概要
AWS の自動セキュリティレスポンスは、組織の AWS 環境全体の一般的なセキュリティ問題に自動的に対処することで、AWS Security Hub を強化する AWS ソリューションです。Security Hub が潜在的なセキュリティ上の問題を特定すると、このソリューションは事前に定義された対応を開始して、問題を効率的に解決します。また、複数の AWS アカウントで運用できるため、包括的なセキュリティが保証されます。このソリューションは、実行されたすべてのアクションを記録し、関係者に通知を送信し、既存のチケットサービスと統合できます。Security Hub の調査結果の修復を自動化することで、セキュリティ管理プロセス全体を合理化しながら、業界のベストプラクティスやコンプライアンス基準に沿って、手作業を減らして強力なセキュリティ体制を維持できます。
メリット
Security Hub コンソールのカスタムアクションを使用して、修復と検出を開始します。
基礎ベンチマークまたは AWS 基本的なセキュリティベストプラクティス。
事前定義された一連の応答と修復アクションをデプロイして、脅威に自動的に対応します。
カスタム修復とプレイブックの実装により、この AWS ソリューションを拡張します。または、カスタムプレイブックをデプロイして新しいコントロールセットを作成することもできます。
技術的な詳細情報
このアーキテクチャは、実装ガイドと関連する AWS CloudFormation テンプレートを使用して自動的にデプロイできます。
概要: 委任管理者アカウントに集約された Security Hub の検出結果により、AWS Step Functions が開始します。オーケストレーターは、AWS Security Hub の検出結果を生成したリソースを含むメンバーアカウントの修復 SSM 自動化ドキュメントを呼び出します。
1.検出: Security Hub を使用すると、お客様の AWS セキュリティ体制を包括的に確認できるようになります。セキュリティ業界の標準とベストプラクティスに照らして環境を測定するのに役立ちます。機能するに際して、AWS Config、Amazon GuardDuty、AWS Firewall Managerなどの他の AWS のサービスからイベントとデータを収集します。
これらのイベントとデータは、CIS AWS Foundations Benchmark などのセキュリティ標準に照らして分析されます。例外は、Security Hubコンソールで検出結果としてアサートされます。新しい検出結果は Amazon EventBridge として送信されます。
2.開始:カスタムアクションを使用して、所見に対してAmazon EventBridge イベントを開始できます。 AWS Security Hub のカスタムアクションと Amazon EventBridge ルールにより、AWS プレイブックで自動セキュリティ対応が開始され、検出結果に対応できます。カスタムアクションイベントと一致するように 1 つの EventBridgeルールがデプロイされ、リアルタイム検出結果イベントと一致するように、サポートされている各コントロール (デフォルトでは無効化) に対して 1 つの EventBridge Eventルールがデプロイされます。
Security Hub カスタムアクション のメニューを使用して自動修復を開始するか、非本番環境で慎重にテストした後、自動修復を有効にすることができます。これは修復ごとに有効です。すべての修復で自動開始を有効にする必要はありません。
3. 準備: 管理者アカウントのオーケストレーターが修復イベントを処理し、スケジュールどおりに準備します。
4.スケジュール: AWS Lambda 関数のスケジューリングが呼び出され、修正イベントが Amazon DynamoDB 状態テーブルに配置されます。
5.オーケストレーション: クロスアカウントの AWS Identity and Access Management (IAM) ロールを使用して、管理者アカウントのオーケストレーターは、セキュリティ検出結果を生成したリソースを含むメンバーアカウントの修復を呼び出します。
6.修復: メンバーアカウントの AWS Systems Manager Automation ドキュメントは、Lambda パブリックアクセスの無効化など、対象リソースの検出結果を修復するために必要なアクションを実行します。
メンバースタックでアクションログ機能を有効にすると、メンバーアカウントでソリューションが実行したアクションがキャプチャされ、このソリューションの Amazon CloudWatch ダッシュボードに表示されます。
7.(オプション) チケット発行: 管理スタックでチケット発行を有効にした場合、このソリューションは、メンバーアカウントで修正が正常に実行されると、提供されているチケットジェネレーター Lambda 関数を呼び出して、選択したチケットサービスにチケットを作成します。Jira や ServiceNow と簡単に統合できるようにスタックを提供しています。
8.通知とログ: プレイブックは結果を Amazon CloudWatch Logs グループにログ記録し、Amazon Simple Notification Service (Amazon SNS) トピックに通知を送信して、Security Hubの検出結果を更新します。実行されたアクションの監査証跡は、検出結果の備考に保持されます。
Security Hub ダッシュボードで、検索ワークフローのステータスが [新規] から [解決済み] に変更されます。実行された修復を反映するように、セキュリティに関する検出事項のメモが更新されます。
概要: 委任管理者アカウントに集約された Security Hub の検出結果により、AWS Step Functions が開始します。オーケストレーターは、AWS Security Hub の検出結果を生成したリソースを含むメンバーアカウントの修復 SSM 自動化ドキュメントを呼び出します。
1.検出: Security Hub を使用すると、お客様の AWS セキュリティ体制を包括的に確認できるようになります。セキュリティ業界の標準とベストプラクティスに照らして環境を測定するのに役立ちます。機能するに際して、AWS Config、Amazon GuardDuty、AWS Firewall Managerなどの他の AWS のサービスからイベントとデータを収集します。
これらのイベントとデータは、CIS AWS Foundations Benchmark などのセキュリティ標準に照らして分析されます。例外は、Security Hubコンソールで検出結果としてアサートされます。新しい検出結果は Amazon EventBridge として送信されます。
2.開始:カスタムアクションを使用して、所見に対してAmazon EventBridge イベントを開始できます。 AWS Security Hub のカスタムアクションと Amazon EventBridge ルールにより、AWS プレイブックで自動セキュリティ対応が開始され、検出結果に対応できます。カスタムアクションイベントと一致するように 1 つの EventBridgeルールがデプロイされ、リアルタイム検出結果イベントと一致するように、サポートされている各コントロール (デフォルトでは無効化) に対して 1 つの EventBridge Eventルールがデプロイされます。
Security Hub カスタムアクション のメニューを使用して自動修復を開始するか、非本番環境で慎重にテストした後、自動修復を有効にすることができます。これは修復ごとに有効です。すべての修復で自動開始を有効にする必要はありません。
3. 準備: 管理者アカウントのオーケストレーターが修復イベントを処理し、スケジュールどおりに準備します。
4.スケジュール: AWS Lambda 関数のスケジューリングが呼び出され、修正イベントが Amazon DynamoDB 状態テーブルに配置されます。
5.オーケストレーション: クロスアカウントの AWS Identity and Access Management (IAM) ロールを使用して、管理者アカウントのオーケストレーターは、セキュリティ検出結果を生成したリソースを含むメンバーアカウントの修復を呼び出します。
6.修復: メンバーアカウントの AWS Systems Manager Automation ドキュメントは、Lambda パブリックアクセスの無効化など、対象リソースの検出結果を修復するために必要なアクションを実行します。
メンバースタックでアクションログ機能を有効にすると、メンバーアカウントでソリューションが実行したアクションがキャプチャされ、このソリューションの Amazon CloudWatch ダッシュボードに表示されます。
7.(オプション) チケット発行: 管理スタックでチケット発行を有効にした場合、このソリューションは、メンバーアカウントで修正が正常に実行されると、提供されているチケットジェネレーター Lambda 関数を呼び出して、選択したチケットサービスにチケットを作成します。Jira や ServiceNow と簡単に統合できるようにスタックを提供しています。
8.通知とログ: プレイブックは結果を Amazon CloudWatch Logs グループにログ記録し、Amazon Simple Notification Service (Amazon SNS) トピックに通知を送信して、Security Hubの検出結果を更新します。実行されたアクションの監査証跡は、検出結果の備考に保持されます。
Security Hub ダッシュボードで、検索ワークフローのステータスが [新規] から [解決済み] に変更されます。実行された修復を反映するように、セキュリティに関する検出事項のメモが更新されます。
関連コンテンツ
AvalonBay Communities Inc. は AWS のサーバーレスアーキテクチャに移行し、開発を 75% 加速すると同時に、コストを 40% 削減し、強力なセキュリティの維持を実現できました。
このコースでは、AWS のセキュリティテクノロジー、ユースケース、メリット、およびサービスの概要について説明します。