[アップデート]AWS Security Hubの組織への展開がセキュリティ標準やコントロールなどをカスタマイズして設定できるようになりました！ #AWSreInvent

先ほどのアップデートで AWS Security Hub の組織への展開がセキュリティ標準やコントロールなどをカスタマイズして設定できるようになりました！

何が嬉しいのか

Security Hub の Organizatins 連携で有効化する際に設定できる項目が大幅に増えました。

これまでは、以下のような個別に仕組みを作って特定の標準を無効化したりコントロールを無効化していたかと思います。

• CloudFormation StackSetsでSecurity Hubのコントロール無効化をOrganizations組織全体に適用する | DevelopersIO
• Organizations環境下で AWS Security Hubのコントロール無効化を自動化する | DevelopersIO

これがSecurity Hubの管理アカウントからポリシーとして設定することできるようになるため不要になります。設定できる項目も細かく設定できるため、マルチアカウントで Security Hub を利用している環境ではぜひ活用したい機能です。

設定できる内容としてはざっと以下の通りです。

• Security Hub の有効化/無効化
• セキュリティ標準
• コントロール
  • パラメータのカスタマイズ
• 展開先のアカウント/OU

やってみる

前提として以下の環境で検証していきます。 - Control Tower 環境 - Security Hub の委任管理者として別アカウントを指定

Security Hub の委任先アカウントへログインして、Security Hub コンソールから左のナビゲーションの'設定'を開きます。

新しく青枠のメッセージが出ているので、'中央設定を開始'をクリックしましょう。

リージョンの設定

まず設定する項目は利用するリージョンの選択です。ホームリージョンと適用する他リージョンを選択できます。既存で利用している場合は既にチェックが入った状態になっています。

ここでは特に変更せずにこのまま進めます。

※Security Hub の Accounts 一覧に削除済みアカウントが含まれている場合は、以下のエラーが発生しました。もし同じメッセージが出た場合は'action'>'delete'を行なってください。(スクショ撮り忘れました…)

Central configuration enablement failed because this account is a member of a different organization in Security Hub.

組織に展開する設定タイプ

設定タイプは以下から選択可能です。

• 組織全体で AWS が推奨する Security Hub の設定を使用
• Security Hub の設定をカスタマイズ
• まだ設定する準備ができていません(設定しない)

組織全体で AWS が推奨する Security Hub の設定を使用

この設定では以下の設定が自動で展開されます。これまでの Organizarion 連携のイメージに近いのがこちらですね。有効化される標準は' AWS 基礎セキュリティのベストプラクティス v1.0.0'になります。

• 次の標準を有効化: AWS 基礎セキュリティのベストプラクティス v1.0.0
• すべての新規および既存の FSBP コントロールを有効化
• すべての組織アカウント

Security Hub の設定をカスタマイズ

今回のアップデートで一番大きいのはここではないでしょうか。 確認してみたところ、以下の項目をカスタマイズして組織内に展開できました。

• Security Hub の有効化/無効化
• セキュリティ標準
• コントロール
  • パラメータのカスタマイズ
• 展開先のアカウント/OU

これまで Organizations 連携でやりたかったカスタマイズが全部できるようになってます。激アツですね。

各項目をざっとみていきましょう。

Security Hub の有効化と無効化はそのまま選択するだけですね。

セキュリティ標準では有効化する標準をチェックボックスで選択できます。

コントロールは以下の項目から選択できます。

特定のコントロールを無効化する場合はチェックボックスで対象を選択できました。

また、コントロールごとにパラメータのカスタマイズも可能です。こちらは昨日アップデートであったものが組織内への設定でも可能になっているようです。

詳細については以下ブログを参照してください。

展開先のアカウントと OU についてもカスタマイズできました。全アカウント、OU、アカウント単位でも設定が可能です。今回は Sandbox の OU を対象にして進めてみます。

あとはここまで設定した内容のポリシー名を設定します。今回はデフォルトで進めますが、ポリシーの内容が分かり易い名前をつけましょう。

最後にここまで設定した内容の確認画面が出ますので、間違いないか確認しましょう。(このポリシーを設定すると、既存のアカウントへの設定が上書きされるようです。)

設定した内容の確認

設定が成功すると、タブから設定状況が確認できるようになっていました。'Organization'タブからどの OU に作成したポリシーがアタッチされているか確認できました。

もちろん設定済みのポリシーについても確認できました。

このポリシー形式のおかげで、OU 単位で設定する標準やコントロールを変更して運用もできそうです。

利用可能リージョン

AWS GovCloud (米国) リージョンと AWS 中国リージョンを除く、Security Hub が利用可能なすべての AWS リージョンで利用可能です。

まとめ

俺たちがやりたかった Security Hub 組織展開全部盛りみたいなアップデートでした。

これまで Security Hub を有効化したあと、特定のコントロールを無効化する仕組みを作っていた方には非常に嬉しいアップデートではないでしょうか。

Security Hub 展開の幅が一気に広がるアップデートなので、ぜひみなさんも活用みてください。

以上、AWS 事業本部カスタマーソリューション部の鈴木純がお送りしました。

参考

• Announcing new central configuration capabilities in AWS Security Hub
• Introducing new central configuration capabilities in AWS Security Hub | AWS Security Blog
• Central configuration in Security Hub - AWS Security Hub
• CloudFormation StackSetsでSecurity Hubのコントロール無効化をOrganizations組織全体に適用する | DevelopersIO
• Organizations環境下で AWS Security Hubのコントロール無効化を自動化する | DevelopersIO [アップデード]AWS Security Hubでコントロールのパラメータをカスタマイズできるようになりました #AWSreinvent | DevelopersIO