อัพเดทบริการ AWS Security Hub ในปี 2024

บทความนี้แปลมาจากบทความที่เป็นภาษาญี่ปุ่นที่ชื่อว่า AWS入門ブログリレー2024〜AWS Security Hub編〜 โดยเจ้าของบทความนี้คือ คุณ たかやま

AWS Security Hub คืออะไร

AWS Security Hub เป็นบริการที่ทำให้สามารถมองเห็นและจัดการสถานะความปลอดภัยของบัญชี AWS ทั้งหมดได้จากที่เดียว นอกจากนี้ยังสามารถรวบรวมและบริหารจัดการผลการตรวจจับด้านความปลอดภัยจากบริการต่างๆ ของ AWS และ partner solutions ได้อีกด้วย

การตรวจสอบความปลอดภัยจำเป็นต้องใช้ AWS Config ด้วย ดังนั้นจึงจำเป็นต้องเปิดใช้งาน AWS Config

ในครั้งนี้ เราจะพูดถึงฟีเจอร์ของ Security Hub โดยอ้างอิงจากหน้าจอคอนโซลตามรายละเอียดด้านล่างนี้
※รวมถึงฟีเจอร์ภายใต้สภาพแวดล้อมของ AWS Organizations ด้วย

ข้อมูลเบื้องต้นเกี่ยวกับแต่ละฟังก์ชัน

Summary

ในหน้า 'Summary' ซึ่งเป็นหน้าแรกเมื่อเข้าสู่ Security Hub จะมีแดชบอร์ดให้ตรวจสอบสถานะของ Security Hub

แดชบอร์ดนี้สามารถให้ผู้ใช้ปรับแต่งวิดเจ็ตและเงื่อนไขการคิวรีได้อย่างอิสระ

สิ่งที่ปรับแต่งแล้วมีดังต่อไปนี้: เนื้อหาของคิวรีจะแสดงผลลัพธ์ในวิดเจ็ตบางตัว เช่น Assets ที่มีผลการตรวจสอบมากที่สุดหรือ Resources ที่มีผลการตรวจสอบมากที่สุด

หากต้องการรีเซ็ตเนื้อหา สามารถเลือก "Reset to default layout" ที่มุมขวาบนเพื่อทำการรีเซ็ตได้

อ้างอิง: Working with the Summary

Controls

"Controls" จะมีการแสดงรายการการควบคุมที่สามารถใช้งานได้ตามมาตรฐานความปลอดภัยที่ระบุไว้โดยจะกล่าวถึงในภายหลัง

หากต้องการตรวจสอบรายละเอียดสถานะการตรวจจับของ Security Hub ก่อนอื่นจะต้องตรวจสอบ Overview

โดยการเลือกการควบคุมที่ต้องการตรวจสอบ สามารถดูรายละเอียดของการควบคุมนั้นได้ เช่น EC2.8 จะมีรายละเอียดดังนี้

เราสามารถพิจารณาสถานะ resources ได้ดังต่อไปนี้

• NEW : สถานะเริ่มต้นของผลลัพธ์ก่อนการตรวจสอบ
• NOTIFIED : มีการแจ้งเจ้าของ resources เกี่ยวกับปัญหาด้านความปลอดภัยแล้ว
• SUPPRESSED : ผลลัพธ์ได้รับการตรวจสอบแล้วและไม่จำเป็นต้องดำเนินการใดๆ
• RESOLVED : ผลลัพธ์ได้รับการตรวจสอบและแก้ไขแล้ว
  • อย่างไรก็ตาม หากเกิดเหตุการณ์ใดเหตุการณ์หนึ่งต่อไปนี้ สถานะจะถูกรีเซ็ตเป็น NEW โดยอัตโนมัติ
  • เมื่อ RecordState เปลี่ยนจาก ARCHIVED เป็น ACTIVE
  • เมื่อ Compliance.Status เปลี่ยนจาก PASSED เป็น FAILED, WARNING, หรือ NOT_AVAILABLE
    ในกรณีที่การควบคุมบางอย่างไม่สอดคล้องกับนโยบายขององค์กรและไม่จำเป็นต้องตรวจสอบ สามารถระงับการควบคุมเหล่านั้นได้

เมื่อทำการปิดใช้งาน Controls คุณจำเป็นต้องเลือกเหตุผลในการปิดใช้งานที่มีให้หรือเขียนเหตุผลเอง

อ้างอิง: Viewing and managing security controls

Security standards

"Security standards" เป็นฟังก์ชันหลักของ Security Hub ที่สามารถใช้ในการประเมินความปลอดภัยของสภาพแวดล้อม AWS โดยอิงตามมาตรฐานต่อไปนี้

• AWS Foundational Security Best Practices v1.0.0
• AWS Resource Tagging Standard v1.0.0
• CIS AWS Foundations Benchmark v1.2.0
• CIS AWS Foundations Benchmark v1.4.0
• CIS AWS Foundations Benchmark v3.0.0
• NIST Special Publication 800-53 Revision 5
• PCI DSS v3.2.1
  หากไม่มีข้อกำหนดการปฏิบัติตามมาตรฐาน CIS/NIST/PCI DSS และต้องการประเมินความปลอดภัยของสภาพแวดล้อม AWS ก่อนเป็นอันดับแรก แนะนำให้เปิดใช้งาน "AWS Foundational Security Best Practices v1.0.0" ซึ่งมีบริการที่ตรวจสอบมากและมีการอัปเดตบ่อยๆ
  สามารถตรวจสอบ Controls ที่ใช้กับมาตรฐานความปลอดภัยแต่ละข้อได้จาก Security Hub standards reference

อ้างอิง: Security controls and standards in AWS Security Hub

Insights

"Insight" เป็นฟังก์ชันที่ให้พื้นที่ความปลอดภัยที่ควรให้ความสำคัญโดยอิงจากข้อมูล filter ที่กำหนดไว้ล่วงหน้าในผลการตรวจจับของ Security Hub

โดยค่าเริ่มต้น ระบบมีการจัดการ Insight ที่มีมากถึง 35 รายการดังต่อไปนี้

นอกจาก Managed Insights แล้ว ผู้ใช้ยังสามารถสร้าง Custom Insights โดยการตั้งค่าเงื่อนไข filter ได้อย่างอิสระ

หากต้องการสร้าง Custom Insights คุณสามารถกำหนดเงื่อนไข filter สำหรับข้อมูลที่ต้องการดึงออกมา และตั้งค่าเงื่อนไขการจัดกลุ่มเพื่อกำหนด Insights ได้

สามารถแสดง Custom Insights ได้โดยการเลือก Custom Insights ใน filter การค้นหา

อ้างอิง: Insights in AWS Security Hub

Findings

"Findings" เป็นฟังก์ชันที่แสดงข้อมูลความปลอดภัยจากบริการ AWS อื่น ๆ และ partner solutions นอกเหนือจากข้อมูลการควบคุมของ Security Hub ในที่เดียว

ในผลการตรวจจับ นอกจากข้อมูลการควบคุมของ Security Hub แล้ว ยังสามารถแสดงข้อมูลความปลอดภัยที่ถูกรวบรวมผ่านฟังก์ชันการรวมที่กล่าวถึงในภายหลังได้ในที่เดียว

ต่อไปนี้คือตัวอย่างการรวบรวมผลลัพธ์จาก GuardDuty และการตรวจสอบผลลัพธ์ใน Security Hub

ในหน้าจอนี้ คุณสามารถตรวจสอบรายละเอียดของผลการตรวจจับได้

การใช้งานร่วมกับมุมมองการควบคุมแบบรวมจะเป็นดังต่อไปนี้

• มุมมองการควบคุมแบบรวม: ทำการตรวจสอบรายการที่ตรวจจับได้โดยอิงตาม Control ID ของ Security Hub
• ผลการตรวจจับ: แสดงผลการตรวจจับจากการควบคุมของ Security Hub, บริการของ AWS และ partner solutions ในที่เดียว และตรวจสอบรายละเอียดของผลการตรวจจับ
  • การตรวจสอบประวัติการเปลี่ยนแปลงของ Security Hub
    อ้างอิง: Findings in AWS Security Hub

Integrations

"Integrations" เป็นฟังก์ชันที่ตั้งค่าการรวมบริการ AWS และ partner solutions เข้ากับ Security Hub การรวมกันนี้จะช่วยให้สามารถแสดงข้อมูลความปลอดภัยจากบริการ AWS และ partner solutions ในที่เดียวในผลการตรวจจับที่กล่าวถึงก่อนหน้านี้ได้

การรวมระหว่างบริการของ AWS จะถูกดำเนินการโดยอัตโนมัติเมื่อบริการที่เกี่ยวข้องถูกเปิดใช้งาน สำหรับ partner solutions ผู้ใช้จำเป็นต้องตั้งค่า Integrations ด้วยตนเอง
กรุณาตรวจสอบเอกสารนี้เพื่อดูว่า partner solutions ที่คุณใช้อยู่สามารถใช้ร่วมกับ Security Hub ได้หรือไม่

• Available third-party partner product integrations
  Tips: เมื่อใช้ Integrations คุณสามารถแจ้งข้อมูลความปลอดภัยของแต่ละผลิตภัณฑ์โดยมี Security Hub เป็นศูนย์กลางได้

Automations

"Automation" เป็นฟังก์ชันที่ทำให้สามารถตอบสนองต่อผลการตรวจจับได้โดยอัตโนมัติ ในตัวอย่างด้านล่างนี้ มีการตั้งค่า Automation เพื่อระงับผลการตรวจจับโดยอัตโนมัติสำหรับการควบคุม S3.9/S3.11 ที่ตรวจพบในทรัพยากรที่สร้างขึ้นโดย CDK Bootstrap

อ้างอิง: Automation rules

Custom actions

"Custom Actions" เป็นฟังก์ชันที่ส่งผลการตรวจจับหรือผลลัพธ์ของ Insight แต่ละรายการไปยัง EventBridge

ในกรณีการใช้งาน ผู้ใช้สามารถส่งผลการตรวจจับหรือผลลัพธ์ของ Insight ไปยัง EventBridge ในช่วงเวลาที่ผู้ใช้ต้องการ และใช้ Lambda หรือเครื่องมืออื่น ๆ เพื่อดำเนินการอัตโนมัติ
อ้างอิง: Selecting a custom action for findings and insight results

General

"General" เป็นฟังก์ชันที่ใช้สำหรับการตั้งค่าทั่วไป เช่น การตั้งค่าผู้ดูแลระบบที่ได้รับมอบหมาย การตั้งค่าการควบคุม และการปิดใช้งาน Security Hub

ผลการตรวจจับของการควบคุมที่ถูกรวมเข้าด้วยกันอาจมีการตั้งค่าที่แตกต่างกันไปในแต่ละบัญชี ขึ้นอยู่กับช่วงเวลาที่สร้าง Security Hub (23 กุมภาพันธ์ 2023)

• ก่อนวันที่ 23 กุมภาพันธ์ 2023: ผลการตรวจจับของการควบคุมที่ถูกรวมเข้าด้วยกันถูกปิดอยู่
• หลังวันที่ 23 กุมภาพันธ์ 2023: ผลการตรวจจับของการควบคุมที่ถูกรวมเข้าด้วยกันถูกเปิดอยู่
  หากเปิดใช้งานตั้งแต่แรกก็จะไม่มีปัญหา แต่ถ้าต้องการเปลี่ยนจากปิด -> เปิด จะต้องระวังเนื่องจากรูปแบบของผลการตรวจจับใน Security Hub จะเปลี่ยนไป ซึ่งอาจมีผลต่อระบบการแจ้งเตือนที่มีอยู่เดิม

Regions

"Region" เป็นฟังก์ชันที่ให้บริการการรวมข้อมูลระหว่างภูมิภาคใน Security Hub

ด้วยฟังก์ชันนี้ จึงสามารถรวมข้อมูลความปลอดภัยจากแต่ละภูมิภาคไว้ด้วยกัน เพื่อเพิ่มประสิทธิภาพในการตั้งค่าการแจ้งเตือนโดยการรวมกับฟังก์ชัน Integrations ที่กล่าวถึงก่อนหน้านี้ และทำให้การขยายการตั้งค่า Security Hub ผ่านการตั้งค่ากลางที่กล่าวถึงในภายหลังเป็นเรื่องง่ายขึ้น

โดยปกติแล้ว แนะนำให้ตั้งค่า Integrations สำหรับภูมิภาคที่ใช้ Security Hub
อ้างอิง: Cross-Region aggregation

Configuration

ใน "Configuration" หากมีหลายบัญชี คุณสามารถเชื่อมโยงบัญชีที่ใช้ Security Hub เป็นบัญชีสมาชิกกับบัญชีผู้ดูแลระบบได้ การเชื่อมโยงนี้จะช่วยให้สามารถตรวจสอบสถานะความปลอดภัยของบัญชีสมาชิกจากบัญชีผู้ดูแลระบบ และ (ในกรณีการตั้งค่ากลาง) ผู้ดูแลระบบสามารถจัดการการตั้งค่า Security Hub ของบัญชีสมาชิกได้

บางท่านอาจสังเกตเห็นว่าหน้าจอนี้แตกต่างจาก "Configuration" ในสภาพแวดล้อมของตนเอง ปัจจุบัน Security Hub มีการตั้งค่าการจัดการแบบดั้งเดิมที่เป็นการตั้งค่าในท้องถิ่น และการตั้งค่าการจัดการใหม่ที่เป็นการตั้งค่ากลาง หน้าจอข้างต้นเป็นของการตั้งค่าการจัดการใหม่ที่เรียกว่า การตั้งค่ากลาง

การเปรียบเทียบระหว่างการตั้งค่าในท้องถิ่น (Local Configuration) และการตั้งค่ากลาง (Central Configuration) มีดังนี้ โดยพื้นฐานแล้ว หากสภาพแวดล้อมของผู้ใช้สามารถใช้การตั้งค่ากลางได้ แนะนำให้ใช้การตั้งค่ากลาง

Central Configuration

Pros

• สามารถตั้งค่ามาตรฐานความปลอดภัย/การปิดใช้งานการควบคุม/การปรับแต่งการควบคุมได้อย่างละเอียดด้วย policies
• สามารถจัดการ Security Hub ระหว่าง region ได้ใน region เดียว
• สามารถกำหนดการใช้หรือละเว้น policies ตามหน่วยองค์กร (OU) ใน AWS Organizations ได้
• สามารถป้องกันไม่ให้บัญชีสมาชิกเปลี่ยนแปลงการตั้งค่า Security Hub ได้
  • การระงับผลการตรวจจับสามารถทำได้จากบัญชีสมาชิกด้วย

Cons

• ไม่สามารถเปลี่ยนการตั้งค่าได้ตามแต่ละ region

Local Configuration (ใช้ Organizations)

Pros

• เมื่อเทียบกับการตั้งค่าแบบโลคอล (ที่ไม่ใช้ AWS Organizations) ฟีเจอร์การเปิดใช้งานอัตโนมัติของ Security Hub จะถูกใช้งาน
• สามารถเปลี่ยนการตั้งค่าได้ตามแต่ละ region

Cons

• มีความยืดหยุ่นน้อยสำหรับการตั้งค่าการเปิดใช้งานอัตโนมัติ
• ไม่สามารถป้องกันไม่ให้บัญชีสมาชิกเปลี่ยนแปลงการตั้งค่า Security Hub ได้

Local Configuration (ไม่ใช้ Organizations)

Pros

• สามารถใช้งานได้แม้ในสภาพแวดล้อมที่ไม่ใช่ AWS Organizations

Cons

• ฟีเจอร์ต่าง ๆ เช่น การเปิดใช้งานอัตโนมัติจะไม่สามารถใช้งานได้

Usage

"Usage" เป็นฟังก์ชันที่ใช้ตรวจสอบสถานะการใช้งานของ Security Hub

สามารถตรวจสอบจำนวนข้อมูลที่ถูกนำเข้าจากการตรวจสอบมาตรฐานความปลอดภัยของ Security Hub และการรวมข้อมูล และรับทราบค่าใช้จ่ายได้

สำหรับรายละเอียดราคา สามารถดูได้ที่นี่
AWS Security Hub Pricing
หากยังไม่แน่ใจเกี่ยวกับค่าใช้จ่ายของ Security Hub ก็สามารถทดลองใช้ฟรี 30 วันก่อน เพื่อทำความเข้าใจเกี่ยวกับค่าใช้จ่ายได้
(อย่างไรก็ตาม ไม่ว่าจะมีค่าใช้จ่ายหรือไม่ ขอแนะนำให้เปิดใช้งานตาม best practices สำหรับความปลอดภัยพื้นฐานของ Security Hub)
อ้างอิง: What is AWS Security Hub?

สรุป

Security Hub ถือว่าเป็น service ที่สำคัญอย่างมากสำหรับบริการด้าน security เปรียบเสมือน hub ที่เป็นศูนย์กลางการจัดการให้ service ต่างๆเช่น GuardDuty, Config และ Inspector ทำให้เราไม่ต้องไปตรวจสอบทีละ service หวังว่าการอัพเดทเนื้อหาในครั้งนี้จะช่วยให้สามารถใช้งาน Security Hub ได้มากขึ้น

บทความต้นฉบับ

• AWS入門ブログリレー2024〜AWS Security Hub編〜(ภาษาญี่ปุ่น)