AWS Organizationsを活用したマルチアカウントのセキュリティサービス使用方法 ~7. Security Hub~
Organizationsシリーズ第七弾、SecurityHub編です。
AWS Security Hubとは
AWS Security Hub(以下、Security Hub)は、AWSアカウント内のセキュリティ状況やコンプライアンスの準拠状況を一箇所で確認できるサービスです。以下2種類の検出が可能です。
- CIS AWS Foundations BenchmarkやPCI DSSといった基準に従ったコンプライアンスチェック
- GuardDuty、Macie、Inspector、Firewall Manager、IAM Access Analyzerといった各種AWSのセキュリティサービスや3rd Partyのセキュリティサービスの検出、アラートの一元管理
過去に紹介したGuardDutyやIAM Access Analyzerの情報もこのSecurity Hubに集約して確認できます。
Organizationsを使用したマルチアカウント設定
Security Hubはアカウントの委任に対応しているため、マネジメント(親)アカウントではなくauditアカウントに集約する方針で設定していきます。
手順は以下のとおりです。
- メンバーアカウントへ委任
- Security Hubの有効
- 検出結果の確認
設定手順
実際にやっていきます。なお、前提としてSecurity Hubは全アカウントで無効状態から開始します。
1. メンバーアカウントへ委任
マネジメント(親)アカウントにログインし、Security Hubの画面へ遷移します。
初回は以下のように表示されるので、Security Hubに移動をクリックします。
Security Hubの有効化画面が表示されますが、ここではまだ有効にせず、一番下に行きアカウントの委任を実行します。
委任完了です。委任だけではSecurity Hubは有効になりません。
2. Security Hubの有効
まずは、管理者として委任したauditアカウントにログインして有効にします。
有効化後、設定ページを開くと以下のようにOrganization組織内のManagementアカウントとsystem01アカウントが表示されます。 一括でSecurity Hubを有効化できそうなボタンが表示されたのでこれを押下してみます。
以下のようなメッセージが表示されます。警告用途かと思いますが、組織内に一律自動有効したい場合にはありがたい内容ですね。
有効化すると以下のとおり、system01のみ有効になりました。組織のManagementアカウントは自動有効とならないようです。
委任前にManagementアカウントで組織単位で有効化すれば一気に全有効化できたかもしれません。(少し後悔)
Managementアカウントの有効は、Managementアカウント自身で行う必要があるようなので、ログインして有効化します。
Managementアカウントで有効になったら、再びauditアカウントにログインして戻ってきて、Memberに追加します。
無事Memberになりました。
3. 検出結果の確認
1ヵ所で集約できるはずなので、結果を見てみます。
GuardDutyを見てみます。Managemenetアカウントで、GuardDutyのサンプルイベントを発行しました。 auditアカウントで以下のように表示されています。
無事、別アカウントの結果が見れました。と思ったのですが、少し疑問が残ります。 GuardDuty側ですでに情報の集約をしているので、GuardDuty側でauditに集約された情報があがってきている可能性もあります。
とゆうことで、コンプライアンスチェックについても別アカウントの情報が見れるか確認してみます。
※コンプライアンスチェックは有効後、時間がかかるので1時間ほど待ちました。
以下のように、auditアカウントのSecurity Hubで、system01のコンプライアンスチェックが見えています。1アカウントに集約できていますね。
アカウントIDで情報をフィルタできるのでそれを使用しました。
設定検証は以上です。
さいごに
今回はSecurity Hubの通知設定までは行いませんでしたが、EventBridgeを使用することで通知を行うことができます。すべての結果を通知してしまうとかなりの数になるので、あらかじめフィルタする情報は検討して通知を検討したほうが良いでしょう。
集まる情報量も多いので、まずは定期的にセキュリティ情報を確認する場所としてSecurity Hubを使用するのもありだと思います。
次回はAmazon Detectiveの予定です。