概念と定義

このセクションでは、重要な概念について説明し、このソリューションに固有の用語を定義します。

アプリケーション

1 つのユニットとして運用する AWS リソースの論理グループ。

修復、修復ランブック

検出結果を解決するための一連の手順の実施。例えば、Security Control (SC) Lambda.1 「Lambda 関数ポリシーはパブリックアクセスを禁止する必要があります」というコントロールの修復では、関連する AWS Lambda 関数のポリシーが修正され、パブリックアクセスを許可するステートメントが削除されます。

コントロールランブック

オーケストレータが特定の統制に対して開始された修復を正しい修正ランブックにルーティングするために使用する一連の AWS Systems Manager (SSM) オートメーションドキュメントの 1 つ。例えば、SC の Lambda.1 と AWS の基本的なセキュリティのベストプラクティス (FSBP) の Lambda.1 の修復は、同じ修復ランブックを使用して実装されます。オーケストレータは、各コントロールのコントロールランブックを起動します。コントロールランブックには、それぞれ ASR-AFSBP_Lambda.1 と ASR-SC_2.0.0_Lambda.1 という名前が付けられています。各コントロールのランブックは同じ修復ランブック (この場合は ASR-RemoveLambdaPublicAccess) を起動します。

オーケストレーター

ソリューションによってデプロイされた Step Functions は、AWS Security Hub から検出されたオブジェクトを入力として受け取り、ターゲットアカウントとリージョンで正しいコントロールランブックを起動します。また、オーケストレーターは、修復が開始されたときと修復が成功または失敗したときに、ソリューションの SNS トピックに通知します。

規格

コンプライアンスフレームワークの一部として組織によって定義されるコントロールのグループ。例えば、AWS Security Hub とこのソリューションでサポートされている基準の 1 つが AWS FSBP です。

コントロール

準拠するためにリソースに必要な、または持ってはいけないプロパティの説明。例えば、AWS FSBP Lambda.1というコントロールでは、AWS Lambda 関数はパブリックアクセスを禁止すべきであると記載されています。パブリックアクセスを許可する関数はこのコントロールに失敗します。

統合されたコントロールの検出結果、セキュリティコントロール、セキュリティコントロールビュー

AWS Security Hub の機能の 1 つで、有効にすると、特定の標準に対応する ID ではなく、統合されたコントロール ID で検出結果が表示されます。例えば、AWS FSBP S3.2、CIS v1.2.0 2.3、CIS v1.4.0 2.1.5.2、PCI-DSS v3.2.1 S3.1 のコントロールはすべて、統合 (SC) コントロール S3.2 「S3 バケットはパブリック読み取りアクセスを禁止する必要があります」にマッピングされます。この機能を有効にすると、SC ランブックが使用されます。

AWS 用語の全般リファレンスについては、「AWS 用語集」を参照してください。