称になっています。
設定手順
まずSecurityHub CSPMを有効化していくのですが、その前に委任管理者について説明します。
委任管理者とは、AWS Organizations環境でSecurityHub CSPMを使う場合に、メンバーアカウントに管理権限を委任し、そこから組織全体のSecurity Hub CSPMの設定や監視を一元的に行えるようにする機能です。
この委任管理者ですが、Organizationの管理アカウントに設定することもできますが、例えばAuditアカウントなど別のメンバーアカウントに設定することが推奨されています。
また、後述する中央設定は管理アカウントを委任管理者としている場合に使用できません。
SecurityHub CSPMの有効化・委任管理者の設定
それではSecurityHub CSPMを有効化していきます。まずOrganization管理アカウントを操作して、委任の設定を行います。
SecurityHub CSPMのページに遷移してサービスを有効化します。このときに委任の設定ができますが、既に有効化されている場合を想定して今回はCSPM有効化後に委任の設定を行います。
有効化出来たらナビゲーションペインから[一般]を押下します。委任したいアカウントのIDを入力して委任管理者を設定します。
これで委任管理者が設定できたので、ここから該当の委任管理者アカウントを操作します。 委任管理者のアカウントではこのような表示になります。
中央設定の設定
次に、中央設定の設定を行っていきます。
中央設定とは、Security Hub CSPMの委任管理者が、Organization内の複数アカウント・複数リージョンを横断してSecurity Hub CSPMのサービス・セキュリティ基準・コントロールを一元管理できる機能です。
ナビゲーションペインから[設定]を押下し、右上の[編集]を押下して[中央設定を開始]を押下します。
まずリージョンの設定を行います。ホームリージョンに他のリージョンの検出結果が集約されます。ここでは東京リージョンをホームリージョンとし、大阪リージョンをリンクします。
次に、有効化するセキュリティ基準とコントロールを設定します。今回は「AWS Foundational Security Best Practices v1.0.0」のセキュリティ基準を有効化し、セキュリティグループのインバウンドルールを検査するコントロールを有効化します。
最後に適用するアカウントとポリシー名を設定して適用します。今回は全てのアカウントに適用します。
確認
しばらく時間が経つとOrganization全体にポリシーが適用されます。Rootに適用され、その配下に継承される形になっています。
ナビゲーションペインの[コントロール]から今回有効化したコントロールを確認すると、マスクしているので分かりにくいですが複数のリージョン・アカウントの検出結果が確認できます。
おわりに
本記事では複数のリージョン・アカウントでの一括管理設定の流れをお見せしました。私もそうでしたが触る機会が多くはなく、あまりイメージがついていなかった方もいるんじゃないかと思います。お役に立てば幸いです。