【アップデート】AWS Security Hub のセキュリティ標準に新たに15個のチェック項目が追加されていました(2024/5/3)

こんにちは！AWS事業本部のおつまみです。

みなさん、Security Hubの運用をしていますか？私はしています。

AWS公式ブログでアナウンスは出なかったのですが、2024/5/3 に AWS Security Hubのセキュリティ標準に新たに 15個のチェック項目(コントロール)が追加されていました。

Document history for the AWS Security Hub User Guide - AWS Security Hubより

本エントリでは、新規追加されたコントロールの情報をまとめたものを簡単なコメント付きで紹介していきます。

各コントロール毎に以下の情報をまとめていきます。

項目	概要
重要度	Security Hubが定める検出結果の重要度を表します。Critical > High > Medium > Lowの順に重要度が高いことを示します。
概要	コントロールでチェックされる内容を簡単にまとめています。
参考ドキュメント	コントロールについて考える上で、参考になる公式ドキュメントやブログサイトなどのリンクをまとめています。

Amazon Data Firehose

[DataFirehose.1] Firehose delivery streams should be encrypted at rest

重要度

Medium

概要

Amazon Data Firehose 配信ストリームが保存時にサーバー側の暗号化を使用して暗号化されているかどうかを確認します。

Amazon Data Firehose 配信ストリームの機能で、AWS KMSで作成されたキーを使用して、保存前にデータを自動的に暗号化します。
データコントロールはユーザー側の責任であるため、セキュリティ要件に従って暗号化を行いましょう。

参考ドキュメント

AWS Database Migration Service

[DMS.10] DMS endpoints for Neptune databases should have IAM authorization enabled

重要度

Medium

概要

Amazon Neptune データベースの AWS DMS エンドポイントが IAM 認証で設定されているかどうかを確認します。

IAM認証を有効にすることで、パスワード漏洩のリスクを無くすメリットがあります。IAM認証を利用できる環境の場合は有効化を推奨します。

参考ドキュメント

[DMS.11] DMS endpoints for MongoDB should have an authentication mechanism enabled

重要度

Medium

概要

MongoDB の AWS DMS エンドポイントが認証メカニズムで設定されているかどうかを確認します。

AWS DMS は、MongoDB の 2 つの認証方法をサポートしています。

• MongoDBバージョン 2.x の場合：MONGODB-CR
• MongoDB バージョン 3.x 以降の場合：SCRAM-SHA-1

これらの認証方法により、承認されたユーザーのみがデータベース間で移行されるデータにアクセスして変更できるようになります。

参考ドキュメント

[DMS.12] DMS endpoints for Redis should have TLS enabled

重要度

Medium

概要

Redis の AWS DMS エンドポイントが TLS 接続で設定されているかどうかを確認します。

TLS は、インターネット経由でアプリケーションまたはデータベース間でデータが送信されるときに、エンドツーエンドで通信が暗号化されます。
これにより、悪意のある人物による機密データの盗聴や傍受を防ぐことができます。

参考ドキュメント

Amazon DynamoDB

[DynamoDB.7] DynamoDB Accelerator clusters should be encrypted in transit

重要度

Medium

概要

Amazon DynamoDB Accelerator (DAX) クラスターのエンドポイントの暗号化タイプが TLS に設定され、転送中に暗号化されているかどうかを確認します。

HTTPS (TLS) 使用すると、ネットワークトラフィックを盗聴したり操作されたりするのを防ぐことができます。ただし、転送中のデータを暗号化すると、パフォーマンスに影響する可能性があります。そのため、実施する場合は十分にテストを実施して下さい。

また転送時の暗号化を有効にするには、クラスターを再作成する必要がある点に注意が必要です。

参考ドキュメント

Amazon Elastic File System

[EFS.6] EFS mount targets should not be associated with a public subnet

重要度

Medium

概要

Amazon EFS マウントターゲットがプライベートサブネットに関連付けられているかどうかを確認します。

インターネットからの意図しないアクセスを防ぐことができます。

なおマウントターゲット作成後にサブネットの関連付けを変更することはできないため、マウントターゲットを再作成する必要がある点に注意が必要です。

参考ドキュメント

Amazon EKS

[EKS.3] EKS clusters should use encrypted Kubernetes secrets

重要度

Medium

概要

Amazon EKS クラスターが暗号化された Kubernetes シークレットを使用しているかどうかを確認します。

Kubernetes シークレットを暗号化する場合、KMS キーを使用します。
KMSによるエンベロープ暗号化の導入により、EKSクラスター内のetcdに保存されているシークレットの暗号化を強化し、より高度なアクセス権限の管理や監査ログの取得など、セキュリティの面で複数のメリットを享受できます。

参考ドキュメント

Amazon FSx

[FSx.2] FSx for Lustre file systems should be configured to copy tags to backups

重要度

Low

概要

Amazon FSx for Lustre ファイルシステムがタグをバックアップとボリュームにコピーするように設定されているかどうかを確認します。

タグに基づいたリソースの識別が素早くできるようになるため、IT資産の識別とガバナンスの観点から設定が推奨されています。

参考ドキュメント

Amazon MQ

[MQ.2] ActiveMQ brokers should stream audit logs to CloudWatch

重要度

Medium

概要

Amazon MQ ActiveMQ ブローカーが監査ログを Amazon CloudWatch Logs にストリーミングするかどうかを確認します。

セキュリティ関連情報の可視性を高める CloudWatch アラームとメトリクスを作成できます。

参考ドキュメント

[MQ.3] Amazon MQ brokers should have automatic minor version upgrade enabled

重要度

Low

概要

Amazon MQ ブローカーで自動マイナーバージョンアップグレードが有効になっているかどうかを確認します。

Amazon MQ は新しいブローカーエンジンバージョンをリリースしてサポートします。 そのため、変更は既存のアプリケーションと下位互換性があり、既存の機能が廃止されることはありません。
自動更新により、バグの修正や機能の向上に役立ちます。

参考ドキュメント

Amazon OpenSearch Service

[Opensearch.11] OpenSearch domains should have at least three dedicated primary nodes

重要度

Medium

概要

Amazon OpenSearch Service ドメインが少なくとも 3 つの専用プライマリノードで設定されているかどうかを確認します。

AZ配置によるコストを考慮して、高可用性が求められる環境では有効化して下さい。

参考ドキュメント

Amazon Redshift

[Redshift.15] Redshift security groups should allow ingress on the cluster port only from restricted origins

重要度

High

概要

Redshiftクラスターに関連付けられたセキュリティ グループに、インターネット (0.0.0.0/0 または ::/0) からのアクセスを許可するインバウンドルールがあるかチェックします。リスクのあるセキュリティグループがクラスターに関連付けされているかのチェックに活用できます。

参考ドキュメント

Amazon SageMaker

[SageMaker.4] SageMaker endpoint production variants should have an initial instance count greater than 1

重要度

Medium

概要

Amazon SageMaker エンドポイントの本番稼働用バリアントの初期インスタンス数が 1 より大きいかどうかをチェックします。 マルチAZ配置により、可用性の高い構成になります。

参考ドキュメント

AWS Service Catalog

[ServiceCatalog.1] Service Catalog portfolios should be shared within an AWS organization only

重要度

High

概要

AWS Organizations との統合が有効になっている場合に、AWS Service Catalog が組織内でポートフォリオを共有するかどうかを確認します。

組織内でのみポートフォリオを共有すると、ポートフォリオが間違った AWS アカウントと共有されないようにすることができます。

参考ドキュメント

AWS Transfer Family

[Transfer.2] Transfer Family servers should not use FTP protocol for endpoint connection

重要度

Medium

概要

AWS Transfer Family サーバーがエンドポイント接続に FTP 以外のプロトコルを使用しているかどうかを確認します。

FTPプロトコルの通信は暗号化されていないため認証情報の漏洩に繋がります。 通信の暗号化に対応したSFTPやFTPSを使用するには有効化してください。

参考ドキュメント

最後に

今回はSecurity Hubに新規追加された15の新規コントロールについて確認してみました。

今回はすべてのコントロールがSecurity Hubのセキュリティ標準の『AWS基礎セキュリティベストプラクティス(AFSBP)』に追加されましたね。

本ブログを参考にして、対応有無を検討してみて下さい。

クラスメソッドメンバーズをお使いのお客様はお客様向けに無料で公開している「Classmethod Cloud Guidebook (CCG)」のAWS Security Hub ガイドもぜひご確認ください。

最後までお読みいただきありがとうございました！
どなたかのお役に立てれば幸いです。

以上、おつまみ（＠AWS11077）でした！