AWS Security Hub のセキュリティ標準に 19 個のコントロールが追加されました (2023/10)

AWS Security Hub のセキュリティ標準に新たに 19 個のチェック項目(コントロール)が 追加されました。
追加されたコントロールは下記になり、Security Hub 公式ドキュメントの Document History から確認できます。

• [AppSync.5] AWS AppSync GraphQL APIs should not be authenticated with API keys
• [DMS.6] DMS replication instances should have automatic minor version upgrade enabled
• [DMS.7] DMS replication tasks for the target database should have logging enabled
• [DMS.8] DMS replication tasks for the source database should have logging enabled
• [DMS.9] DMS endpoints should use SSL
• [DocumentDB.3] Amazon DocumentDB manual cluster snapshots should not be public
• [DocumentDB.4] Amazon DocumentDB clusters should publish audit logs to CloudWatch Logs
• [DocumentDB.5] Amazon DocumentDB clusters should have deletion protection enabled
• [ECS.9] ECS task definitions should have a logging configuration
• [EventBridge.3] EventBridge custom event buses should have a resource-based policy attached
• [EventBridge.4] EventBridge global endpoints should have event replication enabled
• [MSK.1] MSK clusters should be encrypted in transit among broker nodes
• [MQ.5] ActiveMQ brokers should use active/standby deployment mode
• [MQ.6] RabbitMQ brokers should use cluster deployment mode
• [NetworkFirewall.9] Network Firewall firewalls should have deletion protection enabled
• [RDS.34] Aurora MySQL DB clusters should publish audit logs to CloudWatch Logs
• [RDS.35] RDS DB clusters should have automatic minor version upgrade enabled
• [Route53.2] Route 53 public hosted zones should log DNS queries
• [WAF.12] AWS WAF rules should have CloudWatch metrics enabled

よく利用されていると想定される『AWS 基礎セキュリティのベストプラクティス v1.0.0』に上記すべてのコントロールが追加されています。

参考: AWS Foundational Security Best Practices (FSBP) standard - AWS Security Hub

新規追加されたコントロール

AppSync

[AppSync.5] AWS AppSync GraphQL APIs should not be authenticated with API keys

• 重要度： High
• Configルール： appsync-authorization-check
• 確認内容：
  • AppSync の認証タイプが API_KEY になっているかどうかを確認します。
    • API キーを利用した認証を利用すると漏洩のリスクがあるため、IAM 認証等別の認証方式が推奨されます。
    • 有効期限が最大で365日間であるため、その都度更新する手間もかかります。
• 参考：
  • 承認と認証 - AWS AppSync -

DMS

[DMS.6] DMS replication instances should have automatic minor version upgrade enabled

• 重要度： Medium
• Configルール： dms-auto-minor-version-upgrade-enabled
• 確認内容：
  • DMS のレプリケーションインスタンスで自動マイナーバージョンアップグレードが有効になっているかどうかを確認します。

[DMS.7] DMS replication tasks for the target database should have logging enabled

• 重要度： Medium
• Configルール： dms-replication-task-targetdb-logging
• 概要：
  • DMS レプリケーションタスクでターゲットデータベースのロギングが有効になっているかどうかを確認します。
  • TARGET_APPLY と TARGET_LOAD の実行に対して、最小深刻度レベルが LOGGER_SEVERITY_DEFAULT 以上でロギングが有効である必要があります。
    • TARGET_APPLY: データおよびデータ定義言語 (DDL) ステートメントがターゲットデータベースに適用された。
    • TARGET_LOAD: データがターゲットデータベースにロードされた。
  • LOGGER_SEVERITY_DEFAULT は情報メッセージ、警告、エラー メッセージがログに書き込まれる設定です。
• 参考：
  • ロギングタスク設定 - AWS Database Migration Service -

[DMS.8] DMS replication tasks for the source database should have logging enabled

• 重要度： Medium
• Configルール： dms-replication-task-sourcedb-logging
• 概要：
  • DMS レプリケーションタスクでソースデータベースのロギングが有効になっているかどうかを確認します。
  • SOURCE_CAPTURE と SOURCE_UNLOAD の実行に対して、最小深刻度レベルが LOGGER_SEVERITY_DEFAULT 以上でロギングが有効である必要があります。
    • SOURCE_CAPTURE: 継続的レプリケーション (CDC) データがソースデータベースまたはサービスからキャプチャされ、SORTER サービスコンポーネントに渡された。
    • SOURCE_UNLOAD: データがソースデータベースからアンロードされた。
  • LOGGER_SEVERITY_DEFAULT は情報メッセージ、警告、エラー メッセージがログに書き込まれる設定です。
• 参考：
  • ロギングタスク設定 - AWS Database Migration Service -

[DMS.9] DMS endpoints should use SSL

• 重要度： Medium
• Configルール： dms-ssl-connection-configured
• 概要：
  • DMS エンドポイントが SSL 接続を使用しているかどうかを確認します。
    • 暗号化設定を行うことで、レプリケーションインスタンスとソース/ターゲットデータベース間の通信が暗号化されます。
• 参考：
  • AWS DMS エンドポイントの使用 - AWS Database Migration Service -

DocumentDB

[DocumentDB.3] Amazon DocumentDB manual cluster snapshots should not be public

• 重要度： Critical
• Configルール： docdb-cluster-snapshot-public-prohibited
• 概要：
  • DocumentDB の手動クラスタースナップショットが公開されていないかを確認します。

[DocumentDB.4] Amazon DocumentDB clusters should publish audit logs to CloudWatch Logs

• 重要度： Medium
• Configルール： docdb-cluster-audit-logging-enabled
• 概要：
  • DocumentDB クラスターが CloudWatch Logs に監査ログを出力しているかどうかを確認します。

[DocumentDB.5] Amazon DocumentDB clusters should have deletion protection enabled

• 重要度： Medium
• Configルール： docdb-cluster-deletion-protection-enabled
• 概要：
  • DocumentDB クラスタに対して削除保護を有効にしているかどうかを確認します。

ECS

[ECS.9] ECS task definitions should have a logging configuration

• 重要度： High
• Configルール： ecs-task-definition-log-configuration
• 確認内容：
  • ECS タスク定義でロギング設定が実施されているかどうかを確認します。
    • logConfiguration プロパティが定義されていないか、少なくとも1つのコンテナ定義で logDriver の値が NULL の場合に失敗します。

EventBridge

[EventBridge.3] EventBridge custom event buses should have a resource-based policy attached

• 重要度： Low
• Configルール： custom-schema-registry-policy-attached
• 確認内容：
  • Amazon EventBridge カスタムイベントバスにリソースベースポリシーがアタッチされているかどうかを確認します。
  • リソースベースポリシーを活用することで、イベントバスごとのアクセス許可を実現可能です。
  • クロスアカウントでのイベント送信の際に活用可能です。
• 参考：
  • Amazon EventBridge イベントバスのアクセス許可 - Amazon EventBridge -
  • 他アカウントのEventBridgeのイベントバスに対してイベントを発行する - DevelopersIO -

[EventBridge.4] EventBridge global endpoints should have event replication enabled

• 重要度： Medium
• Configルール： global-endpoint-event-replication-enabled
• 確認内容：
  • EventBridge グローバルエンドポイントに対して、イベントレプリケーションが有効になっているかどうかをチェックします。
  • イベントレプリケーションを有効化しなくてもグローバルエンドポイントは利用可能ですが、下記理由から有効化が推奨されます。
    • グローバルエンドポイントが正しく構成されていることを確認できるため
    • 自動でフェイルバックするには、イベントレプリケーションが必要であるため
• 参考：
  • Amazon EventBridge にイベントを別リージョンに自動でフェイルオーバーするグローバルエンドポイントが追加されました - DevelopersIO -

MSK

[MSK.1] MSK clusters should be encrypted in transit among broker nodes

• 重要度： Medium
• Configルール： msk-in-cluster-node-require-tls
• 確認内容：
  • Amazon MSK クラスターのブローカーノード間で転送中に通信が暗号化されているかどうかをチェックします。

MQ

[MQ.5] ActiveMQ brokers should use active/standby deployment modes

• 重要度： Low
• Configルール： mq-deployment-mode
• 確認内容：
  • Amazon MQ ActiveMQ ブローカーのデプロイメントモードがアクティブ/スタンバイに設定されているかどうかをチェックします。
  • デフォルトのシングルインスタンスブローカーが選択されている場合、失敗します。

[MQ.6] RabbitMQ brokers should use cluster deployment mode

• 重要度： Low
• Configルール： mq-rabbit-deployment-mode
• 確認内容：
  • Amazon MQ RabbitMQ ブローカーのデプロイメントモードがクラスターデプロイに設定されているかどうかをチェックします。
  • デフォルトのシングルインスタンスブローカーモードが使用されている場合、失敗します。

NetworkFirewall

[NetworkFirewall.9] Network Firewall firewalls should have deletion protection enabled

• 重要度： Medium
• Configルール： netfw-deletion-protection-enabled
• 確認内容：
  • AWS Network Firewall のファイアウォールで削除保護が有効になっているかどうかを確認します。

RDS

[RDS.34] Aurora MySQL DB clusters should publish audit logs to CloudWatch Logs

• 重要度： Medium
• Configルール： rds-aurora-mysql-audit-logging-enabled
• 確認内容：
  • Aurora MySQL-Compatible Edition クラスターが監査ログを CloudWatch Logs に送信しているかどうかを確認します。

[RDS.35] RDS DB clusters should have automatic minor version upgrade enabled

• 重要度： Medium
• Configルール： rds-cluster-auto-minor-version-upgrade-enable
• 確認内容：
  • RDS データベースで自動マイナーバージョンアップグレードが有効になっているかどうかを確認します。

Route53

[Route53.2] Route 53 public hosted zones should log DNS queries

• 重要度： Medium
• Configルール： route53-query-logging-enabled
• 確認内容：
  • Amazon Route 53 パブリックホストゾーンで DNS クエリロギングが有効になっているかどうかをチェックします。

WAF

[WAF.12] AWS WAF rules should have CloudWatch metrics enabled

• 重要度： Medium
• Configルール： wafv2-rulegroup-logging-enabled
• 確認内容：
  • AWS WAFルールまたはルールグループで Amazon CloudWatch メトリクスが有効になっているかどうかを確認します。

最後に

個人的には ECS.9 が嬉しいです。
AppSync を使っている方は、API キー認証を使っている部分をリストアップできるので AppSync.5 もかなり嬉しいんじゃないかと思いました。
Security Hub を活用して、セキュアに AWS を活用していきたいですね！