概要前提条件と制限アーキテクチャツールエピックトラブルシューティング関連リソース追加情報

Security Hub CSPM AWS Organizations を使用してでパブリック Amazon S3 バケットを特定する

Amazon Web Services、Mourad Cherfaoui、Arun Chandapillai、Parag Nagwekar

概要

このパターンは、 AWS Organizations アカウント内のパブリック Amazon Simple Storage Service (Amazon S3) バケットを識別するメカニズムを構築する方法を示しています。このメカニズムは、 AWS の Foundational Security Best Practices (FSBP) 標準のコントロールを使用して Amazon S3 バケット AWS Security Hub CSPM をモニタリングすることで機能します。Amazon EventBridge を使用して Security Hub CSPM の検出結果を処理し、これらの検出結果を Amazon Simple Notification Service (Amazon SNS) トピックに投稿できます。組織内の利害関係者はトピックを購読して、検出結果に関する電子メール通知をすぐに受け取ることができます。

新しい Amazon S3 バケット、およびオブジェクトはパブリックアクセスを許可しません。このパターンは、組織の要件に基づいてデフォルトの Amazon S3 設定を変更する必要があるシナリオで使用できます。例えば、一般公開のウェブサイトやファイルをホストする Amazon S3 バケットがあって、その Amazon S3 バケットからインターネット上のすべての人が読み取れるようにする必要がある場合です。

Security Hub CSPM は、多くの場合、セキュリティ標準やコンプライアンス要件に関連するものを含め、すべてのセキュリティ検出結果を統合するための中央サービスとしてデプロイされます。パブリック Amazon S3 バケットを検出するために AWS のサービス使用できる他のものもありますが、このパターンでは、最小限の設定で既存の Security Hub CSPM デプロイを使用します。

前提条件と制限

前提条件

専用の Security Hub CSPM 管理者アカウントを使用した AWS マルチアカウント設定 https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html
Security Hub CSPM と AWS Config、モニタリング AWS リージョンするで有効になっている
注記
1 つの集約リージョンから複数のリージョンをモニタリングする場合は、Security Hub CSPM でクロスリージョン集約を有効にする必要があります。
Security Hub CSPM 管理者アカウントにアクセスして更新するためのユーザーアクセス許可、組織内のすべての Amazon S3 バケットへの読み取りアクセス許可、およびパブリックアクセスを無効にするためのアクセス許可 (必要な場合)

アーキテクチャ

次の図は、Security Hub CSPM を使用してパブリック Amazon S3 バケットを識別するためのアーキテクチャを示しています。

この図は、次のワークフローを示しています。

Security Hub CSPM は、FSBP セキュリティ標準の S3.2 および S3.3 コントロールを使用して、すべてのアカウント (管理者アカウントを含む) の Amazon S3 バケットの設定をモニタリングし、バケットがパブリックとして設定されている場合は検出結果を検出します。 AWS Organizations S3
Security Hub CSPM 管理者アカウントは、すべてのメンバーアカウントから結果 (S3.2 および S3.3 の結果を含む) にアクセスします。
Security Hub CSPM は、すべての新しい検出結果と既存の検出結果へのすべての更新を、Security Hub CSPM 検出結果 - インポートされたイベントとして EventBridge に自動的に送信します。これには、管理者アカウントとメンバーアカウントの両方からの検出検出結果のイベントが含まれます。
EventBridge ルールは、S3.2 と S3.3 の調査検出結果のうち、ComplianceStatusがFAILEDで、ワークフローステータスがNEWで、RecordStateがACTIVEであるものをフィルタリングする。
ルールはイベントパターンを使用してイベントを識別し、一致すると Amazon SNS トピックに送信します。
Amazon SNS トピックはイベントをサブスクライバーに (E メールなどで) 送信します。
E メール通知を受信するように指定されたセキュリティアナリストは、問題の Amazon S3 バケットを審査します。
バケットのパブリックアクセスが承認された場合、セキュリティアナリストは Security Hub CSPM の対応する検出結果のワークフローステータスをに設定しますSUPPRESSED。それ以外の場合、アナリストはステータスをNOTIFIEDに設定します。これにより、Amazon S3 バケットへの今後の通知がなくなり、通知ノイズが減少します。
ワークフローのステータスがNOTIFIEDに設定されている場合、セキュリティアナリストは検出結果をバケット所有者と確認して、パブリックアクセスが正当であり、プライバシーとデータ保護の要件を満たしているかどうかを判断します。調査の結果、バケットへのパブリックアクセスを削除するか、パブリックアクセスを承認するかのどちらかになります。後者の場合、セキュリティアナリストはワークフローのステータスをSUPPRESSEDに設定します。

注記

このアーキテクチャ図は、単一リージョンとクロスリージョン集約の両方のデプロイに適用されます。図のアカウント A、B、C では、Security Hub CSPM は管理者アカウントと同じリージョンに属したり、クロスリージョン集約が有効になっている場合は異なるリージョンに属したりできます。

ツール

Amazon EventBridge は、アプリケーションをさまざまなソースのリアルタイムデータに接続できるようにするサーバーレスイベントバスサービスです。EventBridge は、独自のアプリケーション、Software as a Service (SaaS) アプリケーション、およびからリアルタイムデータのストリームを提供します AWS のサービス。EventBridge は、データがユーザー定義ルールと一致する場合、そのデータを Amazon SNS トピックや AWS Lambda 関数などのターゲットにルーティングします。
Amazon Simple Notiﬁcation Service (Amazon SNS) は、ウェブサーバーやメールアドレスなど、パブリッシャーとクライアント間のメッセージの交換を調整および管理するのに役立ちます。サブスクライバーは、サブスクライブしているトピックに対して発行されたすべてのメッセージを受信します。また、同じトピックのサブスクライバーはすべて同じメッセージを受信します。
Amazon Simple Storage Service (Amazon S3) は、あらゆる量のデータを保存、保護、取得できるクラウドベースのオブジェクトストレージサービスです。
AWS Security Hub CSPM は、のセキュリティ状態の包括的なビューを提供します AWS。Security Hub CSPM は、セキュリティ業界標準とベストプラクティスに照らして AWS 環境をチェックするのに役立ちます。Security Hub CSPM は AWS アカウント、、のサービス、およびサポートされているサードパーティーパートナー製品全体からセキュリティデータを収集し、セキュリティの傾向を分析し、最も優先度の高いセキュリティ問題を特定するのに役立ちます。

エピック

タスク	説明	必要なスキル
AWS Organizations アカウントで Security Hub CSPM を有効にします。	Amazon S3 バケットをモニタリングする組織アカウントで Security Hub CSPM を有効にするには、Security Hub CSPM ドキュメントの「Security Hub CSPM 管理者アカウント (コンソール) の指定」と「組織に属するメンバーアカウントの管理」のガイドラインを参照してください。	AWS 管理者
(オプション) クロスリージョン集約を有効にします。	1 つのリージョンから複数のリージョンの Amazon S3 バケットを監視する場合は、クロスリージョン集約を設定します。	AWS 管理者
FSBP セキュリティ標準の S3.2 と S3.3 のコントロールを有効にします。	FSBP セキュリティ標準の S3.2 と S3.3 のコントロールを有効にする必要があります。 S3.2 コントロールを有効にするには、Security Hub CSPM ドキュメントの [S3.2] S3 バケットでパブリック読み取りアクセスを禁止する必要があります。 S3.3 コントロールを有効にするには、Security Hub CSPM ドキュメントの [3] S3 バケットでパブリック書き込みアクセスを禁止する必要があります。	AWS 管理者

タスク	説明	必要なスキル
Amazon SNS トピックと E メールのサブスクリプションを設定します。	にサインイン AWS マネジメントコンソールし、Amazon SNS コンソールを開きます。ナビゲーションペインで、[Topics (トピック)]、[Create topic (トピックの作成)] の順に選択してください。 [Type (タイプ)] で、[Standard (標準)] を選択してください。「名前」には、トピックの名前 (たとえば、public-s3-buckets) を入力します。 [トピックを作成] を選択します。 [サブスクリプション] タブで [サブスクリプションの作成] を選択します。 [Protocol] で [Email] を選択します。 [Endpoint] (エンドポイント) で、通知を受信するメールアドレスを入力します。 AWS 管理者、IT プロフェッショナル、または Infosec プロフェッショナルの E メールアドレスを使用できます。 [Create subscription] を選択してください。E メールサブスクリプションを追加で作成するには、必要に応じてステップ 6～8 を繰り返します。	AWS 管理者
EventBridge ルールを設定します。	[EventBridge コンソール] を開きます。「はじめに」セクションで、「EventBridge ルール」を選択し、「ルールを作成」を選択します。「ルール詳細の定義」ページの「名前」に、ルールの名前 (「public-s3-buckets」など) を入力します。[次へ] を選択します。 [Define pattern] (パターンの定義) セクションで [Event pattern] (イベントパターン) を選択します。次のコードをコピーして、「イベントパターン」コードエディターに貼り付け、「次へ」を選択します。 `{ "source": ["aws.securityhub"], "detail-type": ["Security Hub Findings - Imported"], "detail": { "findings": { "Compliance": { "Status": ["FAILED"] }, "RecordState": ["ACTIVE"], "Workflow": { "Status": ["NEW"] }, "ProductFields": { "ControlId": ["S3.2", "S3.3"] } } } }` 「ターゲットの選択」ページの「ターゲットの選択」で、ターゲットとして「SNS トピック」を選択し、先ほど作成したトピックを選択します。「次へ」を選択し、もう一度「次へ」を選択し、「ルールを作成」を選択します。	AWS 管理者

トラブルシューティング

問題	ソリューション
パブリックアクセスが有効になっている Amazon S3 バケットがありますが、そのバケットに関する E メール通知が届きません。	これは、バケットが別のリージョンで作成され、Security Hub CSPM 管理者アカウントでクロスリージョン集約が有効になっていないためである可能性があります。この問題を解決するには、クロスリージョン集約を有効にするか、現在 Amazon S3 バケットが存在するリージョンにこのパターンのソリューションを実装してください。

問題

ソリューション

パブリックアクセスが有効になっている Amazon S3 バケットがありますが、そのバケットに関する E メール通知が届きません。

これは、バケットが別のリージョンで作成され、Security Hub CSPM 管理者アカウントでクロスリージョン集約が有効になっていないためである可能性があります。この問題を解決するには、クロスリージョン集約を有効にするか、現在 Amazon S3 バケットが存在するリージョンにこのパターンのソリューションを実装してください。

追加情報

パブリック Amazon S3 バケットを監視するためのワークフロー

以下のワークフローは、組織内のパブリック Amazon S3 バケットを監視する方法を示しています。このワークフローは、このパターンの「Amazon SNS トピックと E メールサブスクリプションの設定」のストーリーの手順を完了していることを前提としています。

Amazon S3 バケットにパブリックアクセスが設定されると、E メール通知が届きます。
- バケットにパブリックアクセスが承認されている場合は、Security Hub CSPM 管理者アカウントの対応する検出結果のワークフローステータスSUPPRESSEDをに設定します。これにより、Security Hub CSPM がこのバケットに対してそれ以上通知を発行するのを防ぎ、重複するアラートを排除できます。
- バケットにパブリックアクセスが承認されていない場合は、Security Hub CSPM 管理者アカウントの対応する検出結果のワークフローステータスをに設定しますNOTIFIED。これにより、Security Hub CSPM が Security Hub CSPM からこのバケットに対して追加の通知を発行するのを防ぎ、ノイズを排除できます。
バケットに機密データが含まれている可能性がある場合は、レビューが完了するまですぐにパブリックアクセスをオフにしてください。パブリックアクセスをオフにすると、Security Hub CSPM はワークフローステータスをに変更しますRESOLVED。その後、バケットのメール通知は停止します。
バケットをパブリックとして (たとえば、を使用して AWS CloudTrail) 設定したユーザーを検索し、レビューを開始します。レビューの結果、バケットへのパブリックアクセスが削除されるか、パブリックアクセスが承認されます。パブリックアクセスが承認されたら、該当する検出結果のワークフローステータスをSUPPRESSEDに設定します。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

予定されている KMS キーの削除を防ぐのに役立ちます。

Microsoft Sentinel に AWS セキュリティログを取り込む

Security Hub CSPM AWS Organizations を使用して でパブリック Amazon S3 バケットを特定する

概要