Amazon Inspector と を使用してクロスアカウントワークロードのセキュリティスキャンを自動化する AWS Security Hub - AWS 規範ガイダンス
概要前提条件と制限アーキテクチャツールエピック関連リソース添付ファイル

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Inspector と を使用してクロスアカウントワークロードのセキュリティスキャンを自動化する AWS Security Hub

作成者:Ramya Pulipaka (AWS) と Mikesh Khanal (AWS)

概要

このパターンでは、Amazon Web Services (AWS) クラウド上のクロスアカウントワークロードの脆弱性を自動的にスキャンする方法について説明します。

このパターンは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのタグでグループ化された Amazon Elastic Compute Cloud (Amazon Inspector EC2) インスタンスのホストベーススキャンのスケジュールを作成するのに役立ちます。 AWS CloudFormation スタックは、必要なすべての AWS リソースとサービスを にデプロイします AWS アカウント。

Amazon Inspector の検出結果は にエクスポート AWS Security Hub され、アカウント、仮想プライベートクラウド (VPCs) AWS リージョン、Amazon EC2 インスタンス全体の脆弱性に関するインサイトを提供します。これらの結果を E メールで受け取ることも、HTTP エンドポイントを使用して Amazon Simple Notification Service (Amazon SNS) トピックを作成して、結果をチケットツール、セキュリティ情報およびイベント管理 (SIEM) ソフトウェア、またはその他のサードパーティのセキュリティソリューションに送信することもできます。

前提条件と制限

前提条件

  • 中央監査アカウントを含むクロスアカウントワークロードをホスト AWS アカウント するアクティブ。

  • Amazon SNS から E メール通知を受信するための既存の E メールアドレス。

  • チケットツール、SIEM ソフトウェア、またはその他のサードパーティのセキュリティソリューションで使用される既存の HTTP エンドポイント。

  • Security Hub、有効化および設定済み。このパターンは Security Hub がなくても使用できますが、生成される分析情報を考慮して Security Hub の使用を推薦します。詳細については、Security Hub ドキュメントの「Security Hub のセットアップ」を参照してください。

  • Amazon Inspector エージェントは、スキャンするそれぞれの EC2 インスタンスにインストールする必要があります。また、AWS Systems Manager Run Command を使用して EC2 インスタンスに Amazon Inspector Classic エージェントをインストールすることもできます。 

スキル

  • CloudFormation でのスタックセットの self-managedおよび アクセスservice-managed許可の使用経験。アクセスself-managed許可を使用してスタックインスタンスを特定のリージョンの特定のアカウントにデプロイする場合は、必要な AWS Identity and Access Management (IAM) ロールを作成する必要があります。アクセスservice-managed許可を使用してスタックインスタンスを特定のリージョン AWS Organizations で によって管理されるアカウントにデプロイする場合は、必要な IAM ロールを作成する必要はありません。詳細については、CloudFormation ドキュメントの「スタックセットの作成」を参照してください。 

機能制限

  • アカウントの Amazon EC2 インスタンスにタグが適用されていない場合、Amazon Inspector はそのアカウントのすべてのインスタンスをスキャンします。

  • CloudFormation スタックセットと onboard-audit-account.yaml ファイル (添付) は、同じリージョンにデプロイする必要があります。

  • デフォルトでは、Amazon Inspector クラシック に集計結果が適用されません。Security Hub は、複数のアカウントまたは の評価を表示するために推奨されるソリューションです AWS リージョン。

  • このパターンのアプローチは、米国東部 (バージニア北部) リージョン () の Amazon SNS トピックの 1 秒あたり 30,000 トランザクション (TPS) の発行クォータでスケールできますがus-east-1、制限はリージョンによって異なります。より効果的にスケーリングし、データ損失を回避するには、Amazon SNS トピックの前に Amazon Simple Queue Service (Amazon SQS) を使用することをお勧めします。 Amazon SNS

アーキテクチャ

次の図は、Amazon EC2 インスタンスを自動的にスキャンするワークフローを示しています。

ワークフローの主なステップは、以下のとおりです。

スキャンを実行するための AWS アカウント、および通知を送信するための別の監査アカウント。

  1. Amazon EventBridge ルールは cron 式を使用して特定のスケジュールで自己起動し、Amazon Inspector を起動します。  

  2. Amazon Inspector は、アカウントのタグ付けされた Amazon EC2 インスタンスをスキャンします。 

  3. Amazon Inspector は結果をSecurity Hub に送信し、セキュリティハブはワークフロー、優先順位付け、修復に関するインサイトを生成します。

  4. また、Amazon Inspector は評価のステータスを監査アカウントの Amazon SNS トピックに送信します。findings reported イベントが Amazon SNS トピックに発行されると、 AWS Lambda 関数が呼び出されます。 

  5. Lambda 関数は、検出結果を取得、フォーマットし、監査アカウントの別の Amazon SNS トピックに送信します。

  6. 結果は、Amazon SNS トピックにサブスクライブされている E メールアドレスに送信されます。詳細情報と推奨事項は JSON 形式で、購読している HTTP エンドポイントに送信されます。

ツール

  • AWS CloudFormation を使用すると、 AWS リソースをモデル化してセットアップできるため、リソースの管理に費やす時間が減り、アプリケーションに集中する時間が増えます。

  • AWS CloudFormation StackSets は、単一のオペレーションで複数のアカウントとリージョンにまたがるスタックを作成、更新、または削除できるようにすることで、スタックの機能を拡張します。

  • AWS Control Tower は、 AWS のサービス他のいくつかの機能を組み合わせて統合する抽象化レイヤーまたはオーケストレーションレイヤーを作成します AWS Organizations。

  • Amazon EventBridge は、アプリケーションをさまざまなイベントソースのデータに簡単に接続できるようにするサーバーレスイベントバスサービスです。

  • AWS Lambda は、サーバーのプロビジョニングや管理を行わずにコードを実行するのに役立つコンピューティングサービスです。

  • AWS Security Hub は、AWS のセキュリティ状態を包括的に把握し、セキュリティ業界標準とベストプラクティスに照らして環境をチェックするのに役立ちます。

  • Amazon Simple Notification Service (Amazon SNS) は、パブリッシャーからサブスクライバーへのメッセージ配信を提供するマネージドサービスです。

エピック

タスク説明必要なスキル

CloudFormation テンプレートを監査アカウントにデプロイします。

onboard-audit-account.yaml ファイル (添付済み) をダウンロードして、コンピュータのローカルパスに保存します。 

AWS Management Console 監査アカウントの にサインインし、CloudFormation コンソールを開き、スタックの作成を選択します。 

前提条件セクションでテンプレートの準備 を選択してから、テンプレートの準備完了を選択します。テンプレートの準備ができています を選択し、テンプレートの指定 セクションで Amazon S3 URLを選択します。onboard-audit-account.yaml ファイルをアップロードし、要件に応じて残りのオプションを設定します。 

次の入力パラメータを設定してください。

  • DestinationEmailAddress — 検出結果を受け取るためのメールアドレスを入力します。

  • HTTPEndpoint — チケットや SIEM ツールの HTTP エンドポイントを提供します。

注記

AWS Command Line Interface () を使用して CloudFormation テンプレートをデプロイすることもできますAWS CLI。詳細については、CloudFormation ドキュメントの「スタックの作成」を参照してください。

開発者、セキュリティエンジニア

Amazon SNS サブスクリプションを確認します。

E メールの受信トレイを確認し、Amazon SNS からの E メールで サブスクリプションの確認を選択します。これにより、ウェブブラウザウィンドウが開き、サブスクリプションの確認が表示されます。

開発者、セキュリティエンジニア
タスク説明必要なスキル

Audit アカウントでは、スタックセットを作成します。

vulnerability-management-program.yaml ファイル (添付済み) をコンピューターのローカルパスにダウンロードします。

CloudFormation コンソールで、スタックセットの表示を選択し、StackSetの作成を選択します。テンプレートは準備完了を選択し、 テンプレートファイルをアップロードを選択して、 vulnerability-management-program.yamlファイルをアップロードします。 

アクセスself-managed許可を使用する場合は、CloudFormation ドキュメントの「セルフマネージドアクセス許可を持つスタックセットを作成する」の手順に従います。これにより、個々のアカウントにスタックセットが作成されます。 

アクセスservice-managed許可を使用する場合は、CloudFormation ドキュメントの「サービスマネージドアクセス許可を持つスタックセットを作成する」の手順に従います。スタックセットは、組織全体または指定した組織単位 (OU) をターゲットにすることができます。

スタックセットに次の入力パラメータが設定されていることを確認します。

  • AssessmentSchedule — cron 式を使用する EventBridge のスケジュール。 

  • Duration – Amazon Inspector 評価の実行の時間 (秒)

  • CentralSNSTopicArn – 中央 Amazon SNS トピックの Amazon リソースネーム (ARN)。

  • Tagkey — リソースグループに関連付けられているタグキー。 

  • Tagvalue — リソースグループに関連付けられているタグ値。 

監査アカウントで Amazon EC2 インスタンスをスキャンする場合は、監査アカウントで CloudFormation スタックとして vulnerability-management-program.yaml ファイルを実行する必要があります。

開発者、セキュリティエンジニア

ソリューションを更新する

Amazon Inspector に指定したスケジュールで E メールまたは HTTP エンドポイントで検出結果を受け取っていることを確認します。

開発者、セキュリティエンジニア

関連リソース

添付ファイル

このドキュメントに関連する追加コンテンツにアクセスするには、次のファイルを解凍してください。「attachment.zip