Security Hub CSPM の中央設定について - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub CSPM の中央設定について

中央設定は、 AWS Security Hub Cloud Security Posture Management (CSPM) の機能であり、複数の AWS アカウント と にわたって Security Hub CSPM を設定および管理する際に役立ちます AWS リージョン。中央設定を使用するには、まず Security Hub CSPM と を統合する必要があります AWS Organizations。組織を作成し、組織の委任 Security Hub CSPM 管理者アカウントを指定することで、サービスを統合できます。

委任 Security Hub CSPM 管理者アカウントから、リージョン間で組織のアカウントと組織単位 (OUs) に対して Security Hub CSPM を有効にできます。リージョン間でアカウントと OUs の個々のセキュリティ標準とセキュリティコントロールを有効、設定、無効にすることもできます。これらの設定は、ホームリージョンと呼ばれる 1 つのプライマリリージョンから、わずか数ステップで設定できます。

中央設定を使用する場合、委任された管理者が設定するアカウントと OU を選択できます。委任された管理者がメンバーアカウントまたは OU をセルフマネージド型に指定した場合、メンバーは各リージョンで独自の設定を個別に構成できます。委任された管理者がメンバーアカウントまたは OU を一元管理型に指定した場合、委任された管理者のみが複数のリージョンにわたってメンバーアカウントまたは OU を設定できます。組織内のすべてのアカウントと OU を、一元管理型、すべてセルフマネージド型、または両方の組み合わせとして指定できます。

一元管理アカウントを設定するには、委任管理者は Security Hub CSPM 設定ポリシーを使用します。設定ポリシーにより、委任管理者は Security Hub CSPM が有効か無効か、どの標準とコントロールが有効か無効かを指定できます。また、特定のコントロールのパラメータをカスタマイズするためにも使用できます。

設定ポリシーは、ホームリージョンとリンクされたすべてのリージョンで有効になります。委任された管理者は、中央設定の使用を開始する前に、組織のホームリージョンとリンクされたリージョンを指定します。リンクされたリージョンの指定はオプションです。委任された管理者は、組織全体に単一の設定ポリシーを作成することも、複数の設定ポリシーを作成してさまざまなアカウントや OU の変数設定を行うこともできます。

ヒント

中央設定を使用しない場合は、主にアカウントとリージョンごとに Security Hub CSPM を個別に設定する必要があります。これはローカル設定と呼ばれます。ローカル設定では、委任管理者は、現在のリージョンの新しい組織アカウントで Security Hub CSPM と制限された一連のセキュリティ標準を自動的に有効にできます。ローカル設定は、既存の組織アカウントや、現在のリージョン以外のリージョンには適用されません。また、ローカル設定では設定ポリシーの使用もサポートされていません。

このセクションでは、中央設定の概要について説明します。

中央設定を使用する利点

中央設定には、次のような利点があります。

Security Hub CSPM サービスと機能の設定を簡素化する

中央設定を使用する場合、Security Hub CSPM は組織のセキュリティのベストプラクティスを設定するプロセスをガイドします。また、作成された設定ポリシーは、指定したアカウントと OU に自動的にデプロイされます。新しいセキュリティコントロールを自動的に有効にするなど、既存の Security Hub CSPM 設定がある場合は、設定ポリシーの開始点として使用できます。さらに、Security Hub CSPM コンソールの設定ページには、設定ポリシーと、各ポリシーを使用するアカウントと OUs のリアルタイム概要が表示されます。

複数のアカウントやリージョンにまたがる設定

中央設定を使用して、複数のアカウントとリージョンにわたって Security Hub CSPM を設定できます。これにより、組織の各部署で一貫した設定と適切なセキュリティ対策が確保されます。

さまざまなアカウントや OU で異なる設定に対応

中央設定により、組織のアカウントと OU をさまざまな方法で設定できます。例えば、テストアカウントと本稼働アカウントでは異なる設定が必要になる場合があります。組織に追加する際に新しいアカウントを対象とする設定ポリシーを作成することもできます。

設定のずれを防ぐ

設定のずれは、サービスや機能に対してユーザーが行った変更が、委任された管理者が行った選択と競合する場合に発生します。中央設定によりこのずれを防止します。アカウントまたは OU を一元管理型として指定する場合に設定できるのは、組織の委任管理者のみです。特定のアカウントや OU で独自の設定を行う場合は、セルフマネージド型に指定できます。

中央設定をいつ使用するのか?

中央設定は、複数の Security Hub CSPM アカウントを含む AWS 環境に最も有益です。これは、複数のアカウントの Security Hub CSPM を一元管理できるように設計されています。

中央設定を使用して、Security Hub CSPM サービス、セキュリティ標準、およびセキュリティコントロールを設定できます。また、この設定を使用して特定のコントロールのパラメータをカスタマイズすることもできます。セキュリティ標準の詳細については、「Security Hub CSPM のセキュリティ標準について」を参照してください。セキュリティコントロールの詳細については、「Security Hub CSPM のセキュリティコントロールについて」を参照してください。

中央設定に関する用語と概念

以下の主要な用語と概念を理解することは、Security Hub CSPM 中央設定の使用に役立ちます。

中央設定

組織の委任 Security Hub CSPM 管理者アカウントが、複数のアカウントとリージョンにわたって Security Hub CSPM サービス、セキュリティ標準、およびセキュリティコントロールを設定するのに役立つ Security Hub CSPM 機能。これらの設定を構成するために、委任管理者は組織内の一元管理アカウント用の Security Hub CSPM 設定ポリシーを作成および管理します。セルフマネージド型アカウントは、リージョンごとに独自の設定を個別に行うことができます。中央設定を使用するには、Security Hub CSPM と を統合する必要があります AWS Organizations。

ホームリージョン

設定ポリシーを作成および管理することで、委任管理者が Security Hub CSPM を一元的に設定 AWS リージョン する 。設定ポリシーは、ホームリージョンとリンクされたすべてのリージョンで有効になります。

ホームリージョンは Security Hub CSPM 集約リージョンとしても機能し、リンクされたリージョンから検出結果、インサイト、その他のデータを受け取ります。

2019 年 3 月 20 日以降に AWS 導入されたリージョンは、オプトインリージョンと呼ばれます。オプトインリージョンをホームリージョンにすることはできませんが、リンクされたリージョンにすることはできます。オプトインリージョンのリストについては、「AWS アカウント管理リファレンスガイド」の「Considerations before enabling and disabling Regions」を参照してください。

リンクされたリージョン

ホームリージョンから設定 AWS リージョン 可能な 。設定ポリシーは、ホームリージョンの委任管理者によって作成されます。ポリシーは、ホームリージョンとリンクされたすべてのリージョンで有効になります。リンクされたリージョンの指定はオプションです。

また、リンクされたリージョンによって、検出結果、インサイト、その他のデータがホームリージョンに送信されます。

2019 年 3 月 20 日以降に AWS 導入されたリージョンは、オプトインリージョンと呼ばれます。設定ポリシーを適用する前に、そのようなリージョンをアカウントで有効にする必要があります。Organizations 管理アカウントでは、メンバーアカウントのオプトインリージョンを有効にできます。詳細については、「 アカウント管理リファレンスガイド」の AWS リージョン 「アカウントで使用できるアカウントを指定する」を参照してください。 AWS

[Target] (ターゲット)

AWS アカウント、組織単位 (OU)、または組織ルート。

Security Hub CSPM 設定ポリシー

委任管理者が一元管理ターゲット用に設定できる Security Hub CSPM 設定のコレクション。これには、以下が含まれます。

  • Security Hub CSPM を有効または無効にするかどうか。

  • 1 つ以上のセキュリティ標準を有効にするかどうか。

  • 有効になっている標準でどのセキュリティコントロールを有効にするか。委任管理者は、有効にする必要がある特定のコントロールのリストを提供することでこれを行うことができます。Security Hub CSPM は、他のすべてのコントロール (リリース時の新しいコントロールを含む) を無効にします。または、委任管理者は無効にする必要がある特定のコントロールのリストを提供でき、Security Hub CSPM は他のすべてのコントロール (リリース時の新しいコントロールを含む) を有効にします。

  • オプションで、有効な複数の標準で有効になっているコントロールを選択してパラメータをカスタマイズできます。

設定ポリシーは、少なくとも 1 つのアカウント、組織単位 (OU)、またはルートに関連付けられると、ホームリージョンとリンクされたすべてのリージョンで有効になります。

Security Hub CSPM コンソールで、委任管理者は Security Hub CSPM 推奨設定ポリシーを選択するか、カスタム設定ポリシーを作成できます。Security Hub CSPM API と を使用すると AWS CLI、委任管理者はカスタム設定ポリシーのみを作成できます。委任された管理者は、最大 20 のカスタム設定ポリシーを作成できます。

推奨される設定ポリシーでは、Security Hub CSPM、 AWS Foundational Security Best Practices (FSBP) 標準、および既存のすべての FSBP コントロールと新しい FSBP コントロールが有効になっています。パラメータを受け入れるコントロールは、デフォルト値を使用します。推奨される設定ポリシーは、組織全体に適用されます。

組織に異なる設定を適用したり、異なるアカウントや OU に異なる設定ポリシーを適用したりするには、カスタム設定ポリシーを作成します。

ローカル設定

Security Hub CSPM と を統合した後の、組織のデフォルトの設定タイプ AWS Organizations。ローカル設定では、委任管理者は、現在のリージョンの新しい組織アカウントで Security Hub CSPM とデフォルトのセキュリティ標準を自動的に有効にすることを選択できます。委任された管理者がデフォルトの標準を自動的に有効にすると、これらの標準に含まれるすべてのコントロールも、新しい組織アカウントのデフォルトパラメータを使用して自動的に有効になります。これらの設定は既存のアカウントには適用されないため、アカウントを組織に追加した後に設定のずれが生じる可能性があります。デフォルトの標準に含まれる特定のコントロールの無効化、および追加の標準とコントロールの設定は、アカウントやリージョンごとに個別に行う必要があります。

ローカル設定では、設定ポリシーの使用がサポートされていません。設定ポリシーを使用するには、中央設定に切り替える必要があります。

手動アカウント管理

Security Hub CSPM を と統合しない場合、 AWS Organizations またはスタンドアロンアカウントがある場合は、各リージョンで各アカウントの設定を個別に指定する必要があります。手動によるアカウント管理では、設定ポリシーの使用がサポートされていません。

中央設定 API

Security Hub CSPM 委任 Security Hub CSPM 管理者のみがホームリージョンで使用して、一元管理されたアカウントの設定ポリシーを管理できる Security Hub CSPM オペレーション。オペレーションは次のとおりです。

  • CreateConfigurationPolicy

  • DeleteConfigurationPolicy

  • GetConfigurationPolicy

  • ListConfigurationPolicies

  • UpdateConfigurationPolicy

  • StartConfigurationPolicyAssociation

  • StartConfigurationPolicyDisassociation

  • GetConfigurationPolicyAssociation

  • BatchGetConfigurationPolicyAssociations

  • ListConfigurationPolicyAssociations

アカウント固有の API

Security Hub CSPM、標準、およびコントロールをaccount-by-account有効または無効にするために使用できる Security Hub CSPM オペレーション。これらのオペレーションは、個々のリージョンで使用されます。

セルフマネージド型アカウントは、アカウント固有のオペレーションを使用して独自の設定を行うことができます。一元管理型アカウントは、ホームリージョンとリンクされたリージョンでは以下のアカウント固有のオペレーションを使用することができません。これらのリージョンで中央設定オペレーションと設定ポリシーによって一元管理型アカウントを設定できるのは、委任された管理者のみです。

  • BatchDisableStandards

  • BatchEnableStandards

  • BatchUpdateStandardsControlAssociations

  • DisableSecurityHub

  • EnableSecurityHub

  • UpdateStandardsControl

アカウントのステータスをチェックするために、一元管理アカウントの所有者 Security Hub CSPM API の任意の Get または Describeオペレーションを使用できます。

中央設定の代わりにローカル設定または手動アカウント管理を使用する場合は、これらのアカウント固有のオペレーションを使用できます。

セルフマネージドアカウントは、 *Invitations および *Members オペレーションを使用することもできます。ただし、セルフマネージド型アカウントではこれらのオペレーションを使用しないことをお勧めします。メンバーアカウントに、委任管理者とは異なる組織に属する独自のメンバーがある場合、ポリシーの関連付けが失敗する可能性があります。

組織単位 (OU)

AWS Organizations および Security Hub CSPM では、 グループのコンテナ AWS アカウント。また、組織単位 (OU) は他の OU に含めることもでき、上下反転したツリーのような階層を作成できます。最上部には親 OU があり、下に向かって OU の枝が広がり、先端にはツリーの葉であるアカウントがあります。OU は、厳密に親を 1 つ持つことができ、各組織アカウントを厳密に 1 つの OU のメンバーにすることができます。

OUs は AWS Organizations または で管理できます AWS Control Tower。詳細については、「AWS Organizations ユーザーガイド」の「組織単位の管理」または「AWS Control Tower ユーザーガイド」の「AWS Control Towerで組織とアカウントを管理する」を参照してください。

委任された管理者は、設定ポリシーを特定のアカウントや OU に関連付けたり、組織内のすべてのアカウントや OU を対象とするルートに関連付けたりできます。

一元管理型

委任管理者のみが設定ポリシーを使用して複数のリージョンにわたり設定できるターゲット。

委任管理者アカウントで、ターゲットが一元管理型かどうかを指定します。委任された管理者は、ターゲットのステータスを一元管理型からセルフマネージド型に、またはその逆に変更することもできます。

セルフマネージド型

独自の Security Hub CSPM 設定を管理するターゲット。セルフマネージドターゲットは、アカウント固有のオペレーションを使用して、各リージョンで個別に Security Hub CSPM を設定します。これとは対照的に、一元管理型ターゲットは、設定ポリシーによって複数のリージョンにわたり委任された管理者のみが設定できます。

委任管理者アカウントで、ターゲットがセルフマネージド型かどうかを指定します。委任管理者は、ターゲットにセルフマネージド型の動作を適用できます。また、アカウントや OU は親からセルフマネージド型の動作を継承することもできます。

委任管理者アカウントは、それ自体がセルフマネージド型アカウントである可能性があります。委任管理者アカウントは、ターゲットのステータスをセルフマネージド型から一元管理型、または逆に変更できます。

設定ポリシーの関連付け

設定ポリシーとアカウント、組織単位 (OU)、またはルートとの間のリンク。ポリシーが関連付けられている場合、アカウント、OU、またはルートでは設定ポリシーで定義された設定を使用します。関連付けは次のいずれかの場合に発生します。

  • 委任された管理者が設定ポリシーをアカウント、OU、またはルートに直接適用する場合

  • アカウントまたは OU が親 OU またはルートから設定ポリシーを継承する場合

関連付けは、別の設定が適用または継承されるまで発生します。

適用された設定ポリシー

委任された管理者が設定ポリシーをターゲットアカウント、OU、またはルートに直接適用する、設定ポリシーの関連付けタイプ。ターゲットは設定ポリシーで定義されている方法で設定され、委任された管理者のみが設定を変更できます。ルートに適用した場合、設定ポリシーは、アプリケーションまたは最も近い親からの継承によって異なる設定を使用していない、組織内のすべてのアカウントと OU に影響します。

委任された管理者は、特定のアカウント、OU、またはルートにセルフマネージド型の設定を適用することもできます。

継承された設定ポリシー

アカウントまたは OU が最も近い親 OU またはルートの設定を採用する、設定ポリシーの関連付けタイプ。設定ポリシーがアカウントや OU に直接適用されない場合、最も近い親 OU の設定が継承されます。ポリシーのすべての要素は継承されます。つまり、アカウントや OU はポリシーの一部だけを選択的に継承することはできません。最も近い親がセルフマネージド型の場合、子アカウントまたは OU は親のセルフマネージド型の動作を継承します。

継承によって適用された設定を上書きすることはできません。つまり、設定ポリシーまたはセルフマネージド型の設定がアカウントまたは OU に直接適用された場合、その設定が使用され、親の設定は継承されません。

ルート

AWS Organizations および Security Hub CSPM では、組織内の最上位の親ノード。委任された管理者が設定ポリシーをルートに適用すると、そのポリシーは組織内のすべてのアカウントと OU に関連付けられます。ただし、アプリケーションまたは継承によって別のポリシーが使用されている場合や、セルフマネージド型として指定されている場合は除きます。管理者がルートをセルフマネージド型として指定した場合、アプリケーションまたは継承で設定ポリシーを使用する場合を除き、組織内のすべてのアカウントと OU はセルフマネージド型になります。ルートがセルフマネージド型で、現在設定ポリシーが存在しない場合、組織内のすべての新規アカウントで現在の設定が保持されます。

組織に追加した新しいアカウントは、特定の OU に割り当てられるまではルートに属します。新しいアカウントが OU に割り当てられない場合、委任された管理者がセルフマネージド型アカウントとして指定しない限り、そのアカウントはルート設定を継承します。