AWS Security Hub のセキュリティ標準に 19 個のコントロールが追加されました (2023/10)
AWS Security Hub のセキュリティ標準に新たに 19 個のチェック項目(コントロール)が 追加されました。
追加されたコントロールは下記になり、Security Hub 公式ドキュメントの Document History から確認できます。
- [AppSync.5] AWS AppSync GraphQL APIs should not be authenticated with API keys
- [DMS.6] DMS replication instances should have automatic minor version upgrade enabled
- [DMS.7] DMS replication tasks for the target database should have logging enabled
- [DMS.8] DMS replication tasks for the source database should have logging enabled
- [DMS.9] DMS endpoints should use SSL
- [DocumentDB.3] Amazon DocumentDB manual cluster snapshots should not be public
- [DocumentDB.4] Amazon DocumentDB clusters should publish audit logs to CloudWatch Logs
- [DocumentDB.5] Amazon DocumentDB clusters should have deletion protection enabled
- [ECS.9] ECS task definitions should have a logging configuration
- [EventBridge.3] EventBridge custom event buses should have a resource-based policy attached
- [EventBridge.4] EventBridge global endpoints should have event replication enabled
- [MSK.1] MSK clusters should be encrypted in transit among broker nodes
- [MQ.5] ActiveMQ brokers should use active/standby deployment mode
- [MQ.6] RabbitMQ brokers should use cluster deployment mode
- [NetworkFirewall.9] Network Firewall firewalls should have deletion protection enabled
- [RDS.34] Aurora MySQL DB clusters should publish audit logs to CloudWatch Logs
- [RDS.35] RDS DB clusters should have automatic minor version upgrade enabled
- [Route53.2] Route 53 public hosted zones should log DNS queries
- [WAF.12] AWS WAF rules should have CloudWatch metrics enabled
よく利用されていると想定される『AWS 基礎セキュリティのベストプラクティス v1.0.0』に上記すべてのコントロールが追加されています。
参考: AWS Foundational Security Best Practices (FSBP) standard - AWS Security Hub
新規追加されたコントロール
AppSync
[AppSync.5] AWS AppSync GraphQL APIs should not be authenticated with API keys
- 重要度: High
- Configルール: appsync-authorization-check
- 確認内容:
- AppSync の認証タイプが
API_KEYになっているかどうかを確認します。- API キーを利用した認証を利用すると漏洩のリスクがあるため、IAM 認証等別の認証方式が推奨されます。
- 有効期限が最大で365日間であるため、その都度更新する手間もかかります。
- AppSync の認証タイプが
- 参考:
DMS
[DMS.6] DMS replication instances should have automatic minor version upgrade enabled
- 重要度: Medium
- Configルール: dms-auto-minor-version-upgrade-enabled
- 確認内容:
- DMS のレプリケーションインスタンスで自動マイナーバージョンアップグレードが有効になっているかどうかを確認します。
[DMS.7] DMS replication tasks for the target database should have logging enabled
- 重要度: Medium
- Configルール: dms-replication-task-targetdb-logging
- 概要:
- DMS レプリケーションタスクでターゲットデータベースのロギングが有効になっているかどうかを確認します。
TARGET_APPLYとTARGET_LOADの実行に対して、最小深刻度レベルがLOGGER_SEVERITY_DEFAULT以上でロギングが有効である必要があります。TARGET_APPLY: データおよびデータ定義言語 (DDL) ステートメントがターゲットデータベースに適用された。TARGET_LOAD: データがターゲットデータベースにロードされた。
LOGGER_SEVERITY_DEFAULTは情報メッセージ、警告、エラー メッセージがログに書き込まれる設定です。
- 参考:
[DMS.8] DMS replication tasks for the source database should have logging enabled
- 重要度: Medium
- Configルール: dms-replication-task-sourcedb-logging
- 概要:
- DMS レプリケーションタスクでソースデータベースのロギングが有効になっているかどうかを確認します。
SOURCE_CAPTUREとSOURCE_UNLOADの実行に対して、最小深刻度レベルがLOGGER_SEVERITY_DEFAULT以上でロギングが有効である必要があります。SOURCE_CAPTURE: 継続的レプリケーション (CDC) データがソースデータベースまたはサービスからキャプチャされ、SORTER サービスコンポーネントに渡された。SOURCE_UNLOAD: データがソースデータベースからアンロードされた。
LOGGER_SEVERITY_DEFAULTは情報メッセージ、警告、エラー メッセージがログに書き込まれる設定です。
- 参考:
[DMS.9] DMS endpoints should use SSL
- 重要度: Medium
- Configルール: dms-ssl-connection-configured
- 概要:
- DMS エンドポイントが SSL 接続を使用しているかどうかを確認します。
- 暗号化設定を行うことで、レプリケーションインスタンスとソース/ターゲットデータベース間の通信が暗号化されます。
- DMS エンドポイントが SSL 接続を使用しているかどうかを確認します。
- 参考:
DocumentDB
[DocumentDB.3] Amazon DocumentDB manual cluster snapshots should not be public
- 重要度: Critical
- Configルール: docdb-cluster-snapshot-public-prohibited
- 概要:
- DocumentDB の手動クラスタースナップショットが公開されていないかを確認します。
[DocumentDB.4] Amazon DocumentDB clusters should publish audit logs to CloudWatch Logs
- 重要度: Medium
- Configルール: docdb-cluster-audit-logging-enabled
- 概要:
- DocumentDB クラスターが CloudWatch Logs に監査ログを出力しているかどうかを確認します。
[DocumentDB.5] Amazon DocumentDB clusters should have deletion protection enabled
- 重要度: Medium
- Configルール: docdb-cluster-deletion-protection-enabled
- 概要:
- DocumentDB クラスタに対して削除保護を有効にしているかどうかを確認します。
ECS
[ECS.9] ECS task definitions should have a logging configuration
- 重要度: High
- Configルール: ecs-task-definition-log-configuration
- 確認内容:
- ECS タスク定義でロギング設定が実施されているかどうかを確認します。
logConfigurationプロパティが定義されていないか、少なくとも1つのコンテナ定義でlogDriverの値が NULL の場合に失敗します。
- ECS タスク定義でロギング設定が実施されているかどうかを確認します。
EventBridge
[EventBridge.3] EventBridge custom event buses should have a resource-based policy attached
- 重要度: Low
- Configルール: custom-schema-registry-policy-attached
- 確認内容:
- Amazon EventBridge カスタムイベントバスにリソースベースポリシーがアタッチされているかどうかを確認します。
- リソースベースポリシーを活用することで、イベントバスごとのアクセス許可を実現可能です。
- クロスアカウントでのイベント送信の際に活用可能です。
- 参考:
[EventBridge.4] EventBridge global endpoints should have event replication enabled
- 重要度: Medium
- Configルール: global-endpoint-event-replication-enabled
- 確認内容:
- EventBridge グローバルエンドポイントに対して、イベントレプリケーションが有効になっているかどうかをチェックします。
- イベントレプリケーションを有効化しなくてもグローバルエンドポイントは利用可能ですが、下記理由から有効化が推奨されます。
- グローバルエンドポイントが正しく構成されていることを確認できるため
- 自動でフェイルバックするには、イベントレプリケーションが必要であるため
- 参考:
MSK
[MSK.1] MSK clusters should be encrypted in transit among broker nodes
- 重要度: Medium
- Configルール: msk-in-cluster-node-require-tls
- 確認内容:
- Amazon MSK クラスターのブローカーノード間で転送中に通信が暗号化されているかどうかをチェックします。
MQ
[MQ.5] ActiveMQ brokers should use active/standby deployment modes
- 重要度: Low
- Configルール: mq-deployment-mode
- 確認内容:
- Amazon MQ ActiveMQ ブローカーのデプロイメントモードがアクティブ/スタンバイに設定されているかどうかをチェックします。
- デフォルトのシングルインスタンスブローカーが選択されている場合、失敗します。
[MQ.6] RabbitMQ brokers should use cluster deployment mode
- 重要度: Low
- Configルール: mq-rabbit-deployment-mode
- 確認内容:
- Amazon MQ RabbitMQ ブローカーのデプロイメントモードがクラスターデプロイに設定されているかどうかをチェックします。
- デフォルトのシングルインスタンスブローカーモードが使用されている場合、失敗します。
NetworkFirewall
[NetworkFirewall.9] Network Firewall firewalls should have deletion protection enabled
- 重要度: Medium
- Configルール: netfw-deletion-protection-enabled
- 確認内容:
- AWS Network Firewall のファイアウォールで削除保護が有効になっているかどうかを確認します。
RDS
[RDS.34] Aurora MySQL DB clusters should publish audit logs to CloudWatch Logs
- 重要度: Medium
- Configルール: rds-aurora-mysql-audit-logging-enabled
- 確認内容:
- Aurora MySQL-Compatible Edition クラスターが監査ログを CloudWatch Logs に送信しているかどうかを確認します。
[RDS.35] RDS DB clusters should have automatic minor version upgrade enabled
- 重要度: Medium
- Configルール: rds-cluster-auto-minor-version-upgrade-enable
- 確認内容:
- RDS データベースで自動マイナーバージョンアップグレードが有効になっているかどうかを確認します。
Route53
[Route53.2] Route 53 public hosted zones should log DNS queries
- 重要度: Medium
- Configルール: route53-query-logging-enabled
- 確認内容:
- Amazon Route 53 パブリックホストゾーンで DNS クエリロギングが有効になっているかどうかをチェックします。
WAF
[WAF.12] AWS WAF rules should have CloudWatch metrics enabled
- 重要度: Medium
- Configルール: wafv2-rulegroup-logging-enabled
- 確認内容:
- AWS WAFルールまたはルールグループで Amazon CloudWatch メトリクスが有効になっているかどうかを確認します。
最後に
個人的には ECS.9 が嬉しいです。
AppSync を使っている方は、API キー認証を使っている部分をリストアップできるので AppSync.5 もかなり嬉しいんじゃないかと思いました。
Security Hub を活用して、セキュアに AWS を活用していきたいですね!
![【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません](https://images.ctfassets.net/ct0aopd36mqt/wp-refcat-img-cea52bc8a6ec5cad9021b38df4a08b9e/24c76ee7c1ae7aa7f9676a59c77f8702/aws-security-hub)
