【レポート】GuardDutyとSecurity Hubを利用したマルチアカウントの保護 #reinvent #SEC307

re:Invent 2020にて行われたSEC307「Use Amazon GuardDuty and AWS Security Hub to secure multiple accounts」のセッションレポートです。詳細は是非セッションを直接ご確認下さい。
2020.12.31

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

みなさん、re:Invent 2020に参加してますか?(挨拶

今回はre:Invent 2020で行われた以下セッションのレポートです。

概要

Use Amazon GuardDuty and AWS Security Hub to secure multiple accounts

This session provides you with account-level considerations, best practices, and guidance to help structure and manage security across multiple AWS accounts and on-premises operations. It covers the benefits of aggregating, parsing, and remediating security findings at scale using services such as Amazon GuardDuty and AWS Security Hub, and it reviews integrations with external SIEM systems. GuardDuty and Security Hub help filter findings to reduce noise prior to ingesting data into a SIEM. Come learn how to coordinate these services across accounts for a single source of truth for security findings.

[翻訳]このセッションでは、アカウントレベルの考慮事項、ベストプラクティス、およびガイダンスを提供して、複数のAWSアカウントとオンプレミスオペレーションにわたるセキュリティの構造化と管理を支援します。 AmazonGuardDutyやAWSSecurity Hubなどのサービスを使用して、セキュリティの調査結果を大規模に集約、解析、および修正することの利点をカバーし、外部SIEMシステムとの統合を確認します。 GuardDutyとSecurityHubは、データをSIEMに取り込む前に、結果をフィルタリングしてノイズを減らすのに役立ちます。 セキュリティ調査結果の信頼できる唯一の情報源として、アカウント間でこれらのサービスを調整する方法を学びましょう。

Speakers Annam Iyer, AWS Speaker

セッションのアーカイブはこちらにありますのでレポートを確認して興味が出たらぜひご確認下さい。

レポート

AWSを利用しているとだんだんAWSアカウントが増えていきますが、どうやってセキュリティの管理していけばいいでしょうか?

GuardDutyとは

GuardDutyはAWSの各種ログから機械学習により異常を検知するサービスです。

CloudTrail Logs / VPC Flow Logs / DNS Logs / S3 Data Event Logsを利用して分析します。

GuardDutyデモ

GuardDutyは2クリックで簡単にデプロイできます。

検知した異常(Findings)は3つのレベルのSeverityに分類され、優先すべき問題は明確にわかります。

Findingsの詳細からどのような問題が起きているのか、脅威を与えているIPアドレスやIAM情報などが確認できます。

Security Hubとは

Security HubはAWSのセキュリティ状況を管理し、様々なFindingsを集約し、そしてアクションにつなげることができるサービスです。

以下の様々な情報を集約することが可能です。

  • Amazon GuardDuty
  • Amazon Macie
  • AWS Firewall Manager
  • AWS Config
  • Amazon Inspector
  • IAM Access Analyzer
  • 3rd パーティツール

また、セキュリティチェック機能を有しており、AWS環境がPCI DSSやCISベンチマークの基準に準拠した設定になっているかチェックすることが可能です。

マルチアカウント管理のベストプラクティス

AWSでマルチアカウント戦略を実践していく上でセキュリティを高めるには、AWS Organizationsを利用してSecurityコントロールを行う機能を用意すべきです。

以下はレコメンドのSecurity OUの構成です。

ログを集約管理するためのLog Archiveアカウント、各アカウントをセキュリティチームが確認するためのSecurity ReadOnlyAccessアカウント、緊急時のアクセスに利用するSecurity Breakglassアカウント、各種セキュリティツールを集約するSecurity Toolingアカウントで構成されています。

GuardDuty及びSecurity Hubの情報はSecurity Toolingアカウントに一括で集約します。これはAWS Organizationsの機能を活用して実現できます。

Security Hubデモ

Security Hubもかんたんに有効化でき、またOrganizationsと連携して利用することも可能です。

有効化すると簡単にインシデント情報を一括でみれたり、セキュリティスタンダードへの準拠状況をわかりやすいグラフで確認することが可能です。

GuardDutyのFindingsなどもマルチアカウントまとめてここから管理することが可能です。そして、対処も連携して行うことが可能です。

例えばインシデントが発生したEC2を、隔離するルールを使って隔離する処理を実施できます。

まとめ

GuardDutyとSecurity Hubの機能がわかりやすく説明されていて、これからマルチアカウントのセキュリティを管理していくときに参考になるセッションでした!

ぜひ活用しようと思っている方はセッションを確認してみて下さい!

Use Amazon GuardDuty and AWS Security Hub to secure multiple accounts - AWS re:Invent 2020