defaultのセキュリティグループが使われているか調査するPythonスクリプト書いてみた

defaultのセキュリティグループが使われているか調査するPythonスクリプト書いてみた

defaultセキュリティグループが利用されているか調査するPythonスクリプトを書きました。defaultセキュリティグループの無効化をするためにご活用下さい。
#Python
#ネットワーク
#Amazon VPC
#セキュリティ
#CISベンチマーク
臼田佳祐

臼田佳祐

facebook logohatena logotwitter logo
Clock Icon2019.07.21

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

皆さん、スクリプト書いてますか?

今回も狭い用途のスクリプトを書いたので公開します。defaultセキュリティグループが利用されているか調査するためのスクリプトです。

defaultセキュリティグループの性質

セキュリティグループの中には、defaultセキュリティグループが各VPCに一つ存在します。VPCが作成されたタイミングと一緒に作成されます。

このdefaultセキュリティグループは特殊な役割を担っています。それは、明示的にセキュリティグループを指定しなかったリソースに対して割り当たることがあるというものです。

このセキュリティグループのインバウンドは、デフォルトではすべてのプロトコルをセキュリティグループ内で許可する設定となっており、意識せず割り当たって意図せず通信できてしまう、ということが発生する懸念があるため、利用を避けるべきセキュリティグループとなっています。

また、削除することができず残さないといけないため、インバウンドルールをすべて削除する変更が必要となり、CISベンチマークでもこれが推奨されています

スクリプト

というわけでdefaultセキュリティグループを無効化したくなるのですが、自分ですべてを理解していない環境では、defaultセキュリティグループが使われている可能性があります。

まずはそれを調査する必要があるため、このスクリプトを書きました。

Python3.6で動作します。

import sys
import boto3

account_id = boto3.client('sts').get_caller_identity()['Account']

print('Account is: ' + account_id)
agree = input('Is it OK? (y/n): ')
if agree != 'y': sys.exit()

ec2_client = boto3.client('ec2')
regions = ec2_client.describe_regions()['Regions']

try:
	for region in regions:
		region_name = region['RegionName']
		print("# " + region_name)
		# get default security group list
		ec2 = boto3.resource('ec2', region_name=region_name)
		sgs = list(ec2.security_groups.filter(Filters=[{'Name': 'group-name', 'Values': ['default']}]))
		print('  DefaultSecurityGroups:')
		# get sg relations
		config = boto3.client('config', region_name=region_name)
		for sg in sgs:
			r = config.get_resource_config_history(
				resourceType='AWS::EC2::SecurityGroup',
				resourceId=sg.id
			)
			print("    SG: %s, VPC: %s." % (sg.id, sg.vpc_id))
			for relation in r["configurationItems"][0]["relationships"]:
				print("      " + relation["relationshipName"] + ": " + relation["resourceId"])
except Exception as e:
	print(e)

流れを説明します。

  • ec2_client.describe_regions()で全リージョンを取得してループします
    • ec2.security_groups()でfilterを使ってderaultセキュリティグループのみ取得します
    • config.get_resource_config_history()を使って該当セキュリティグループとリレーションがあるリソースをダンプします

あるリソースが利用されているかどうかを調べる一つの方法としてAWS Configのリレーションを確認する方法があります。

この方法は、ほぼ現時点で関連しているリソースを洗い出してくれるため、例えばセキュリティグループで言えば紐付いているENIやVPCなどが洗い出せます。

実際に実行した結果は下記のようになります。

# ap-northeast-1
  DefaultSecurityGroups:
    SG: sg-0ad977cfc87216dxx, VPC: vpc-0d194a5909689c3xx.
      Is contained in Vpc: vpc-0d194a5909689c3xx
    SG: sg-8756e4xx, VPC: vpc-4c13ccxx.
      Is associated with NetworkInterface: eni-03b6a2146cd68d2xx
      Is contained in Vpc: vpc-4c13ccxx
    SG: sg-b086ddxx, VPC: vpc-c1abaexx.
      Is contained in Vpc: vpc-c1abaexx
…省略…

各セキュリティグループはVPCとは絶対に紐付いているため、VPCだけであれば使われてないと言えます。上記の6行目のようにENIと紐付いていれば、EC2などで使われていると判断できるため、このままセキュリティグループのインバウンドを変更することはできなさそうなので、新しいセキュリティグループを作成して差し替える必要があります。

まとめ

defaultのセキュリティグループの利用状況を確認するスクリプトを紹介しました。

用途が限定的なスクリプトですが考え方も含め役に立つ場面はあると思うので公開しました。

部分的にでも役に立てば幸いです。

Share this article

facebook logohatena logotwitter logo

関連記事

[アップデート] AWS Lambda で Python 3.13 ランタイムがサポートされました

[アップデート] AWS Lambda で Python 3.13 ランタイムがサポートされました

User avatar
いわさ
2024.11.14
OpenPyXLを使ってPythonでエクセルファイルに画像を追加する

OpenPyXLを使ってPythonでエクセルファイルに画像を追加する

User avatar
藤井元貴
2024.11.12
VSCodeでJupyter Notebookに依存しないPython Native REPLを使ってみた

VSCodeでJupyter Notebookに依存しないPython Native REPLを使ってみた

User avatar
なかた
2024.11.12
Python3.12 のスタンドアロン Lambda 関数を作成しつつ、SAM CLIを学んでみた

Python3.12 のスタンドアロン Lambda 関数を作成しつつ、SAM CLIを学んでみた

User avatar
なかた
2024.11.08
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.