Security Hubの中央設定(Central Configuration)で気になる部分を調べてみた #AWSreInvent

Security Hubの中央設定(Central Configuration)で気になる部分を調べてみた #AWSreInvent

Clock Icon2023.12.17

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは。たかやまです。

Security Hubの中央設定(Central Configuration)について個人的に気になる動作を検証してみたので、今回その内容をお伝えします。

さきにまとめ

  • 中央設定はホームリージョンでしか設定できないが、他リージョンにも適用されるのか?
    • 検出結果の集約で設定しているリージョンに対して適用される
  • ポリシーを更新すると動的に適用されるのか?
    • ポリシーを更新すると、適用されているポリシーは動的に更新される
    • (更新に限らず)ポリシー設定は、既存アカウントのSecurity Hub設定を上書きするため既存アカウントでカスタマイズしている場合はポリシーで上書きして問題ないか確認が必要
  • OrganizationsOUへのポリシー適用をすればOU転入時に自動で設定されるのか?
    • OU転入時はOUに適用されているポリシーが自動で設定される
    • OUから脱退した場合は設定のリセットは行われない
      • 脱退先がセルフマネージドであれば、転入時のポリシーで設定されたSecurity Hub設定が残る
      • 脱退先がポリシーを適用されたOUであれば、転入先OUのポリシーで上書きされる
  • ポリシーを適用されているメンバーアカウントからSecurity Hubの設定変更はできるのか?
    • セキュリティ基準とコントロールの設定変更はできない
    • ワークフローの変更はできるのでメンバーアカウントで個別に抑制したい項目がある場合はワークフローを利用する
  • ポリシーを外すとポリシーで設定した内容はどうなるのか?
    • ポリシーを外すと、ポリシーで設定した際の内容がそのまま残る
  • Security Hub無効化を組織全体に適用するとどうなるのか?
    • 中央設定を適用しているSecurity Hub管理アカウントは無効化されない
    • それ以外のアカウントはSecurity Hubが無効化される
  • 中央設定を有効にした場合の招待アカウントへの影響は?
    • 中央設定有効化による招待アカウントの招待解除のような影響はない
    • 中央設定ポリシーは招待アカウントには適用されないため個別に設定が必要
  • 中央設定のポリシー継承ルールはどうなっているのか?
    • ポリシーはAND条件で評価はされず、優先度の高い1つのポリシーのみ適用される
    • ポリシーは「アカウント > 子OU > 親OU」の優先度順で適用される
      • 同じ優先度のポリシーが適用された場合、後から適用したポリシーが上書きされる
    • OUにポリシーを適用している状態から、単一アカウントのポリシーを外す場合はセルフマネージドポリシーを適用する

調べてみる

中央設定はホームリージョンでしか設定できないが、他リージョンにも適用されるのか?

いままでSecurity Hubを各リージョンで設定する場合、リージョンごとに設定作業を行う必要がありました。ただ、この中央設定はホームリージョンでのみ設定できる機能のため、他リージョンにも適用されるのか気になりました。

結論から言うと、中央設定の設定範囲はリージョンの検出結果の集約の設定に依存します。

Linked Region
An AWS Region that is configurable from the home Region. Configuration policies are created by the delegated administrator in the home Region. The policies take effect in the home Region and all linked Regions. You must specify at least one linked Region to use central configuration.

A linked Region also sends findings, insights, and other data to the home Region.

Regions that AWS introduced on or after March 20, 2019 are known as opt-in Regions. You must enable such a Region for an account before a configuration policy can be applied to it. The Organizations management account can enable opt-in Regions for a member account. For more information, see Specify which AWS Regions your account can use in the AWS Account Management Reference Guide.
Central configuration in Security Hub - AWS Security Hub

実際に確認してみます。
検出結果の集約は集約リージョンにap-northeast-1(東京)を指定し、リンクされたリージョンはus-east-1(バージニア北部)を指定しています。

この状態で各リージョンの中央設定の状況を確認してみます。

こちらはap-northeast-1とus-east-1の設定です。

us-east-1でも中央設定の内容を確認することができますが、設定の変更はホームリージョンで行うように案内されています。

リンクされたリージョンに指定していないap-northeast-3(大阪)は従来どおりのアカウント管理の設定画面のままになっています。

いままでリージョンごとに集約設定を行う必要があったので、ホームリージョンで中央設定の設定を行えば各リージョンの設定を管理できるは便利ですね。

ポリシーを更新すると動的に適用されるのか?

次にポリシー中央設定のポリシーを更新したときに、適用しているポリシーは動的に更新されるのか確認してみたいと思います。

最初はAWS 基礎セキュリティのベストプラクティス v1.0.0(以降FSBP)のみ有効化するポリシーを管理アカウントに適用しています。

ポリシー適用後の設定はこちらです。
FSBPのみ有効化されていることが確認できます。

この状態からセキュリティ基準をOFFにするポリシーを適用してみます。

するとアカウント設定をオーバーライドする注意書きが表示されます。

ポリシーを保存すると、適用が開始されます。

私の環境ではすぐに適用が完了しましたが、場合によっては最大24時間適用に時間がかかるとのことです。

The StartConfigurationPolicyAssociation API returns a field called AssociationStatus. This field tells you whether a policy association is pending or in a state of success or failure. It can take up to 24 hours for the status to change from PENDING to SUCCESS or FAILURE. For more information about association status, see Association status of a configuration.
Updating Security Hub configuration policies - AWS Security Hub

ポリシーを更新したことで、FSBPが無効化されていることが確認できました。

オーバーライドの記載からもわかるとおり、既存アカウント側で既にSecurity Hubの設定を行っている場合などは、ポリシーで上書きされる点は注意が必要です。

OrganizationsOUへのポリシー適用をすればOU転入時に自動で設定されるのか?

次にOUにポリシーを適用したときに、OU転入時に自動でポリシーが適用されるのか確認してみたいと思います。

さきほどのFSBPのポリシーをSandboxOUに適用し、Sub1アカウントをSandboxOUに転入してみます。

OrganizationsでOU転入を実施します。

OU移動後、中央設定の内容を再度確認してみます。
SandboxOUに入ったSub1アカウントが継承済みになっており、中央設定のポリシーが適用されていることが確認できます。

今度はOUから脱退したときに設定がどうなるのか確認してみます。

OrganizationsでSandboxOUからSub1アカウントを脱退させたあと、中央設定の内容を確認してみます。

ポリシーの継承はなくなり、セルフマネージドになっていることが確認できます。

ただ、Sub1アカウントの実際の設定を見てみると分かる通り、SandboxOUで適用されたポリシーの設定はそのまま残っています。

脱退先で別のOUに入った場合は脱退先のOUのポリシーで上書きされますが、今回のようにセルフマネージドのOUに入った場合はポリシーがそのままになる点は考慮が必要そうです。

ポリシーを適用されているメンバーアカウントからSecurity Hubの設定変更はできるのか?

次にポリシーから適用しているアカウントのSecurity Hubの設定を変更できるのか気になったので確認してみました。

結論から言うと、ポリシーを適用されているアカウントからSecurity Hubのセキュリティ基準やコントロール設定を変更することはできません。

こちらは中央設定で有効化されたFSBPを無効化しようとしたときのエラーです。

Error disabling standards arn:aws:securityhub:ap-northeast-1:xxxxxxxxxxxx:subscription/aws-foundational-security-best-practices/v/1.0.0: xxxxxxxxxxxx is managed by a configuration policy

CIS v1.4.0を有効化しようとした場合も同様にエラーが発生します。

コントロールを無効化しようとした場合も同様にエラーが発生します。

一方でワークフローの変更はできるので、メンバーアカウントで個別に抑制したい項目がある場合にワークフローを利用することができます。

ポリシーを外すとポリシーで設定した内容はどうなるのか?

OU転入の検証で想像はつきますが、ポリシーを外した場合の設定状況を確認してみます。

SecurityアカウントにFSBPを有効化するポリシーを適用した状態で、ポリシーを外してみたいと思います。

ポリシーはアカウントのなしを適用することでポリシーを外すことができます。

この状態で中央設定の内容を確認してみます。
Securityアカウントのポリシー設定がセルフマネージドになっていることが確認できます。

実際のSecurityアカウントの設定状況を確認してみると、FSBPの設定はそのまま残っていることが確認できます。

Security Hub無効化を組織全体に適用するとどうなるのか?

中央設定ではSecurity Hub無効化を適用することも可能です。
最後に、組織全体にSecurity Hub無効化を適用するとどうなるのか、特に中央設定を適用しているSecurity Hub管理アカウントもSecurity Hubが無効になってしまうのか気になったので確認してみました。

以下の中央設定を適用していきます。

組織全体にポリシーが適用され、Security Hub管理アカウント(Securityアカウント)にもポリシーが適用されていることが確認できます。

この時点で中央設定を確認できていることで察している方もいるかもしれませんが、Security Hub管理アカウントのSecurity Hubは無効化ポリシーで無効化されないことが確認できます。

Auditアカウントを確認してみます。
こちらはポリシー通りにSecurity Hubが無効化されていることが確認できます。

中央設定を有効にした場合の招待アカウントへの影響は?

Security HubはOrganizationsによる連携のほかに、招待によるアカウント追加も可能です。

中央設定はOrganizationsの連携機能になりますが、招待によるアカウントへの影響がどうなるか気になったので確認してみました。

まずは、中央設定有効化前の設定状況を確認します。
52xxxxxx60が招待されているアカウントになります。

この状態で中央設定を有効化してみます。

中央設定後は 招待アカウント というタブが追加されています。こちらの項目でアカウントごとの設定状況を確認することができます。

StatusでアカウントがOrganizations経由なのか招待経由なのか判断することができます。

  • Enabled : Organizations連携で追加されているアカウント
  • Invited : 招待で追加されているアカウント

またご覧の通り、中央設定を有効化しても招待で追加されているアカウントの連携が切られることはありませんでした。

また、中央設定はOrganizationsの連携機能になるため招待アカウントへはポリシー適用されません。 招待アカウントは個別にSecurity Hubの管理が必要になります。

FSBPを有効化するポリシーを組織全体に適用

招待アカウントでSecurity Hubは有効化はされない

中央設定のポリシー継承ルールはどうなっているのか?

ポイントは以下の通りです。

  • ポリシーはAND条件で評価はされず、優先度の高い1つのポリシーのみ適用される
  • ポリシーは「アカウント > 子OU > 親OU」の優先度順で適用される
    • 同じ優先度のポリシーが適用された場合、後から適用したポリシーが上書きされる
  • OUにポリシーを適用している状態から、単一アカウントのポリシーを外す場合はセルフマネージドポリシーを適用する

中央設定のポリシー継承ルールについては、こちらの記事で解説していますので、合わせてご覧ください。

最後に

中央設定で個人的に気になっていた部分を検証してみました。

検証してみてSecurity Hubの管理が改めて楽になったと感じることができました!

ただ、既存アカウントでSecurity Hubをカスタマイズしている場合は、中央設定のポリシーでオーバーライドされると困る部分もあると思うのでこのあたりは注意が必要そうです。

以上、たかやま(@nyan_kotaroo)でした。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.