การคืนการตั้งค่า Secure Account: ขั้นตอนการปิดการใช้งาน AWS Security Hub
สวัสดีครับ ท่านผู้อ่านทุกท่าน ผมกาญจน์ครับ ขอต้อนรับกลับมากับบทความเกี่ยวกับ Secure Account กันอีกครั้งครับ
บทความนี้แปลมาจากบทความที่เป็นภาษาญี่ปุ่นที่ชื่อว่า 【セキュアアカウント切り戻し手順】AWS Security Hub無効化手順のご案内 โดยเจ้าของบทความนี้คือ คุณ คิมูระ ยูตะ ครับ
Secure Account คืออะไร
ที่ Classmethod เรามีการให้บริการบัญชี AWS ที่มีการติดตั้งด้านความปลอดภัยอย่างครบถ้วนตามแนวทาง Best practice แก่ลูกค้าของเรา
คุณลูกค้าที่ใช้บริการบัญชี AWS ผ่าน Classmethod ทุกท่านสามารถใช้บริการนี้ได้ จึงอยากเชิญชวนให้มาใช้กันครับ
สถาปัตยกรรมของ Secure Account
Secure Account มีการตั้งค่าดังต่อไปนี้ครับ
สำหรับรายละเอียดของแต่ละการตั้งค่า สามารถอ้างอิงบทความข้างล่างหรือเอกสารในลิงค์นี้ได้ครับ
บริการที่เป็นเป้าหมายในการปิดการใช้งานครั้งนี้
ครั้งนี้ผมจะแนะนำขั้นตอนการปิดการใช้งาน Security Hub ที่เปิดใช้งานในทุก Region ภายใน Secure Account กันครับ
Security Hub คืออะไร
Secure Account เป็นบริการที่สามารถตรวจสอบโดยอัตโนมัติว่าการตั้งค่าความปลอดภัยของทรัพยากร AWS มีส่วนใดที่ไม่เป็นไปตาม best practice หรือไม่ และยังรวบรวมผลการตรวจจับจากบริการด้านความปลอดภัยต่างๆ ไว้ในที่เดียวอีกด้วยครับ
โดยเฉพาะอย่างยิ่ง ฟีเจอร์ที่ตรวจสอบโดยอัตโนมัติว่าการตั้งค่าความปลอดภัยของทรัพยากร AWS เบี่ยงเบนจาก best practice หรือไม่นั้นมีประโยชน์มากครับ
ตัวอย่างเช่น สามารถตรวจจับและแจ้งเตือนสถานการณ์ต่างๆ เช่น การตั้งค่า SSH เป็น 0.0.0.0/0 ในการตั้งค่ากลุ่มความปลอดภัย หรือ S3 ถูกเปิดเผยต่อสาธารณะ เมื่อตั้งค่าอย่างถูกต้อง จะทำหน้าที่เป็นระบบเฝ้าระวังและตรวจจับภัยคุกคามได้อย่างมีประสิทธิภาพครับ
ประโยชน์ของ Security Hub
เหตุผลที่ลูกค้ามักต้องการปิดการใช้งาน Security Hub ส่วนใหญ่มาจากการคิดว่าค่าบริการแพง (ประสิทธิภาพไม่คุ้มค่า) แต่จริงๆ แล้ว Security Hub เป็นบริการที่มีประโยชน์มากครับ ก่อนตัดสินใจปิดการใช้งาน อยากแนะนำให้อ่านบทความด้านล่างนี้ก่อนครับ จะเห็นว่าบริการนี้คุ้มค่ากับเงินที่จ่ายไปจริงๆ
Security Hub ถือเป็นบริการที่จำเป็นอย่างยิ่งสำหรับมาตรการรักษาความปลอดภัยเมื่อใช้งาน AWS
มาตรการรักษาความปลอดภัยเปรียบเสมือนประกันภัย ซึ่งเราอาจรู้สึกว่าไม่เห็นผลชัดเจนในทันที แต่เนื่องจากเป็นบริการที่มีคุณค่ามาก เราจึงแนะนำให้เปิดใช้งานไว้ครับ
ข้อกำหนดเบื้องต้น
1. การปิดใช้งานบริการ (Opt-in) ผ่าน Classmethod Members Portal (CMP)
ในระบบ Secure Account เราจะต้องไปที่เว็บไซต์ Classmethod Members Portal (CMP) เพื่อทำการปิดการใช้งาน Opt-in
หากไม่ปิดการใช้งานในส่วนนี้ ในทุกๆวันเสาร์ Classmethod Members Portal จะทำการเปิดบริการดังกล่าวขึ้นมาใหม่โดยอัตโนมัติถึงแม้เราจะปิดการใช้งาน ใน Console ไปแล้ว ดังนั้น หากต้องการจะปิดการใช้บริการไหน เราต้องปิด Opt-in ในเว็บไซต์ Classmethod Members Portal ก่อนครับ
- อันดับแรก ให้มาที่เว็บไซต์ Classmethod Members Portal จากหัวข้อ "AWS Account" แล้วเลือก Account ID ที่เราต้องการครับ
-
จากนั้นเลื่อนลงมาที่หัวข้อ "Security Settings" แล้วคลิกที่ Edit
-
เลื่อนลงมาที่หัวข้อ "Secure Settings" ให้ติ๊ก "AWS Security Hub" ออก เพื่อปิดการใช้งาน
4. จากนั้นเลื่อนลงมาข้างล่างสุดแล้วกด "Save" เพื่อบันทึกการเปลี่ยนแปลงครับ
2. IAM permission ที่จำเป็นสำหรับดำเนินการปิดการใช้งาน
Policy ใน IAM Permission ที่ผู้ปฏิบัติงานต้องมีสำหรับปิดการใช้งาน Security Hub มีดังนี้ครับ
- AWSCloudShellFullAccess
- AWSSecurityHubFullAccess
- AmazonEC2ReadOnlyAccess
ขั้นตอนการปิดการใช้งาน
เนื่องจาก Security Hub ถูกเปิดใช้ในทุก Region ดังนั้นการปิดแค่ Region เดียวจะไม่หยุดการเรียกเก็บเงินค่า Security Hub (เพราะใน Region ยังเปิดอยู่) ระวังกันด้วยนะครับ
1. ตรวจสอบสถานะปัจจุบันของ Security Hub
เปิด CloudShell และรันคำสั่งต่อไปนี้ครับ (สามารถดูการใช้ Cloudshell ได้ตามลิงค์นี้ครับ)
Note: เนื่องจากวันที่เขียนบทความ (4 พฤศจิกายน พ.ศ. 2568) บริการ Cloudshell ยังไม่มีใน Thailand Region ครับ หากผู้อ่านจะใช้ Cloudshell จำเป็นต้องเปลี่ยนไปใช้ที่ Singapore Region ก่อนครับ
คำสั่งนี้เป็นคำสั่งตรวจสอบสถานะของ Security Hub ครับ
for REGION in $(aws ec2 describe-regions --query "sort(Regions[].RegionName)" --output text); do
HubArn=$(aws securityhub --region "${REGION}" describe-hub --query HubArn --output text 2>/dev/null)
if [ -n "$HubArn" ]; then
# แสดงสถานะที่กำลังเปิดใช้งาน
echo "${REGION}: Enabled"
else
# แสดงสถานะที่กำลังปิดใช้งาน
echo "${REGION}: Disabled"
fi
done
หาก Security Hub เปิดใช้งานในทุก Region ผลลัพธ์ที่แสดงจะเป็นดังนี้
ap-northeast-1: Enabled
ap-northeast-2: Enabled
ap-northeast-3: Enabled
ap-south-1: Enabled
ap-southeast-1: Enabled
ap-southeast-2: Enabled
ca-central-1: Enabled
eu-central-1: Enabled
eu-north-1: Enabled
eu-west-1: Enabled
eu-west-2: Enabled
eu-west-3: Enabled
sa-east-1: Enabled
us-east-1: Enabled
us-east-2: Enabled
us-west-1: Enabled
us-west-2: Enabled
| สถานะที่แสดง | คำอธิบาย |
|---|---|
| Enabled | สถานะเปิดใช้งาน |
| Disabled | สถานะปิดการใช้งาน |
นี่คือผลลัพธ์เมื่อใช้คำสั่งใน CloudShell
2. ปิดการใช้งาน Security Hub
วิธี 1: ปิดการใช้งาน Security Hub ผ่าน CloudShell
วิธีนี้เป็นวิธีแนะนำเวลาต้องการปิดการใช้งานในหลาย Region ครับ ความจริงเราจะปิดด้วยตัวเองผ่าน Console ได้เช่นกัน แต่เพราะเราต้องคอยปิดเองในทุก Region ซึ่งเหนื่อยมากครับ ดังนั้น หากปิดหลาย Region พิมพ์คำสั่งผ่าน CloudShell จะสะดวกกว่าครับ
ขั้นตอนการปิดการใช้งาน
- คำสั่งปิดการใช้งานทุก Region
aws ec2 describe-regions --query Regions[*].RegionName \
| jq -r '.[]' \
| while read -r REGION
do
HubArn=$(aws securityhub --region "${REGION}" describe-hub --query HubArn --output text 2>/dev/null)
if [ -n "$HubArn" ]; then
aws --region "${REGION}" securityhub disable-security-hub
echo "${REGION}: Disabled"
fi
done
- กรณีต้องการยกเว้นบาง Region
กรณีต้องการยกเว้นบาง Region ที่เราไม่ต้องการปิดการใช้งาน สามารถเติมคำสั่ง
grep -v -e [ชื่อ Region 1] -e [ชื่อ Region 2] ... \
โดยเราสามารถเติม -e เพื่อเพิ่ม Region ที่จะยกเว้นไปได้เรื่อยๆครับ
ตัวอย่างด้านล่าง เป็นคำสั่งปิด Security Hub ทุก Region ยกเว้น Singapore กับ North Virginia ครับ
aws ec2 describe-regions --query Regions[*].RegionName \
| jq -r '.[]' \
| grep -v -e 'ap-southeast-1' -e 'us-east-1' \
| while read -r REGION
do
HubArn=$(aws securityhub --region "${REGION}" describe-hub --query HubArn --output text 2>/dev/null)
if [ -n "$HubArn" ]; then
aws --region "${REGION}" securityhub disable-security-hub
echo "${REGION}: Disabled"
fi
done
นี่คือผลลัพธ์เมื่อปิดการใช้งานทุก region ใน Cloudshell
วิธี 2: ปิดการใช้งานผ่าน AWS Console
เนื่องจากการปิดการใช้งาน Security Hub ในคอนโซล จะต้องทยอยปิดทีละ Region ซึ่งจะเหมาะกับการปิดเพียงไม่กี่ Region ครับ
- อันดับแรก เปิด Security Hub จากหน้าจอ AWS Console แล้ว ไปที่หัวข้อ "Settings" และเลือก "General" จากเมนู
- เลือก “Disable AWS Security Hub”
- จากนั้นกด “Disable AWS Security Hub” เพื่อปิดการใช้งาน
- เมื่อปิดการใช้งานแล้ว จะเปลี่ยนไปยังหน้าแรกของ Security Hub
3. ตรวจสอบสถานะ
สามารถรันคำสั่งนี้ใน CloudShell เพื่อตรวจสอบสถานะ Security Hub ของทุก Region ครับ
for REGION in $(aws ec2 describe-regions --query "sort(Regions[].RegionName)" --output text); do
HubArn=$(aws securityhub --region "${REGION}" describe-hub --query HubArn --output text 2>/dev/null)
if [ -n "$HubArn" ]; then
# แสดงสถานะที่กำลังเปิดใช้งาน
echo "${REGION}: Enabled"
else
# แสดงสถานะที่กำลังปิดใช้งาน
echo "${REGION}: Disabled"
fi
done
เมื่อทุก Region หยุดทำงาน จะแสดงผลดังนี้ครับ
ap-northeast-1: Disabled
ap-northeast-2: Disabled
ap-northeast-3: Disabled
ap-south-1: Disabled
ap-southeast-1: Disabled
ap-southeast-2: Disabled
ca-central-1: Disabled
eu-central-1: Disabled
eu-north-1: Disabled
eu-west-1: Disabled
eu-west-2: Disabled
eu-west-3: Disabled
sa-east-1: Disabled
us-east-1: Disabled
us-east-2: Disabled
us-west-1: Disabled
us-west-2: Disabled
| สถานะที่แสดง | คำอธิบาย |
|---|---|
| Enabled | สถานะเปิดใช้งาน |
| Disabled | สถานะปิดการใช้งาน |
4. หากต้องการเปิดการใช้งานอีกครั้ง
- ให้มาที่เว็บไซต์ ClassMethod Members Portal(CMP) จากหัวข้อ "AWS Account" ให้เลือก Account ID ที่เราต้องการครับ
- จากนั้นเลื่อนลงมาที่หัวข้อ "Security Settings" แล้วคลิกที่ "Edit"
-
ที่หัวข้อ "Secure Settings" ให้ติ๊กเปิดการใช้งาน AWS Security Hub อีกครั้ง
-
จากนั้นเลื่อนลงมาข้างล่างสุดแล้วกด "Save" เพื่อบันทึกการเปลี่ยนแปลงครับ
ส่งท้าย
จบไปแล้วกับบทความ การคืนการตั้งค่า Secure Account: ขั้นตอนการปิดการใช้งาน AWS Security Hub หวังว่าผู้อ่านทุกท่านจะได้รับประโยชน์จากบทความนี้ครับ แล้วเจอกันใหม่บทความหน้า สวัสดีครับ
บทความต้นฉบับ
- 【セキュアアカウント切り戻し手順】AWS Security Hub無効化手順のご案内(บทความภาษาญี่ปุ่น)
