MENU
技術 Blog

AWS Security Hubを組織一括有効化してみた

はじめに

こんにちは。クラウド活用推進担当の濱岡です。


AWS Security Hubからクロスアカウント、クロスリージョンで以下のサービスを一括有効化してみました。


Amazon Inspector

Amazon GuardDuty

AWS Security Hub CSPM


一括有効化に使用したAWS Security Hubのポリシーとデプロイ機能の紹介と

設定手順を実際の画面をみながら確認していきます!

目次

  1. はじめに
  2. 目次
  3. Security Hubのポリシーとデプロイについて
  4. 委任管理者の指定について
  5. 実際に試してみた
  6. 設定手順
  7. 動作確認
  8. まとめ
  9. 参考

Security Hubのポリシーとデプロイについて

Security Hubでは、AWS Organizationsと連携してメンバーアカウントやリージョン全体に対するセキュリティ設定を管理できます。


組織設定には 「ポリシー」「デプロイ」 の2種類があります。


それぞれ設定できるサービスと特徴は以下の通りです。


種類 対象サービス 特徴
ポリシー Security Hub / Inspector Organizationsポリシーとして管理され、OU単位で適用・編集が可能
デプロイ GuardDuty / Security Hub CSPM 対象OU/アカウントとリージョンに対して実行される1回限りのアクション


ポリシーは Organizationsポリシーとして継続的に適用される設定で、OUやアカウント単位で管理できます。


一方、デプロイは 対象OU/アカウントに対してサービスを有効化する1回限りの処理です。

そのため後から編集することはできず、新しく追加されたアカウントにも自動では適用されません。


※新規アカウントにも自動的に有効化したい場合は、GuardDutyやSecurity Hub CSPM側で提供されている自動有効化設定を利用する必要があります。

委任管理者の指定について

Security Hubの組織設定を利用するには、事前に Security Hubの委任管理者を指定する必要があります。


Security Hubの委任管理者に設定したアカウントは、以下のサービスの委任管理者にも自動的に設定されます。


・Inspector

・GuardDuty

・Security Hub CSPM


ただし、これらのサービスで既に委任管理者が設定されている場合、そのサービスの委任管理者は 変更されません。


AWS公式ドキュメントでは、一貫したガバナンスのため すべてのセキュリティサービスで同じ委任管理者を使用することが推奨されています。


また、委任管理者を設定した後は、委任管理者がSecurity Hubの組織設定をできるようにするための委任管理者ポリシーを作成する必要があります。


詳しくは以下を参照してください。

Security Hub の委任管理者の指定

Security Hub の委任管理者ポリシーの作成

実際に試してみた

今回は Account AをSecurity Hubの委任管理者として設定し、以下の構成で検証を行いました。




この環境でSecurity Hubコンソールからポリシーとデプロイの設定を実施し、以下の内容を確認します。


・Security Hubの一括有効化

・Inspectorの一括有効化

・GuardDutyの一括有効化

・Security Hub CSPMの一括有効化

設定手順

Security Hubコンソールの 「設定」>「設定カタログ」 からポリシーとデプロイを設定できます。


今回はポリシーとデプロイが一緒にできる「Security Hub」の設定カタログを使用します。


setting-1.png

設定画面は以下のようになっています。

「カスタマイズ機能」を選択すると、各機能の有効/無効を選択できます。


setting-2.png

少しわかりづらいですが、黄枠がポリシーの設定、緑枠がデプロイの設定となります。


チェックした機能が有効になります。


グレーアウトしていて選択できない項目はSecurity Hubの基本機能のため、必須有効化となります。


タグマークがついている項目については、+αの機能となり各サービスで別途課金が発生するため、今回の検証では有効化しません。

(GuardDuty有効化のため「基本的な脅威検出」に関しては、有効化しています。)


下にスクロールすると、ポリシーのターゲット先とリージョンを選択できます。

今回はすべてのアカウントとリージョンを選択しました。

詳細設定ではポリシーが競合した場合の継承設定を定義できます。


setting-3.png

「確認」>「適用」してみました。

「設定」>「設定済みポリシー」からSecurity HubとInspectorのポリシーが作成されているのが確認できました。


setting-4.png

Organizationsコンソールからもそれぞれのポリシーを確認できました。


【Security Hub ポリシー】

setting-5.png

【Inspector ポリシー】

setting-6.png

前述したとおり、デプロイは1回限りのアクションになります。


そのため後から編集したり確認することはできません。


Security Hubコンソール画面からも、GuardDutyやSecurity Hub CSPMの設定は確認できないことがわかります。

動作確認

委任管理者からサインアウトし、別のメンバーアカウントで状態を確認してみます。


【メンバーアカウントのSecurity Hub】

result-1.png

【メンバーアカウントのInspector】

result-3.png

【メンバーアカウントのGuardDuty】

result-2.png

【メンバーアカウントのSecurity Hub CSPM】

result-4.png

メンバーアカウントで各サービスが有効になっていることを確認できました。


再び委任管理者アカウントにサインインし、Security Hubで集約できているかどうかを確認してみます。


result-5.png

マスクしてますが、複数のメンバーアカウントの検出結果と全リージョンが一画面で確認できました。

まとめ

Security Hubコンソールの設定から操作することで、各サービスの有効化をまとめて実行できることを確認できました。


Security Hubを中心に組織のセキュリティサービスをまとめて設定できるため、マルチアカウント環境での初期設定や管理をシンプルにできる機能だと感じました。


今後Organizations環境でセキュリティサービスを導入する際には、Security Hubの組織設定機能を活用すると運用がしやすくなりそうです。

参考

AWS公式ドキュメント


AWS Security Hub : ユーザーガイド

AWS Security Hubの料金

技術ブログTOPへ戻る

カテゴリー

クラウド基盤ソリューション