DevelopersIO 2023 大阪 – 勉強会「AWS Security Hub 自動修復ソリューションの実演」 #devio2023

特集

川原征大

2023.07.19

本ブログは 2023/07/19の DevelopersIO 2023 大阪 にて開催される プチ勉強会(at AWS質問ブース)用の資料となります。

AWS Security Hub 自動修復ソリューションの実演 」というタイトルで 勉強会をします! (しました!)

勉強会の目的

  • Security Hub 修復ソリューション を知ってもらう
  • その他 Security Hub やAWSセキュリティ周りのQA, 意見交換

概要

[前提] Security Hub とは

主に以下 2機能を提供するサービスです。

▼「セキュリティイベント集中管理」機能

多くのAWSサービスを統合する ハブ として機能します。

img

– 画像: 【入門】 社内勉強会で AWS Security Hubの話をしました | DevelopersIO

▼「クラウドセキュリティポスチャー管理(CSPM)」機能

潜在的なセキュリティリスクを発見します。 チェック結果をスコア化して、表示できます。

img

– 画像: 【初心者向け】AWS Security Hubとは?概要からメリット、料金まで解説 | クラスメソッド株式会社

Security Hub 修復ソリューション(ASR)とは

AWS での自動化されたセキュリティ対応 | AWS

img

Automated Security Response(ASR) は AWSのソリューションです。

AWS Security Hub を起点にした「セキュリティ修復の仕組み」を簡単に展開できます。

img

– 画像: Architecture overview - Automated Security Response on AWS

百聞は一見にしかず

実際に修復されるところを見てみます。

  1. 手動トリガー
  2. 自動トリガー

手動トリガー

Security Hubのチェック項目、 [S3.5] S3 バケットでは Secure Socket Layer を使用するためのリクエストを求める必要があります を手動トリガーで修復してみます。

このソリューションをインストールすると、 [アクション] 部分に "Remediate with ASR" という項目が出てきます。

修復させたいリソースを選択して "Remediate with ASR" を実行しましょう。

img

『✅ 検出結果を Amazon EventBridge に正常に送信しました』という表示が出てきたらOKです。

S3バケットを見てみると、 「SSLを強制する」バケットポリシーが付与されている ことが分かります。

img

自動トリガー

次は [EC2.2] VPC のデフォルトのセキュリティグループはインバウンドトラフィックとアウトバウンドトラフィックを許可しない必要があります を "自動トリガー" 修復させてみます。

EventBridge一覧に AFSBP_1.0.0_EC2.2_AutoTrigger というルールがあります。 これを選択して [有効化] しましょう。

img

デフォルトのセキュリティグループに 何かしらのルールを入れてみます。

img

…しばらく待つと、ルールが削除されました!

img

ASR 少し詳細

アーキテクチャ、実装方法

ASRのアーキテクチャを再掲します。 先程はシングルアカウント内での実行を紹介しましたが、 マルチアカウント対応です。

img

– 画像: Architecture overview - Automated Security Response on AWS

簡単に言ってしまうと、 以下3つのCFnテンプレートから構成されます。

  • aws-sharr-deploy.template: ソリューションのコア要素(Step Functionsなど)。

  • aws-sharr-member.template: 自動化ランブックを展開するテンプレート。 修復対象のリソースがある AWSアカウント × リージョン単位 で展開する。

  • aws-sharr-member-roles.template: 修復に必要なIAMロール用のテンプレート。 修復対象のリソースがある AWSアカウント単位 で展開する。

詳しくは以下ブログ、もしくは公式ドキュメントを参照ください。

対応しているコントロール

以下 ドキュメントに記載があります。 投稿時点で 40以上の修復が存在します。

また、カスタマイズして 自身で新しい修復を追加したり、 既存の修復内容を変更することも可能です。

ASR 使いみち

以下 2点あります。

  • セキュリティ対応の負荷軽減: セキュリティ対応を数クリックで実施できます。
  • セキュアなAWSベースラインの維持: 自動トリガーを有効化して、セキュリティリスクを即座に潰せます。 予防的ガードレールとして役に立ちます

おわりに

ざっくりと Security Hub の修復ソリューションを紹介してみました。

「Security Hub のチェック項目の対応に追われて辛い…」 といった悩みがある方は、ぜひ検討ください。

以上、参考になれば幸いです。

参考

スキルアップ|初心者向け|書評|デベキャン|AWS認定|スキルアップ|デベキャンだより|勉強会|コミュニティ

関連記事

[アップデート] AWS Security Hub の新しいセキュリティスタンダード「AWS Resource Tagging Standard v1.0.0」を使って組織に必要なタグキーがリソースに設定されているか検出出来るようになりました

いわさ

2024.05.02

Security Hubで知る、AWSアカウント開設後に対応したいセキュリティ項目を確認しよう

こーへい

2024.04.30

[アップデート] AWS Chatbotを使ったSecurity Hubの検知通知に検知を抑制するボタンが自動設定されるようになりました

のんピ

2024.04.30

[小ネタ] CSVダウンロードしたAWS Security Hub検出結果のファイル構造が変わっていました

あしざわ

2024.04.29