アーキテクチャの概要 - AWS での自動化されたセキュリティ対応
アーキテクチャ図

アーキテクチャの概要

このセクションでは、このソリューションでデプロイされるコンポーネントのリファレンス実装アーキテクチャ図を示します。

アーキテクチャ図

このソリューションをデフォルトのパラメータでデプロイすると、以下に示す環境が AWS クラウドに構築されます。

AWS での自動化されたセキュリティ対応のアーキテクチャ

AWS Security Hub の自動対応アーキテクチャ
注記

AWS CloudFormation のリソースは、AWS Cloud Development Kit (AWS CDK) のコンストラクトで作成されています。

AWS CloudFormation テンプレートを使用してデプロイされたこのソリューションコンポーネントの大まかなプロセスフローは次のとおりです。

  1. 検出: AWS Security Hub は、AWS のセキュリティ状態の包括的なビューをユーザーに提供します。セキュリティ業界の基準とベストプラクティスに照らして環境を測定するのに役立ちます。そのために、AWS Config、Amazon Guard Duty、AWS Firewall Manager など、他の AWS のサービスからイベントとデータを収集します。これらのイベントとデータは、CIS AWS Foundations Benchmark などのセキュリティ標準に照らして分析されます。例外は、AWS Security Hub コンソールで検出結果として表示されます。新しい検出結果は Amazon EventBridge イベントとして送信されます。

  2. 開始: カスタムアクションを使用して検出結果に対してイベントを開始できます。これにより、EventBridge イベントが発生します。AWS Security Hub のカスタムアクションと EventBridge のルールは、AWS プレイブックで自動セキュリティ対応を開始して、検出結果に対処します。このソリューションは以下をデプロイします。

    1. カスタムアクションイベントに一致する 1 つの EventBridge ルール

    2. リアルタイム検出結果イベントに一致する、サポートされているコントロール (デフォルトでは無効) ごとに 1 つの EventBridge イベントルール

    Security Hub コンソールのカスタムアクションメニューを使用して、自動修復を開始できます。非本番環境で慎重にテストした後、自動修復をアクティブ化することもできます。修復別に自動化をアクティブ化できます。すべての修復で自動開始をアクティブ化する必要はありません。

  3. 修復前: 管理者アカウントで、AWS Step Functions は修復イベントを処理し、スケジューリングの準備を行います。

  4. スケジュール: ソリューションはスケジューリング AWS Lambda 関数を呼び出して、修復イベントを Amazon DynamoDB 状態テーブルに配置します。

  5. オーケストレーション: 管理者アカウントで、Step Functions はクロスアカウント AWS Identity and Access Management (IAM) ロールを使用します。Step Functions は、セキュリティ検出結果を生成したリソースを含むメンバーアカウントで修復を呼び出します。

  6. 修復: メンバーアカウントの AWS Systems Manager Automation ドキュメントは、Lambda パブリックアクセスの無効化など、対象リソースの検出結果を修復するために必要なアクションを実行します。

    オプションで、EnableCloudTrailForASRActionLog パラメータを使用して、メンバースタックのアクションログ機能を有効にできます。この機能は、メンバーアカウントでソリューションによって実行されたアクションをキャプチャし、ソリューションの Amazon CloudWatch ダッシュボードに表示します。

  7. (オプション) チケットの作成: TicketGenFunctionName パラメータを使用して管理者スタックでチケットを有効にすると、ソリューションは提供されたチケットジェネレーターの Lambda 関数を呼び出します。この Lambda 関数は、メンバーアカウントで修復が正常に実行された後に、チケット発行サービスにチケットを作成します。Jira および ServiceNow との統合用のスタックを提供しています。

  8. 通知とログ: プレイブックは結果を Amazon CloudWatch Logs グループにログ記録し、Amazon Simple Notification Service (Amazon SNS) トピックに通知を送信して、Security Hub の検出結果を更新します。このソリューションは、検出結果メモにアクションの監査証跡を保持します。