Dome9 の Compliance Rulesets の結果を Security Hub に連携してみた

こんにちは、岩城です。

Dome9 には、Compliance Rulesets と呼ばれる機能があります。この機能は、SOC2 や PCIDSS などといった業界標準のコンプライアンス、Dome9 Well Architected Framework といったベストプラクティスに準拠しているかクラウド環境をテストすることができます。

さらに、Compliance Rulesets を継続的に実行し、クラウド環境がルールセットに準拠していることを評価する機能として、Compliance Polices があります。
評価の結果、準拠していないルールを通知することもでき、通知先として Security Hub を選択することができます。

本エントリでは、Dome9 の公式サイトで紹介されている Security Hub 連携手順と Security Hub 側で見る Dome9 の評価結果について確認してみたいと思います。

Configure CloudGuard Dome9 as an AWS Security Hub integration

やってみた

IAM ポリシー作成

Dome9 を AWS アカウントに連携する際、Dome9 用の IAM ロールを作成しているはずです。このロールに Security Hub 用の IAM ポリシーを作成してアタッチします。

作成する IAM ポリシーは以下のとおりです。

{ 
 "Version": "2012-10-17",
 "Statement": [
    {
         "Sid": "VisualEditor0",
         "Effect": "Allow",
         "Action": "securityhub:BatchImportFindings",
         "Resource": "*"
     }
  ]
}

Security Hub の設定

マネジメントコンソールから Security Hub を開きます。統合 を開いて Dome9 を検索します。Dome9 は Security Hub に統合されているので検索がヒットします。
結果を受け入れる をクリックします。

結果を受け入れるとリソースポリシーが付与され、ステータスが 結果を受け入れます に変わります。

Dome9 の通知設定

Security Hub 連携用の通知を新しく作成します。
ALERTING AND NOTIFICATIONS > Notifications の ADD NOTIFICATION をクリックします。

Name は任意の名前で構いません。Security Management Systems の Send findings to AWS Security Hub をチェックします。連携先となる AWS アカウントとリージョンを選択し Test をクリックします。

テストが正常に行われ Verified になったことを確認して保存します。

Dome9 の Compliance Policies を設定する

継続的に Compliance Rulesets を実行し、ルールセットに準拠しないものがあれば通知させるため、Compliance Policies を設定します。
POSTURE MANAGEMENT > Compliance Policies > ADD POLICY の Cloud Account Policy をクリックします。

ポリシー作成画面が表示されるので、プラットフォームで AWS を選択します。

AWS アカウントを選択します。

実行するルールセットを選択します。複数選択も可能ですが、本エントリでは [日本語]Dome9 Best Practices - Sample を選択しました。

さいごに、事前に作成しておいた通知を選択して保存します。

選択したルールセットにポリシーが追加されたことが分かります。

結果確認

Security Hub に戻り、Dome9 から受け入れた結果を確認します。

Dome9 から　Security Hub に結果が反映されるまで少し時間が掛かるようです。少し待ってみてください。反映されると以下のように検出結果に表示されます。

試しに、Ensure on security groups allow ingress from 0.0.0.0/0 to SSH (TCP:22) を確認してみます。この通知は、あるセキュリティグループが SSH を 0.0.0.0/0 に開放していることを示すものです。Dome9 上のアラートへの URL、当該セキュリティグループへのリンク、Dome9 が提供する改善提案のページへの URL などが記されています。

今回の場合、改善方法はすぐにイメージつくかと思いますが、無制限に SSH を許可しないことを教えてもらえます。

ENSURE NO SECURITY GROUPS ALLOW INGRESS FROM 0.0.0.0/0 TO SSH (TCP:22)

注意

Compliance Policies の評価の結果、準拠していないルールの通知は初回のみです。改善されるまでは通知されることはありませんので注意してください。

Continuous Compliance

Dome9 does not send notifications for issues already discovered (in a previous assessment by the same policy). So, you will receive a notification only the first time a rule fails, but not after subsequent assessments. If the issue is remedied, and the rule passes in a subsequent assessment, a 'pass' notification is sent to SNS and HTTP endpoints, but not to email notifications (in email reports it will not be in the list of failed rules).

Google 翻訳

Dome9は、（同じポリシーによる以前の評価で）すでに発見された問題の通知を送信しません。そのため、ルールが最初に失敗したときにのみ通知を受け取りますが、その後の評価の後では通知を受け取りません。問題が修正され、ルールがその後の評価で合格した場合、「合格」通知がSNSおよびHTTPエンドポイントに送信されますが、電子メール通知には送信されません（電子メールレポートでは、失敗したルールのリストには含まれません）。

おわりに

是非お試しください。
本エントリがどなたかのお役に立てれば幸いです。