【アップデート】AWS Security Hub の『基礎セキュリティのベストプラクティス』に新たに2個のチェック項目が追加されました

【アップデート】AWS Security Hub の『基礎セキュリティのベストプラクティス』に新たに2個のチェック項目が追加されました

#AWS
#AWS Security Hub
あしざわ

あしざわ

facebook logohatena logotwitter logo
Clock Icon2023.05.08

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

みなさん、こんにちは。

明るい笑顔がトレードマーク、ルイボスティーが大好きな芦沢(@ashi_ssan)です。

みなさん、Security Hubの運用されていますか?

AWS Security Hubの『AWS 基礎セキュリティのベストプラクティス v1.0.0』に新たに 2個のチェック項目(コントロール)が 追加されました。

AWS公式ブログでのアナウンスはありませんが、Security Hub公式ドキュメントのDocument Historyから以下の更新を確認できました。

The following new Security Hub controls are available. Some controls have Regional limitations

今回『AWS 基礎セキュリティのベストプラクティス v1.0.0』に追加されたのはこのうちの2つである以下コントロールになります。

本エントリでは、新規追加されたコントロールの情報をまとめたものを簡単なコメント付きで紹介していきます。

EKS

[EKS.1] EKS クラスター エンドポイントはパブリックにアクセス可能であってはなりません

重要度: 高(HIGH)

AWSドキュメント: https://docs.aws.amazon.com/securityhub/latest/userguide/eks-controls.html#eks-1

コメント:

  • EKSのAPIサーバーへのアクセスはAWS IAMとネイティブのネイティブのKubernetes Role Based Access Control(RBAC)との組み合わせで保護されます。本コントロールに準拠すると、これらの設定に不備があった際の防御が可能です。
  • パブリックアクセス設定に追加してIPアドレス制限を設定できますが、そのままアクセス制限を設定するとノードグループが作成できない等の問題が発生します。問題を回避するために、以下のどちらかの方法をとってください。
  • 先述した対策をしてもパブリックアクセス設定が有効だとコントロールは違反状態のままなので、対策後はコントロールを抑制してください

Redshift

[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります

重要度: 中(MEDIUM)

AWSドキュメント: https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-10

コメント:

  • 権限のないユーザーがディスクに保存されたデータへアクセスできてしまうリスクを軽減できるため、対応は必須です。
  • クラスターの設定を暗号化する設定に変更すると、Redshiftのデータは暗号化されたクラスターに自動移行されます。データ移行中はクラスターが読み取り専用になるため、クラスターへの書き込みが発生しないタイミングで設定変更を行なってください。
  • 暗号化キーにKMSを利用し、デフォルトのRedshiftキーを指定した場合、追加のコストは発生しません。

おわりに

以上、追加されたSecurity Hubの新規コントロールについて確認してみました。

統合コントロールビューの追加の影響で新規コントロールの追加がセキュリティ基準単位でお知らせされなくなったのでは?と想定しています(まだ初回なので今後はわかりませんが、、、

今後、ますます高い頻度でコントロールが追加されていくのでは、と個人的に思っているので、都度キャッチアップしていきたいと思います。

ちなみに、重要度が高い(HIGH / CRITICAL)のコントロールは、以下となっております。

  • HIGH [EKS.1] EKS クラスター エンドポイントはパブリックにアクセス可能であってはなりません

CRITICALの新規コントロールはありませんでしたが、HIGHで失敗しているものについては優先度を上げて確認しておきましょう。

ここまで読んでくださりありがとうございました。どなたかのお役に立てば幸いです。

以上、芦沢(@ashi_ssan)でした。

Share this article

facebook logohatena logotwitter logo

関連記事

Amazon Inspectorで単一リソースのスキャン結果の作成日時にずれがあるかを確認してみた

Amazon Inspectorで単一リソースのスキャン結果の作成日時にずれがあるかを確認してみた

User avatar
平井裕二
2024.11.22
パブリックアクセスブロック(BPA)でインターネットアクセスを遮断してみた

パブリックアクセスブロック(BPA)でインターネットアクセスを遮断してみた

User avatar
suzuki.ryo
2024.11.22
「AWSにおける生成AI&データの全体像」というタイトルで 第8回 Classmethod AI Talks(CATs)に登壇しました #catalks

「AWSにおける生成AI&データの全体像」というタイトルで 第8回 Classmethod AI Talks(CATs)に登壇しました #catalks

User avatar
石川覚
2024.11.21
CloudFront 新機能!VPCオリジンでプライベートなALBをセキュアに公開してみた

CloudFront 新機能!VPCオリジンでプライベートなALBをセキュアに公開してみた

User avatar
suzuki.ryo
2024.11.21
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.