この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは、臼田です。
みなさん、AWS環境のセキュリティチェックしてますか?(挨拶
先日ローカルリージョンからスタンダードなリージョンになった大阪リージョンで、ついにAWS Security Hubがサポートされました!
AWS Security Hub now available in the AWS Asia Pacific (Osaka) Region
というわけでこれを有効化してみました。
前置き
Security HubはAWS環境のセキュリティを管理するためのサービスで、大きく2つの機能があります。
- セキュリティイベントの集約
- 各種AWSサービスの設定がセキュアかチェックする(セキュリティチェック)
特に後者のセキュリティチェックは強力で、今ではAWS環境においてこれを使うことは必須です。詳細は以下をどうぞ。
大阪リージョンがスタンダードになった際にはSecurity Hubを始めとしたAWSアカウントセキュリティ系のサービスは結構未対応で、まだ全体管理を行ってガバナンスを効かせることが難しいなーと感じていましたが、今回のSecurity Hubのサポートで一歩前進したと思います。
でも私はGuardDutyが一番最初に来ると思ってました。GuardDutyはよ
やってみた
Security Hubのコンソールにアクセスし、右上のリージョン選択で大阪リージョンに切り替えます。適切に表示されました!
ちなみにGuardDutyを開いてみると、以下のとおりです。なんでや…
Security Hubの設定に入る前に、AWS Configも有効化しておく必要があります。新しいリージョンの対応は忘れがちですよね。私も忘れていました。有効化しておきましょう。詳細は割愛します。
それでは本題のSecurity Hubの有効化です。セキュリティチェック(スタンダード)の有効化ですが、私のオススメはデフォルトからCIS1.2を外す(AWS基礎セキュリティのベストプラクティスのみ有効化)です。これも詳細は上記ブログにあるのでどうぞ。
有効化が完了しました。しばらくしたらチェックした結果が出てくるでしょう。捗る!
まとめ
大阪リージョンでSecurity Hubが動くことを確認しました。アカウント単体としては以上で終わりですが、複数のアカウントを管理している場合はセットアップスクリプトやOrganizations連携などでまとめて適用する形がいいでしょう。(CloudFormationでは細かい調整ができないのが残念ですが)
大阪リージョンで適切な設定ができているか確認する手段ができたので、大阪リージョンを使わない理由が1つ減ったと思います。まだ対応していないGuardDutyなどのサービスに注意しつつどんどん活用していきましょう。
2
