![[アップデート]Security Hub のセキュリティ標準に新たに7個のチェック項目が追加されました(2024/10/18)](https://images.ctfassets.net/ct0aopd36mqt/wp-refcat-img-cea52bc8a6ec5cad9021b38df4a08b9e/24c76ee7c1ae7aa7f9676a59c77f8702/aws-security-hub)
[アップデート]Security Hub のセキュリティ標準に新たに7個のチェック項目が追加されました(2024/10/18)
2024.10.23こんにちは!AWS事業本部の吉田です。
みなさん、Security Hubの運用やっていますか?
AWS Security Hubのセキュリティ標準に新たに7個のチェック項目(コントロール)が追加されました。
Security Hubユーザーガイドの改訂履歴は以下のとおりです。
本エントリでは、新規追加されたコントロールの情報をまとめたものを簡単なコメント付きで紹介していきます。
各コントロール毎に以下の情報をまとめていきます。
| 項目 | 概要 |
|---|---|
| 重要度 | Security Hubが定める検出結果の重要度を表します。Critical > High > Medium > Lowの順に重要度が高いことを示します。 |
| 概要 | コントロールでチェックされる内容を簡単にまとめます。 |
| 参考ドキュメント | コントロールについて考える上で、参考になる公式ドキュメントやブログサイトなどのリンクをまとめます。 |
今回追加されたコントロールは次の7つです。
- [AppSync.1] AWS AppSync API caches should be encrypted at rest
- [AppSync.6] AWS AppSync API caches should be encrypted in transit
- [EC2.170] EC2 launch templates should use Instance Metadata Service Version 2 (IMDSv2)
- [EC2.171] EC2 VPN connections should have logging enabled
- [EFS.8] EFS file systems should be encrypted at rest
- [KMS.5] KMS keys should not be publicly accessible
- [SNS.4] SNS topic access policies should not allow public access
AppSync
[AppSync.1] AWS AppSync API caches should be encrypted at rest
重要度
Medium
概要
AWS AppSync API キャッシュが保管時に暗号化されているか確認します。
AppSyncは、ElastiCacheインスタンスを利用してキャッシュ機能を実現しております。
ElastiCacheインスタンスに保管されているキャッシュデータを暗号化することで、データの機密性が保護されセキュリティが向上します。
データの暗号化、復号化の処理が発生するため、パフォーマンスに影響があります。
キャッシュ機能を有効した後にキャッシュの暗号化設定を更新することができないため、対応する際はキャッシュを再作成する必要があります。
参考ドキュメント
[AppSync.6] AWS AppSync API caches should be encrypted in transit
重要度
Medium
概要
AWS AppSync API キャッシュが転送時に暗号化されているか確認します。
AppSyncは、ElastiCacheインスタンスを利用してキャッシュ機能を実現しております。
ElastiCacheインスタンスとAppSync間で転送されるキャッシュデータを暗号化することで、盗聴されるリスクが軽減されセキュリティが向上します。
データの暗号化、復号化の処理が発生するため、パフォーマンスに影響があります。
キャッシュ機能を有効した後にキャッシュの暗号化設定を更新することができないため、対応する際はキャッシュを再作成する必要があります。
参考ドキュメント
EC2
[EC2.170] EC2 launch templates should use Instance Metadata Service Version 2 (IMDSv2)
重要度
Low
概要
EC2起動テンプレートがIMDSv2で設定されているか確認します。
インスタンスメタデータ、IMDSv2の概要については参考ブログ※1をご参考ください。
IMDSv1からIMDSv2へ移行する事で、インスタンスメタデータを悪用したSSRF攻撃などの攻撃に対策することができます。
参考ドキュメント
※1 [待望のアプデ]EC2インスタンスメタデータサービスv2がリリースされてSSRF脆弱性等への攻撃に対するセキュリティが強化されました!
Configure the Instance Metadata Service options
[EC2.171] EC2 VPN connections should have logging enabled
重要度
Medium
概要
AWS Site-to-Site VPNのトンネルアクティビティログがCloudWatch Logsへ送信されているか確認します。
VPNログ記録を有効化することで、インターネットキー交換 (IKE) ネゴシエーションやデッドピア検出 (DPD) プロトコルメッセージなど、IPセキュリティ(IPsec)トンネル確立に関するログを確認することができます。
参考ドキュメント
AWS Site-to-Site VPN logs
AWS Site to Site VPN のトンネルアクティビティログを CloudWatch Logs へ送信出来るようになりました
EFS
[EFS.8] EFS file systems should be encrypted at rest
重要度
Medium
概要
EFSファイルシステムが保管時にKMSを使用してデータを暗号化しているか確認します。
EFSファイルシステムを作成した後に暗号化設定を更新することができないため、対応する際はファイルシステムを再作成する必要があります。
参考ドキュメント
KMS
[KMS.5] KMS keys should not be publicly accessible
重要度
Critical
概要
AWS KMSキーがパブリックにアクセス可能か確認します。
KMSキーポリシーで外部アカウントからのアクセスが許可されている場合、
第三者がKMSキーを使用してデータを暗号化および復号化できるようになり、データが流失される可能性があります。
公式ドキュメントでは、「KMSキーポリシーで外部アカウントからのアクセスが許可されている場合」という記載となっておりますが、KMSキーをクロスアカウントで利用することはあるかと思います。
そのため、このコントールにある「パブリックにアクセス可能」とは、KMSキーポリシーのPrincipalでワイルドカード (*) を指定して、意図しないアクセス元に権限を付与していることだと解釈しております。
参考ドキュメント
Change a key policy
カスタマーマネージドキーで暗号化されたS3オブジェクトにクロスアカウントアクセスする方法
SNS
[SNS.4] SNS topic access policies should not allow public access
重要度
High
概要
Amazon SNS トピックアクセスポリシーがパブリックアクセスを許可しているか確認します。
トピックアクセスポリシーによってアクセスを制限しない場合、データの流出、不要なメッセージの挿入が発生する可能性があります。
Principleでワイルドカード (*)を利用せず、特定のユーザーなどに制限する必要があります。
参考ドキュメント
Overview of managing access in Amazon SNS
最後に
今回はSecurity Hubに新規追加された7つの新規コントロールの内容を確認しました。
今回のアップデート内容を総括すると以下の通りです。
- KMSとSNSのパブリックアクセス制限
- データの保管時・転送時の暗号化の範囲拡張(AppSync、EFS)
- EC2のIMDSv2の適用範囲拡張、Site-to-Site VPNのログ出力
引き続き、Security Hubのアップデートを追ってAWSアカウントのセキュリティレベルを向上させていきましょう!
![【Security Hub修復手順】[DataFirehose.1] Firehose 配信ストリームは保管時に暗号化する必要があります](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-e71a738589e583b65670923628e8b6f4/45568b9fd457506bd2f3d6fd304d4b6a/aws-security-hub)
