【アップデート】AWS Security Hub のセキュリティ標準に新たに15個のチェック項目が追加されました(2023/12/18)
2023.12.30あしざわです。
みなさん、Security Hubの運用やっていますか?
AWS Security Hubのセキュリティ標準に新たに 15個のチェック項目(コントロール)が 追加されました。
AWS公式ブログでのアナウンスは以下です。
本エントリでは、新規追加されたコントロールの情報をまとめたものを簡単なコメント付きで紹介していきます。
各コントロール毎に以下の情報をまとめていきます。
| 項目 | 概要 |
|---|---|
| 重要度 | Security Hubが定める検出結果の重要度を表します。Critical > High > Medium > Lowの順に重要度が高いことを示します。 |
| 概要 | コントロールでチェックされる内容を簡単にまとめています。 |
| 参考ドキュメント | コントロールについて考える上で、参考になる公式ドキュメントやブログサイトなどのリンクをまとめています。 |
AWS Backup
[Backup.1] AWS Backup recovery points should be encrypted at rest
重要度
Medium
概要
AWS Backupの復旧ポイントに対して、保管時の暗号化が有効されているかチェックします。
AWS Backupは復旧ポイントを管理しているコンテナであるバックアップボールト単位で暗号化設定を行います。
検知された場合は、復旧ポイントを管理しているバックアップボールトの暗号化設定を確認してください。
また、バックアップ対象のリソースによってAWS Backupによる暗号化が対応していないリソースがあります。それぞれリソースの暗号化対応状況は以下ドキュメントをご確認ください。
参考ドキュメント
Amazon DynamoDB
[DynamoDB.6] DynamoDB tables should have deletion protection enabled
重要度
Medium
概要
DynamoDBテーブルの削除保護が有効になっているかチェックします。
削除保護を有効化することでテーブルの誤削除を防止できます。
コンソールから簡単に保護できるため、未実施のリソースがあればぜひ有効化しておきましょう。
参考ドキュメント
Amazon EC2
[EC2.51] EC2 Client VPN endpoints should have client connection logging enabled
重要度
Low
概要
AWS Client VPNのVPNエンドポイントで接続ログが取得されているかチェックします。
接続ログはCloudWatch Logsに出力されます。
出力されるログのサンプルとして、こちらのブログが参考になります。
参考ドキュメント
Amazon EKS
[EKS.8] EKS clusters should have audit logging enabled
重要度
Medium
概要
EKSクラスターで監査ログが有効になっているかチェックします。
ログを有効化すると、EKSコントロールプレーンの監査ログや診断ログがCloudWatch Logsに出力されます。
参考ドキュメント
Amazon EMR
[EMR.2] Amazon EMR block public access setting should be enabled
重要度
Critical
概要
EMRのブロックパブリックアクセス設定がアカウント単位で有効になっているかチェックします。
有効化されている場合、ポート上のパブリックIPアドレス許可設定がされたEMRクラスターをパブリックサブネットで起動できなくなります。
アカウント単位のブロックパブリックアクセス設定のデフォルトは有効化状態です。検知した場合は意図した設定か確認ください。
参考ドキュメント
Amazon FSx
[FSx.1] FSx for OpenZFS file systems should be configured to copy tags to backups and volumes
重要度
Low
概要
Amazon FSx for OpenZFS ファイルシステムがタグをバックアップとボリュームにコピーするように設定されているかチェックします。
タグに基づいたリソースの識別が素早くできるようになるため、IT資産の識別とガバナンスの観点から設定が推奨されています。
参考ドキュメント
Amazon Macie
[Macie.1] Macie should be enabled
重要度
Medium
概要
Macieがアカウントで有効になっているかチェックします。
MacieはS3バケットのオブジェクトを自動かつ継続的にチェックし、セキュリティ・プライバシーに関する問題を検知します。
Macieの活用はWell-Architecetd Frameworkでも推奨されています。
しかし、日本語や日本の制度に対応していないなど懸念すべき点がいくつもあり一律で有効化できるサービスではない認識です。
以下のブログなどの情報を確認し、有効化の検討を行ってください。
参考ドキュメント
Amazon Managed Streaming for Apache Kafka (MSK)
[MSK.2] MSK clusters should have enhanced monitoring configured
重要度
Low
概要
MSKクラスターの拡張モニタリングが少なくともPER_TOPIC_PER_BROKERのログレベルで有効になっているかチェックします。
MSKクラスターの拡張モニタリングは以下のログレベルを指定できます。
DEFAULTPER_BROKERPER_TOPIC_PER_BROKERPER_TOPIC_PER_PARTITION
それぞれのログレベルで利用できるCloudWatchメトリクスが定義されています。
数値が高いログレベルを指定すればその下位のログレベルのメトリクスすべてが利用できます。
- 例)
PER_BROKE=DEFAULT+PER_BROKERのメトリクスが利用可能PER_TOPIC_PER_BROKER=PER_TOPIC_PER_BROKER+DEFAULT+PER_BROKERのメトリクスが利用可能
参考ドキュメント
Amazon Neptune
[Neptune.9] Neptune DB clusters should be deployed across multiple Availability Zones
重要度
Medium
概要
Neptune DBクラスターにリードレプリカインスタンスが複数のAZで配置されているかチェックします。
リードレプリカはプライマリインスタンスに障害が発生したとき、プライマリインスタンスに昇格できるフェールオーバーターゲットとして機能します。
リードレプリカをマルチAZ配置することでAZ障害にも対応できます。
参考ドキュメント
AWS Network Firewall
[NetworkFirewall.1] Network Firewall firewalls should be deployed across multiple Availability Zones
重要度
Medium
概要
Network Firewallで管理するファイアウォールがマルチAZにデプロイされているかチェックします。
ファイアウォールをマルチAZにデプロイすることで、AZ間のトラフィックのバランスが取れた可用性の高いソリューションに設計できます。
参考ドキュメント
[NetworkFirewall.2] Network Firewall logging should be enabled
重要度
Medium
概要
Network Firewallのファイアウォールログが有効になっているかチェックします。
ファイアウォールログはS3、CloudWatch Logs、Kinesis Data Firehoseに出力できます。
以下の条件を満たしていれば準拠となります。
- 少なくとも1つの宛先で有効化されている
- ログ出力先が存在している
参考ドキュメント
Amazon OpenSearch Service
[OpenSearch.10] OpenSearch domains should have the latest software update installed
重要度
Low
概要
OpenSearch Serviceドメインに最新のソフトウェアアップデートがインストールされているかをチェックします。
ソフトウェアアップデートは即時更新・オフピーク更新・特定日時の中から選択できます。
アップデートのために発生するダウンタイムはシステムの負荷によって長期化することもあるため、なるべくオフピーク更新(もしくは特定日時)を指定した方が良さそうです。
参考ドキュメント
AWS PCA
[PCA.1] AWS Private CA root certificate authority should be disabled
重要度
Low
概要
Private CAに有効なルートCAがあるかチェックします。
Private CAはルートCAと下位CAを含むCA階層を作成できますが、日常的なタスクではルートCAの利用は最小限に抑えるべきです。
ルートCAの利用は中間証明書の発行のみの用途で利用することが推奨されています。
参考ドキュメント
Amazon S3
[S3.19] S3 access points should have block public access settings enabled
重要度
Critical
概要
S3アクセスポイントでブロックパブリックアクセス設定が有効になっているかチェックします。
S3のブロックパブリックアクセス設定は 現在以下のレベル別に設定できます。
- アカウント
- バケット
- アクセスポイント
参考: Amazon S3 ストレージへのパブリックアクセスのブロック - Amazon Simple Storage Service
2023年12月現在、S3アクセスポイントのブロックパブリックアクセス設定はアクセスポイントの作成後の変更がサポートされていません。デフォルトは有効なので特定の設定を無効にする必要があると事前にわかっている場合を除いて、有効のままにしておきましょう。
参考ドキュメント
[S3.20] S3 general purpose buckets should have MFA delete enabled
重要度
Low
概要
S3バケットでMFA Deleteが有効になっているかチェックします。
バージョニングが有効なS3バケットで MFA Deleteを有効にすることで、S3バケットやバケット内のオブジェクト削除に対して別のセキュリティ層を追加できます。
参考ドキュメント
最後に
以上、今回Security Hubに新規追加された15の新規コントロールについて確認してみました。
Security Hubのセキュリティ標準の『AWS基礎セキュリティベストプラクティス(AFSBP)』に追加されたコントロールは内 11個でした(⭐️マークをつけたもの)
⭐️ [Backup.1] AWS Backup recovery points should be encrypted at rest ⭐️ [DynamoDB.6] DynamoDB tables should have deletion protection enabled ⭐️ [EC2.51] EC2 Client VPN endpoints should have client connection logging enabled ⭐️ [EKS.8] EKS clusters should have audit logging enabled ⭐️ [EMR.2] Amazon EMR block public access setting should be enabled ⭐️ [FSx.1] FSx for OpenZFS file systems should be configured to copy tags to backups and volumes ⭐️ [Macie.1] Macie should be enabled [MSK.2] MSK clusters should have enhanced monitoring configured [Neptune.9] Neptune DB clusters should be deployed across multiple Availability Zones [NetworkFirewall.1] Network Firewall firewalls should be deployed across multiple Availability Zones ⭐️ [NetworkFirewall.2] Network Firewall logging should be enabled ⭐️ [OpenSearch.10] OpenSearch domains should have the latest software update installed ⭐️ [PCA.1] AWS Private CA root certificate authority should be disabled ⭐️ [S3.19] S3 access points should have block public access settings enabled [S3.20] S3 general purpose buckets should have MFA delete enabled
個人的に気になったものを取り上げるとすれば、「[Macie.1] Macie should be enabled」でしょう。
記事内でも取り上げているようにAmazon Macieは日本語や日本の制度に対応していないことから、現状日本国内利用においては一律の有効化を推奨しづらいサービスになっています。
そんな中AFSBPに追加されてしまったがために、Security Hubでセキュリティ対策をしている各社にとっては、今まで検討しなければいけないサービスの1つに入ってしまったなと思いました。
しばらくは「日本語に対応していないので無効化」といった方向性になることが多いかと思いますが、今後のアップデートによってどう変わってくるのか楽しみです。予定はわかりませんが、日本対応・日本語対応に期待したいですね。
以上です。
![[アップデート] EBSスナップショットとAMIのゴミ箱保持ルールの適用対象をタグで制御できるようになりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-bac3d29aa65f45576f73094798087ee5/039ad6f8a7d8f18da47986d21c447f48/amazon-ec2)
