![[アップデート]Security Hub のセキュリティ標準に新たに8個のチェック項目が追加されました(2024/8/30)](https://images.ctfassets.net/ct0aopd36mqt/wp-refcat-img-cea52bc8a6ec5cad9021b38df4a08b9e/24c76ee7c1ae7aa7f9676a59c77f8702/aws-security-hub)
[アップデート]Security Hub のセキュリティ標準に新たに8個のチェック項目が追加されました(2024/8/30)
2024.09.02あしざわです。
みなさん、Security Hubの運用やっていますか?
AWS Security Hubのセキュリティ標準に新たに 8個のチェック項目(コントロール)が 追加されました。
AWS What’s new ブログでのアナウンスは以下です。
本エントリでは、新規追加されたコントロールの情報をまとめたものを簡単なコメント付きで紹介していきます。
各コントロール毎に以下の情報をまとめていきます。
| 項目 | 概要 |
|---|---|
| 重要度 | Security Hubが定める検出結果の重要度を表します。Critical > High > Medium > Lowの順に重要度が高いことを示します。 |
| 概要 | コントロールでチェックされる内容を簡単にまとめます。 |
| 参考ドキュメント | コントロールについて考える上で、参考になる公式ドキュメントやブログサイトなどのリンクをまとめます。 |
今回追加されたコントロールはこちらの8つです。
- [Athena.4] Athena workgroups should have logging enabled
- [CodeBuild.7] CodeBuild report group exports should be encrypted at rest
- [DataSync.1] DataSync tasks should have logging enabled
- [EFS.7] EFS file systems should have automatic backups enabled
- [Glue.2] AWS Glue jobs should have logging enabled
- [Glue.3] AWS Glue machine learning transforms should be encrypted at rest
- [WorkSpaces.1] WorkSpaces user volumes should be encrypted at rest
- [WorkSpaces.2] WorkSpaces root volumes should be encrypted at rest
Amazon Athena
[Athena.4] Athena workgroups should have logging enabled
重要度
Medium
概要
このコントロールは、Amazon Athenaのワークグループでログ記録が有効になっていることを確認します。
ワークグループのログ記録が有効になっているとは、CloudWatchにクエリメトリクスを発行している状態を指します。
クエリメトリクスを発行することでAthenaクエリのモニタリングが可能になります。
参考ドキュメント
AWS CodeBuild
[CodeBuild.7] CodeBuild report group exports should be encrypted at rest
重要度
Medium
概要
このコントロールは、S3にエクスポートされたCodeBuildレポートグループのテスト結果が保管時に暗号化されていることを確認します。
CodeBuildレポートグループには、CodeBuildでビルド中に実行されるテストの詳細が記載されたテストレポートが含まれています。
この設定で暗号化される保存データとは、永続的な不揮発性ストレージに一時保存されるデータのことを指します。
参考ドキュメント
AWS DataSync
[DataSync.1] DataSync tasks should have logging enabled
重要度
Medium
概要
このコントロールは、DataSync タスクでログ記録が有効化されていることを確認します。
DataSyncタスクのログ記録におけるログレベルは、以下のいずれかから選択可能です。
※括弧内はマネジメントコンソール上の表示名
OFF(Do not send logs to CloudWatch): ログを出力しないBASIC(Log basic information such as transfer errors): 転送された個々のファイルのエラー時にログを出力するTRANSFER(Log all transferred objects and files): 転送され整合性をチェックされたすべてのファイルまたはオブジェクトのログを出力する
ログレベルの設定が、BASIC/TRANSFER のどちらかに設定されている場合、準拠となります。
参考ドキュメント
- AWS DataSync タスクのログ設定違いと、タスク実行エラーの検知方法を確認してみた | DevelopersIO
- Monitoring AWS DataSync activity with Amazon CloudWatch
Amazon EFS
[EFS.7] EFS file systems should have automatic backups enabled
重要度
Medium
概要
このコントロールは、EFS ファイルシステムの自動バックアップが有効化されているかを確認します。
マネジメントコンソールからEFS ファイルシステムを作成した場合、デフォルトで AWS Backup を利用した自動バックアップ(推奨設定)が設定されています。
AWS CLI や API 経由で作成した場合、デフォルトで設定されていないため作成後に自動バックアップを有効化してください。
参考ドキュメント
- Amazon EFSのバックアップ方法はどれを選べば良い? | DevelopersIO
- Backing up EFS file systems - Amazon Elastic File System
AWS Glue
[Glue.2] AWS Glue jobs should have logging enabled
重要度
Medium
概要
このコントロールは、Glue ジョブのログ記録が有効化されていることを確認します。
バージョン 2.0以降の Glue ジョブでは、以下の CloudWatch Logs ロググループにログが出力されます。
/aws-glue/jobs/logs/output(標準出力)/aws-glue/jobs/logs/error(エラー出力)
これらのログが出力されている場合、準拠となります。
参考ドキュメント
[Glue.3] AWS Glue machine learning transforms should be encrypted at rest
重要度
Medium
概要
このコントロールは、Glue ジョブの機械学習変換が保管時に暗号化されていることを確認します。
Glue ジョブに機械学習変換を追加するとき、データソースまたはデータターゲットに関連付けられたセキュリティ設定をオプションで指定できます。
データの保存先のS3 バケットがセキュリティ設定で暗号化されている場合は、変換を作成するときに同じセキュリティ設定を指定してください。
参考ドキュメント
- Glueの「FindMatches 変換」機能を使ってデータセット内の「一致するレコードの重複排除」、「検索」をする | DevelopersIO
- Working with machine learning transforms - AWS Glue
Amazon WorkSpaces
[WorkSpaces.1] WorkSpaces user volumes should be encrypted at rest
重要度
Medium
概要
このコントロールは、Amazon WorkSpaces のユーザーボリュームが保存時に暗号化されていることを確認します。
Workspaces のユーザーボリュームとは、Windows の場合は D ドライブ、Linux の場合は /homeのことを指します。
対応する際、Workspaces の暗号化には現状以下のような制約があることに留意ください。
- 既存の WorkSpaces は暗号化できないため、是正する場合は暗号化された WorkSpaces を再度起動する必要がある
- 暗号化された WorkSpaces からカスタム イメージを作成することは、現在サポートされていない
- 暗号化されている WorkSpace の暗号化の無効化は、現在サポートされていない
参考ドキュメント
- WorkSpacesのディスク暗号化について | DevelopersIO
- Encrypted WorkSpaces in WorkSpaces Personal - Amazon WorkSpaces
[WorkSpaces.2] WorkSpaces root volumes should be encrypted at rest
重要度
Medium
概要
このコントロールは、Amazon WorkSpaces のルートボリュームが保存時に暗号化されていることを確認します。
Workspaces のルートボリュームとは、Windows の場合は C ドライブ、Linux の場合は /のことを指します。
対応する際、Workspaces の暗号化には現状以下のような制約があることに留意ください。
- 既存の WorkSpaces は暗号化できないため、是正する場合は暗号化された WorkSpaces を再度起動する必要がある
- 暗号化された WorkSpaces からカスタム イメージを作成することは、現在サポートされていない
- 暗号化されている WorkSpace の暗号化の無効化は、現在サポートされていない
参考ドキュメント
- WorkSpacesのディスク暗号化について | DevelopersIO
- Encrypted WorkSpaces in WorkSpaces Personal - Amazon WorkSpaces
最後に
今回はSecurity Hubに新規追加された8つの新規コントロールの内容を確認しました。
今回のアップデート内容を総括すると以下です。
- DataSync と Workspaces という新しいサービスの Security Hub 対応
- CodeBuild や Glue などのワークロードでよく使われるサービスのサポート範囲拡張
引き続き、Security Hubのアップデートを追ってAWSアカウントのセキュリティレベルを向上させていきましょう。
以上です。
![[アップデート] Amazon Bedrock Knowledge Bases がクロスリージョン推論をサポートしました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-e3065182082062711612153bbdcf1d96/c04359de689df2f56eb066576ab63fb5/amazon-bedrock)
![[アップデート] Amazon EventBridge のパイプ機能(EventBridge Pipes)でもカスタマーマネージドキーを使った暗号化がサポートされました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-48037b4d08a5d4b9224074300706dc60/b96cdc54bea6dbeec12fad9b23858b1a/amazon-eventbridge)
![[2024年版]GuarddDutyで様々な検出を発生させるAmazon GuardDuty Testerを簡単に実行できるようにアレンジしてみた](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-f1f1e80330aaa8917410e012de277155/263838c1009bccfef2d8a98f11615f2d/amazon-guardduty)
