อัพเดทบริการ AWS Security Hub ในปี 2024

อัพเดทบริการ AWS Security Hub ในปี 2024

บทความนี้เป็นการแนะนำฟังก์ชั่นใหม่ของ AWS Security Hub ซึ่งได้อ้างอิงเนื้อหามาจาก คุณ たかやま

บทความนี้แปลมาจากบทความที่เป็นภาษาญี่ปุ่นที่ชื่อว่า AWS入門ブログリレー2024〜AWS Security Hub編〜 โดยเจ้าของบทความนี้คือ คุณ たかやま

AWS Security Hub คืออะไร

AWS Security Hub เป็นบริการที่ทำให้สามารถมองเห็นและจัดการสถานะความปลอดภัยของบัญชี AWS ทั้งหมดได้จากที่เดียว นอกจากนี้ยังสามารถรวบรวมและบริหารจัดการผลการตรวจจับด้านความปลอดภัยจากบริการต่างๆ ของ AWS และ partner solutions ได้อีกด้วย

การตรวจสอบความปลอดภัยจำเป็นต้องใช้ AWS Config ด้วย ดังนั้นจึงจำเป็นต้องเปิดใช้งาน AWS Config

ในครั้งนี้ เราจะพูดถึงฟีเจอร์ของ Security Hub โดยอ้างอิงจากหน้าจอคอนโซลตามรายละเอียดด้านล่างนี้
※รวมถึงฟีเจอร์ภายใต้สภาพแวดล้อมของ AWS Organizations ด้วย
อัพเดทบริการ AWS Security Hub ในปี 2024_20240730-1

ข้อมูลเบื้องต้นเกี่ยวกับแต่ละฟังก์ชัน

Summary

ในหน้า 'Summary' ซึ่งเป็นหน้าแรกเมื่อเข้าสู่ Security Hub จะมีแดชบอร์ดให้ตรวจสอบสถานะของ Security Hub
อัพเดทบริการ AWS Security Hub ในปี 2024_20240730-2
แดชบอร์ดนี้สามารถให้ผู้ใช้ปรับแต่งวิดเจ็ตและเงื่อนไขการคิวรีได้อย่างอิสระ
อัพเดทบริการ AWS Security Hub ในปี 2024_20240730-3
สิ่งที่ปรับแต่งแล้วมีดังต่อไปนี้: เนื้อหาของคิวรีจะแสดงผลลัพธ์ในวิดเจ็ตบางตัว เช่น Assets ที่มีผลการตรวจสอบมากที่สุดหรือ Resources ที่มีผลการตรวจสอบมากที่สุด

หากต้องการรีเซ็ตเนื้อหา สามารถเลือก "Reset to default layout" ที่มุมขวาบนเพื่อทำการรีเซ็ตได้
อัพเดทบริการ AWS Security Hub ในปี 2024_20240730-7
อ้างอิง: Working with the Summary

Controls

"Controls" จะมีการแสดงรายการการควบคุมที่สามารถใช้งานได้ตามมาตรฐานความปลอดภัยที่ระบุไว้โดยจะกล่าวถึงในภายหลัง
อัพเดทบริการ AWS Security Hub ในปี 2024_20240730-8
หากต้องการตรวจสอบรายละเอียดสถานะการตรวจจับของ Security Hub ก่อนอื่นจะต้องตรวจสอบ Overview

โดยการเลือกการควบคุมที่ต้องการตรวจสอบ สามารถดูรายละเอียดของการควบคุมนั้นได้ เช่น EC2.8 จะมีรายละเอียดดังนี้
อัพเดทบริการ AWS Security Hub ในปี 2024_20240730-9
เราสามารถพิจารณาสถานะ resources ได้ดังต่อไปนี้

  • NEW : สถานะเริ่มต้นของผลลัพธ์ก่อนการตรวจสอบ
  • NOTIFIED : มีการแจ้งเจ้าของ resources เกี่ยวกับปัญหาด้านความปลอดภัยแล้ว
  • SUPPRESSED : ผลลัพธ์ได้รับการตรวจสอบแล้วและไม่จำเป็นต้องดำเนินการใดๆ
  • RESOLVED : ผลลัพธ์ได้รับการตรวจสอบและแก้ไขแล้ว
    • อย่างไรก็ตาม หากเกิดเหตุการณ์ใดเหตุการณ์หนึ่งต่อไปนี้ สถานะจะถูกรีเซ็ตเป็น NEW โดยอัตโนมัติ
    • เมื่อ RecordState เปลี่ยนจาก ARCHIVED เป็น ACTIVE
    • เมื่อ Compliance.Status เปลี่ยนจาก PASSED เป็น FAILED, WARNING, หรือ NOT_AVAILABLE
      ในกรณีที่การควบคุมบางอย่างไม่สอดคล้องกับนโยบายขององค์กรและไม่จำเป็นต้องตรวจสอบ สามารถระงับการควบคุมเหล่านั้นได้

เมื่อทำการปิดใช้งาน Controls คุณจำเป็นต้องเลือกเหตุผลในการปิดใช้งานที่มีให้หรือเขียนเหตุผลเอง
อัพเดทบริการ AWS Security Hub ในปี 2024_20240730-10
อ้างอิง: Viewing and managing security controls

Security standards

"Security standards" เป็นฟังก์ชันหลักของ Security Hub ที่สามารถใช้ในการประเมินความปลอดภัยของสภาพแวดล้อม AWS โดยอิงตามมาตรฐานต่อไปนี้
อัพเดทบริการ AWS Security Hub ในปี 2024_20240730-11

  • AWS Foundational Security Best Practices v1.0.0
  • AWS Resource Tagging Standard v1.0.0
  • CIS AWS Foundations Benchmark v1.2.0
  • CIS AWS Foundations Benchmark v1.4.0
  • CIS AWS Foundations Benchmark v3.0.0
  • NIST Special Publication 800-53 Revision 5
  • PCI DSS v3.2.1
    หากไม่มีข้อกำหนดการปฏิบัติตามมาตรฐาน CIS/NIST/PCI DSS และต้องการประเมินความปลอดภัยของสภาพแวดล้อม AWS ก่อนเป็นอันดับแรก แนะนำให้เปิดใช้งาน "AWS Foundational Security Best Practices v1.0.0" ซึ่งมีบริการที่ตรวจสอบมากและมีการอัปเดตบ่อยๆ
    สามารถตรวจสอบ Controls ที่ใช้กับมาตรฐานความปลอดภัยแต่ละข้อได้จาก Security Hub standards reference

อ้างอิง: Security controls and standards in AWS Security Hub

Insights

"Insight" เป็นฟังก์ชันที่ให้พื้นที่ความปลอดภัยที่ควรให้ความสำคัญโดยอิงจากข้อมูล filter ที่กำหนดไว้ล่วงหน้าในผลการตรวจจับของ Security Hub

โดยค่าเริ่มต้น ระบบมีการจัดการ Insight ที่มีมากถึง 35 รายการดังต่อไปนี้
อัพเดทบริการ AWS Security Hub ในปี 2024_20240730-12
นอกจาก Managed Insights แล้ว ผู้ใช้ยังสามารถสร้าง Custom Insights โดยการตั้งค่าเงื่อนไข filter ได้อย่างอิสระ

หากต้องการสร้าง Custom Insights คุณสามารถกำหนดเงื่อนไข filter สำหรับข้อมูลที่ต้องการดึงออกมา และตั้งค่าเงื่อนไขการจัดกลุ่มเพื่อกำหนด Insights ได้
อัพเดทบริการ AWS Security Hub ในปี 2024_20240730-13
สามารถแสดง Custom Insights ได้โดยการเลือก Custom Insights ใน filter การค้นหา
อัพเดทบริการ AWS Security Hub ในปี 2024_20240730-14
อ้างอิง: Insights in AWS Security Hub

Findings

"Findings" เป็นฟังก์ชันที่แสดงข้อมูลความปลอดภัยจากบริการ AWS อื่น ๆ และ partner solutions นอกเหนือจากข้อมูลการควบคุมของ Security Hub ในที่เดียว
อัพเดทบริการ AWS Security Hub ในปี 2024_20240730-16
ในผลการตรวจจับ นอกจากข้อมูลการควบคุมของ Security Hub แล้ว ยังสามารถแสดงข้อมูลความปลอดภัยที่ถูกรวบรวมผ่านฟังก์ชันการรวมที่กล่าวถึงในภายหลังได้ในที่เดียว

ต่อไปนี้คือตัวอย่างการรวบรวมผลลัพธ์จาก GuardDuty และการตรวจสอบผลลัพธ์ใน Security Hub
อัพเดทบริการ AWS Security Hub ในปี 2024_20240730-17
ในหน้าจอนี้ คุณสามารถตรวจสอบรายละเอียดของผลการตรวจจับได้

การใช้งานร่วมกับมุมมองการควบคุมแบบรวมจะเป็นดังต่อไปนี้

  • มุมมองการควบคุมแบบรวม: ทำการตรวจสอบรายการที่ตรวจจับได้โดยอิงตาม Control ID ของ Security Hub
  • ผลการตรวจจับ: แสดงผลการตรวจจับจากการควบคุมของ Security Hub, บริการของ AWS และ partner solutions ในที่เดียว และตรวจสอบรายละเอียดของผลการตรวจจับ
    • การตรวจสอบประวัติการเปลี่ยนแปลงของ Security Hub
      อ้างอิง: Findings in AWS Security Hub

Integrations

"Integrations" เป็นฟังก์ชันที่ตั้งค่าการรวมบริการ AWS และ partner solutions เข้ากับ Security Hub การรวมกันนี้จะช่วยให้สามารถแสดงข้อมูลความปลอดภัยจากบริการ AWS และ partner solutions ในที่เดียวในผลการตรวจจับที่กล่าวถึงก่อนหน้านี้ได้
อัพเดทบริการ AWS Security Hub ในปี 2024_20240730-15
การรวมระหว่างบริการของ AWS จะถูกดำเนินการโดยอัตโนมัติเมื่อบริการที่เกี่ยวข้องถูกเปิดใช้งาน สำหรับ partner solutions ผู้ใช้จำเป็นต้องตั้งค่า Integrations ด้วยตนเอง
กรุณาตรวจสอบเอกสารนี้เพื่อดูว่า partner solutions ที่คุณใช้อยู่สามารถใช้ร่วมกับ Security Hub ได้หรือไม่

  • Available third-party partner product integrations
    Tips: เมื่อใช้ Integrations คุณสามารถแจ้งข้อมูลความปลอดภัยของแต่ละผลิตภัณฑ์โดยมี Security Hub เป็นศูนย์กลางได้

Automations

"Automation" เป็นฟังก์ชันที่ทำให้สามารถตอบสนองต่อผลการตรวจจับได้โดยอัตโนมัติ ในตัวอย่างด้านล่างนี้ มีการตั้งค่า Automation เพื่อระงับผลการตรวจจับโดยอัตโนมัติสำหรับการควบคุม S3.9/S3.11 ที่ตรวจพบในทรัพยากรที่สร้างขึ้นโดย CDK Bootstrap
อัพเดทบริการ AWS Security Hub ในปี 2024_20240730-21
อ้างอิง: Automation rules

Custom actions

"Custom Actions" เป็นฟังก์ชันที่ส่งผลการตรวจจับหรือผลลัพธ์ของ Insight แต่ละรายการไปยัง EventBridge

ในกรณีการใช้งาน ผู้ใช้สามารถส่งผลการตรวจจับหรือผลลัพธ์ของ Insight ไปยัง EventBridge ในช่วงเวลาที่ผู้ใช้ต้องการ และใช้ Lambda หรือเครื่องมืออื่น ๆ เพื่อดำเนินการอัตโนมัติ
อ้างอิง: Selecting a custom action for findings and insight results

General

"General" เป็นฟังก์ชันที่ใช้สำหรับการตั้งค่าทั่วไป เช่น การตั้งค่าผู้ดูแลระบบที่ได้รับมอบหมาย การตั้งค่าการควบคุม และการปิดใช้งาน Security Hub
อัพเดทบริการ AWS Security Hub ในปี 2024_20240730-19
ผลการตรวจจับของการควบคุมที่ถูกรวมเข้าด้วยกันอาจมีการตั้งค่าที่แตกต่างกันไปในแต่ละบัญชี ขึ้นอยู่กับช่วงเวลาที่สร้าง Security Hub (23 กุมภาพันธ์ 2023)

  • ก่อนวันที่ 23 กุมภาพันธ์ 2023: ผลการตรวจจับของการควบคุมที่ถูกรวมเข้าด้วยกันถูกปิดอยู่
  • หลังวันที่ 23 กุมภาพันธ์ 2023: ผลการตรวจจับของการควบคุมที่ถูกรวมเข้าด้วยกันถูกเปิดอยู่
    หากเปิดใช้งานตั้งแต่แรกก็จะไม่มีปัญหา แต่ถ้าต้องการเปลี่ยนจากปิด -> เปิด จะต้องระวังเนื่องจากรูปแบบของผลการตรวจจับใน Security Hub จะเปลี่ยนไป ซึ่งอาจมีผลต่อระบบการแจ้งเตือนที่มีอยู่เดิม

Regions

"Region" เป็นฟังก์ชันที่ให้บริการการรวมข้อมูลระหว่างภูมิภาคใน Security Hub
อัพเดทบริการ AWS Security Hub ในปี 2024_20240730-18
ด้วยฟังก์ชันนี้ จึงสามารถรวมข้อมูลความปลอดภัยจากแต่ละภูมิภาคไว้ด้วยกัน เพื่อเพิ่มประสิทธิภาพในการตั้งค่าการแจ้งเตือนโดยการรวมกับฟังก์ชัน Integrations ที่กล่าวถึงก่อนหน้านี้ และทำให้การขยายการตั้งค่า Security Hub ผ่านการตั้งค่ากลางที่กล่าวถึงในภายหลังเป็นเรื่องง่ายขึ้น

โดยปกติแล้ว แนะนำให้ตั้งค่า Integrations สำหรับภูมิภาคที่ใช้ Security Hub
อ้างอิง: Cross-Region aggregation

Configuration

ใน "Configuration" หากมีหลายบัญชี คุณสามารถเชื่อมโยงบัญชีที่ใช้ Security Hub เป็นบัญชีสมาชิกกับบัญชีผู้ดูแลระบบได้ การเชื่อมโยงนี้จะช่วยให้สามารถตรวจสอบสถานะความปลอดภัยของบัญชีสมาชิกจากบัญชีผู้ดูแลระบบ และ (ในกรณีการตั้งค่ากลาง) ผู้ดูแลระบบสามารถจัดการการตั้งค่า Security Hub ของบัญชีสมาชิกได้
อัพเดทบริการ AWS Security Hub ในปี 2024_20240730-19
บางท่านอาจสังเกตเห็นว่าหน้าจอนี้แตกต่างจาก "Configuration" ในสภาพแวดล้อมของตนเอง ปัจจุบัน Security Hub มีการตั้งค่าการจัดการแบบดั้งเดิมที่เป็นการตั้งค่าในท้องถิ่น และการตั้งค่าการจัดการใหม่ที่เป็นการตั้งค่ากลาง หน้าจอข้างต้นเป็นของการตั้งค่าการจัดการใหม่ที่เรียกว่า การตั้งค่ากลาง

การเปรียบเทียบระหว่างการตั้งค่าในท้องถิ่น (Local Configuration) และการตั้งค่ากลาง (Central Configuration) มีดังนี้ โดยพื้นฐานแล้ว หากสภาพแวดล้อมของผู้ใช้สามารถใช้การตั้งค่ากลางได้ แนะนำให้ใช้การตั้งค่ากลาง

Central Configuration

Pros

  • สามารถตั้งค่ามาตรฐานความปลอดภัย/การปิดใช้งานการควบคุม/การปรับแต่งการควบคุมได้อย่างละเอียดด้วย policies
  • สามารถจัดการ Security Hub ระหว่าง region ได้ใน region เดียว
  • สามารถกำหนดการใช้หรือละเว้น policies ตามหน่วยองค์กร (OU) ใน AWS Organizations ได้
  • สามารถป้องกันไม่ให้บัญชีสมาชิกเปลี่ยนแปลงการตั้งค่า Security Hub ได้
    • การระงับผลการตรวจจับสามารถทำได้จากบัญชีสมาชิกด้วย

Cons

  • ไม่สามารถเปลี่ยนการตั้งค่าได้ตามแต่ละ region

Local Configuration (ใช้ Organizations)

Pros

  • เมื่อเทียบกับการตั้งค่าแบบโลคอล (ที่ไม่ใช้ AWS Organizations) ฟีเจอร์การเปิดใช้งานอัตโนมัติของ Security Hub จะถูกใช้งาน
  • สามารถเปลี่ยนการตั้งค่าได้ตามแต่ละ region

Cons

  • มีความยืดหยุ่นน้อยสำหรับการตั้งค่าการเปิดใช้งานอัตโนมัติ
  • ไม่สามารถป้องกันไม่ให้บัญชีสมาชิกเปลี่ยนแปลงการตั้งค่า Security Hub ได้

Local Configuration (ไม่ใช้ Organizations)

Pros

  • สามารถใช้งานได้แม้ในสภาพแวดล้อมที่ไม่ใช่ AWS Organizations

Cons

  • ฟีเจอร์ต่าง ๆ เช่น การเปิดใช้งานอัตโนมัติจะไม่สามารถใช้งานได้

Usage

"Usage" เป็นฟังก์ชันที่ใช้ตรวจสอบสถานะการใช้งานของ Security Hub
อัพเดทบริการ AWS Security Hub ในปี 2024_20240730-20
สามารถตรวจสอบจำนวนข้อมูลที่ถูกนำเข้าจากการตรวจสอบมาตรฐานความปลอดภัยของ Security Hub และการรวมข้อมูล และรับทราบค่าใช้จ่ายได้

สำหรับรายละเอียดราคา สามารถดูได้ที่นี่
AWS Security Hub Pricing
หากยังไม่แน่ใจเกี่ยวกับค่าใช้จ่ายของ Security Hub ก็สามารถทดลองใช้ฟรี 30 วันก่อน เพื่อทำความเข้าใจเกี่ยวกับค่าใช้จ่ายได้
(อย่างไรก็ตาม ไม่ว่าจะมีค่าใช้จ่ายหรือไม่ ขอแนะนำให้เปิดใช้งานตาม best practices สำหรับความปลอดภัยพื้นฐานของ Security Hub)
อ้างอิง: What is AWS Security Hub?

สรุป

Security Hub ถือว่าเป็น service ที่สำคัญอย่างมากสำหรับบริการด้าน security เปรียบเสมือน hub ที่เป็นศูนย์กลางการจัดการให้ service ต่างๆเช่น GuardDuty, Config และ Inspector ทำให้เราไม่ต้องไปตรวจสอบทีละ service หวังว่าการอัพเดทเนื้อหาในครั้งนี้จะช่วยให้สามารถใช้งาน Security Hub ได้มากขึ้น

บทความต้นฉบับ

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.