【アップデート】AWS Security Hub の『基礎セキュリティのベストプラクティス』に新たに2個のチェック項目が追加されました

2023.05.08

みなさん、こんにちは。

明るい笑顔がトレードマーク、ルイボスティーが大好きな芦沢(@ashi_ssan)です。

みなさん、Security Hubの運用されていますか?

AWS Security Hubの『AWS 基礎セキュリティのベストプラクティス v1.0.0』に新たに 2個のチェック項目(コントロール)が 追加されました。

AWS公式ブログでのアナウンスはありませんが、Security Hub公式ドキュメントのDocument Historyから以下の更新を確認できました。

The following new Security Hub controls are available. Some controls have Regional limitations

今回『AWS 基礎セキュリティのベストプラクティス v1.0.0』に追加されたのはこのうちの2つである以下コントロールになります。

本エントリでは、新規追加されたコントロールの情報をまとめたものを簡単なコメント付きで紹介していきます。

EKS

[EKS.1] EKS クラスター エンドポイントはパブリックにアクセス可能であってはなりません

重要度: 高(HIGH)

AWSドキュメント: https://docs.aws.amazon.com/securityhub/latest/userguide/eks-controls.html#eks-1

コメント:

  • EKSのAPIサーバーへのアクセスはAWS IAMとネイティブのネイティブのKubernetes Role Based Access Control(RBAC)との組み合わせで保護されます。本コントロールに準拠すると、これらの設定に不備があった際の防御が可能です。
  • パブリックアクセス設定に追加してIPアドレス制限を設定できますが、そのままアクセス制限を設定するとノードグループが作成できない等の問題が発生します。問題を回避するために、以下のどちらかの方法をとってください。
  • 先述した対策をしてもパブリックアクセス設定が有効だとコントロールは違反状態のままなので、対策後はコントロールを抑制してください

Redshift

[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります

重要度: 中(MEDIUM)

AWSドキュメント: https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-10

コメント:

  • 権限のないユーザーがディスクに保存されたデータへアクセスできてしまうリスクを軽減できるため、対応は必須です。
  • クラスターの設定を暗号化する設定に変更すると、Redshiftのデータは暗号化されたクラスターに自動移行されます。データ移行中はクラスターが読み取り専用になるため、クラスターへの書き込みが発生しないタイミングで設定変更を行なってください。
  • 暗号化キーにKMSを利用し、デフォルトのRedshiftキーを指定した場合、追加のコストは発生しません。

おわりに

以上、追加されたSecurity Hubの新規コントロールについて確認してみました。

統合コントロールビューの追加の影響で新規コントロールの追加がセキュリティ基準単位でお知らせされなくなったのでは?と想定しています(まだ初回なので今後はわかりませんが、、、

今後、ますます高い頻度でコントロールが追加されていくのでは、と個人的に思っているので、都度キャッチアップしていきたいと思います。

ちなみに、重要度が高い(HIGH / CRITICAL)のコントロールは、以下となっております。

  • HIGH [EKS.1] EKS クラスター エンドポイントはパブリックにアクセス可能であってはなりません

CRITICALの新規コントロールはありませんでしたが、HIGHで失敗しているものについては優先度を上げて確認しておきましょう。

ここまで読んでくださりありがとうございました。どなたかのお役に立てば幸いです。

以上、芦沢(@ashi_ssan)でした。