投稿日: Aug 18, 2021
AWS Security Hub は、クラウドセキュリティ体制のモニタリング強化のため、Foundational Security ベストプラクティス標準に 18 の新しいコントロールをリリースしました。これらのコントロールは、Amazon API Gateway、Amazon EC2、Amazon ECS、Elastic Load Balancing、Amazon Elasticsearch Service、Amazon RDS、Amazon Redshift、Amazon SQS のセキュリティベストプラクティスに対する完全自動のチェックを行います。Security Hub で新しいコントロールを自動的に有効にするよう設定し、それらが既に AWS Foundational Security ベストプラクティスを使用している場合は、これらのコントロールはデフォルトで有効化されます。これで、Security Hub は、AWS のセキュリティ体制を自動的にチェックするための 159 のセキュリティコントロールをサポートするようになりました。
起動した18 のコントロールは:
- [APIGateway.5] API Gateway REST API キャッシュデータは暗号化されて保存されている必要があります
- [EC2.19] セキュリティグループはリスクの高いポートへの無制限のアクセスを許可しません
- [ECS.2] Amazon ECS サービスには、自動的にパブリック IP アドレス を割り当ててはいけません
- [ELB.7] Classic Load Balancers は、Connection Draining を有効にしている必要があります
- [ES.5] Elasticsearch ドメインは監査ロギングを有効にしている必要があります
- [ES.6] Elasticsearch ドメインには少なくとも 3 つのデータノードが必要ですshould have
- [ES.7] Elasticsearch ドメインには少なくとも 3 つの専用マスターノードが必要です
- [ES.8] Connections to Elasticsearch ドメインへの接続は TLS 1.2で暗号化する必要があります
- [RDS.16] RDS DB クラスターはタグをスナップショットにコピーして構成する必要があります
- [RDS.17] RDS DB インスタンスはタグをスナップショットにコピーして構成する必要があります
- [RDS.18] RDS インスタンスは VPC にデプロイする必要があります
- [RDS.19] RDS イベント通知サブスクリプションは重大なクラスターイベントのために構成される必要があります
- [RDS.20] RDS イベント通知サブスクリプションは重大なデータベースインスタンスイベントのために構成される必要があります
- [RDS.21] RDS イベント通知サブスクリプションは重大なデータベースパラメータグループイベントのために構成される必要があります
- [RDS.22] RDS イベント通知サブスクリプションは重大なデータベースセキュリティグループイベントのために構成される必要があります
- [RDS.23] RDS データベースとクラスターはデータベースエンジンのデフォルトポートを使用してはいけません
- [Redshift.4] Amazon Redshift クラスターは監査ロギングを有効にしている必要があります
- [SQS.1] Amazon SQS キューは暗号化して保存する必要があります
Security Hub は 5 つの統合パートナーと 3 つのコンサルティングパートナーも加え、合計で最大 71 のパートナーになります。新しい統合パートナーには、Caveonix Cloud、Forcepoint Cloud Security Gateway (CSG),、Micro Focus ArcSight、Netscout Cyber Investigator、およびSysdig Secure for Cloudが含まれます。Caveonix Cloudは、 検出結果を Security Hub に送信します、また包括的ワークロード保護のための自動コンプライアンスとハイブリッドクラウドセキュリティ体制マネジメントを提供する SaaS リスク低減プラットフォームです。Forcepoint CSG は、ポリシー違反、トラフィックや E メールの検査ルールに起因するアクション、脅威、および CSG によって識別されたその他のイベントに関する検出結果を Security Hub に送信します。Mirco Focus ArcSight は、Security Hub から検出結果を受信するセキュリティ情報とイベント管理 (SIEM) プラットフォームです。NETSCOUT Cyber Investigator は、検出結果を Security Hub に送信する、VPC トラフィックミラーリング等の AWS テクノロジーを活用したネットワークの脅威とリスク調査ソリューションです。Sysdig Secure for Cloud は、検出結果を Security Hub に送信する、アセットディスカバリー、クラウドセキュリティ体制管理 (CSPM) 、脆弱性スキャン、脅威検知のための完全なスイートを提供する一元化されたクラウドセキュリティプラットフォームです。
新しいコンサルティングパートナーは、5pillars、Keepler、 Ubertas Consulting です。5pillars は、他のAWS セキュリティサービスの包括的なスイートと連携して AWS Security Hub のデプロイを自動化します。Keepler は、ソリューションのキーコンポ―ネントとして AWS Security Hub を活用し、セキュリティモニタリングを一元化するとともに、セキュリティインシデントをプログラム的に改善、エスカレーションします。Ubertas Consulting は、AWS Security Hub を含む、堅牢でベストプラクティスに基づいた AWS 環境を構築するためのAWS Well-Architected コンサルティングサービスを提供します。
AWS Security Hub はグローバルに利用可能であり、AWS アカウント全体のセキュリティ体制の包括的なビューを提供するように設計されています。Security Hub により、複数の AWS のサービス (Amazon GuardDuty、Amazon Inspector、Amazon Macie、AWS Firewall Manager、AWS Systems Manager の Patch Manager、AWS Chatbot、AWS Config、AWS IAM Access Analyzer など) および 60 を超える AWS パートナーネットワーク (APN) ソリューションにおけるセキュリティアラートと検出結果を、単一の場所に集約、整理、および優先順位付けできるようになりました。また、AWS Foundational Security のベストプラクティス、CIS AWS Foundations Benchmark および PCI DSS (Payment Card Industry Data Security Standard) などに基づく、自動化されたセキュリティチェックを使用して、環境を継続的にモニタリングすることもできます。さらに、Amazon Detective または AWS Systems Manager OpsCenter で検出結果を調査するか、AWS Audit Manager に送信することで、これらの検出結果に対してアクションを実行できます。また、Amazon EventBridge ルールを使用して、チケット、チャット、セキュリティ情報およびイベント管理 (SIEM)、応答および修復ワークフロー、およびインシデント管理ツールに検出結果を送信することもできます。
AWS マネジメントコンソールを使用すると、ワンクリックで AWS Security Hub の 30 日間の無料トライアルを有効にできます。AWS Security Hub の機能の詳細については、AWS Security Hub のドキュメントを参照してください。30 日間の無料トライアルを開始するには、AWS Security Hub の無料トライアルのページを参照してください。