![[アップデート]Security Hub のセキュリティ標準に新たに7個のチェック項目が追加されました(2024/10/3)](https://images.ctfassets.net/ct0aopd36mqt/wp-refcat-img-cea52bc8a6ec5cad9021b38df4a08b9e/24c76ee7c1ae7aa7f9676a59c77f8702/aws-security-hub)
[アップデート]Security Hub のセキュリティ標準に新たに7個のチェック項目が追加されました(2024/10/3)
2024.10.05こんにちは!AWS事業本部の吉田です。
みなさん、Security Hubの運用やっていますか?
AWS Security Hubのセキュリティ標準に新たに7個のチェック項目(コントロール)が追加されました。
Security Hubユーザーガイドの改訂履歴は以下のとおりです。
本エントリでは、新規追加されたコントロールの情報をまとめたものを簡単なコメント付きで紹介していきます。
各コントロール毎に以下の情報をまとめていきます。
| 項目 | 概要 |
|---|---|
| 重要度 | Security Hubが定める検出結果の重要度を表します。Critical > High > Medium > Lowの順に重要度が高いことを示します。 |
| 概要 | コントロールでチェックされる内容を簡単にまとめます。 |
| 参考ドキュメント | コントロールについて考える上で、参考になる公式ドキュメントやブログサイトなどのリンクをまとめます。 |
今回追加されたコントロールは次の7つです。
- [ECS.16] ECS task sets should not automatically assign public IP addresses
- [GuardDuty.7] GuardDuty EKS Runtime Monitoring should be enabled
- [Kinesis.3] Kinesis streams should have an adequate data retention period
- [MSK.3] MSK Connect connectors should be encrypted in transit
- [RDS.36] RDS for PostgreSQL DB instances should publish logs to CloudWatch Logs
- [RDS.37] Aurora PostgreSQL DB clusters should publish logs to CloudWatch Logs
- [S3.24] S3 Multi-Region Access Points should have block public access settings enabled
ECS
[ECS.16] ECS task sets should not automatically assign public IP addresses
重要度
High
概要
ECSタスクセットがパブリックIPアドレスを自動的に割り当てるように設定されているかどうかを確認します。
タスクセットとは、同じECSサービス内で異なるタスク定義を利用するタスクのグループであり、Blue/Greenデプロイの際に利用されます。
インターネットからの意図しないアクセスを防ぐために、パブリックIPが不要の環境を構築し、パブリックIPの自動割り当てを無効にしましょう。
参考ドキュメント
Amazon ECS Compute Platform でのデプロイ
AppSpec ファイルの例
GuardDuty
[GuardDuty.7] GuardDuty EKS Runtime Monitoring should be enabled
重要度
Medium
概要
GuardDuty EKS ランタイムモニタリングが有効になっているかどうか確認します。
GuardDuty EKS ランタイムモニタリングを有効にすることで、ファイルアクセス、プロセスの実行、ネットワーク接続など、ホスト上のオペレーティングシステムレベルの動作を監視することが可能となります。
参考ドキュメント
Enabling GuardDuty Runtime Monitoring
GuardDuty EKS Runtime Monitoring を有効化して検知させてみた
Kinesis
[Kinesis.3] Kinesis streams should have an adequate data retention period
重要度
Medium
概要
Kinesisデータストリームのデータ保持期間がconfigルールで指定された時間以上であるかどうかを確認します。
データ保持期間が指定された時間より短い場合、コントロールは失敗します。
SecurityHubにリンクされているConfigルールはデフォルト値の168時間※1を指定しています。
Configルールに指定できる保持期間は24時間から8760時間です。
※1 2024/10/5現在、公式ドキュメントでは168日と説明されていますが、168時間の誤りだと思われます。
原文
Unless you provide a custom parameter value for the data retention period, Security Hub uses a default value of 168 days.
参考ドキュメント
Change the data retention period
MSK
[MSK.3] MSK Connect connectors should be encrypted in transit
重要度
Medium
概要
MSK Connect コネクタが転送中に暗号化されているかどうかを確認します。
デフォルトではTLS暗号化が有効化されております。
コネクタの作成後に暗号化設定を変更することはできないため、対応する際はTLS暗号化を有効にしたコネクタを再作成してください。
参考ドキュメント
Amazon MSK encryption in transit
RDS
[RDS.36] RDS for PostgreSQL DB instances should publish logs to CloudWatch Logs
重要度
Medium
概要
RDS for PostgreSQL DBインスタンスがCloudWatchLogsにログを出力するように設定されているかどうかを確認します。
ログをCloudWatchLogsに出力することでリアルタイム分析・メトリクスフィルターを通じたアラートを実装することが可能となります。
参考ドキュメント
Publishing PostgreSQL logs to Amazon CloudWatch Logs
[RDS.37] Aurora PostgreSQL DB clusters should publish logs to CloudWatch Logs
重要度
Medium
概要
Aurora PostgreSQL DBクラスターがCloudWatchLogsにログを出力するように設定されているかどうかを確認します。
ログをCloudWatchLogsに出力することでリアルタイム分析・メトリクスフィルターを通じたアラートを実装することが可能となります。
参考ドキュメント
Publishing Aurora PostgreSQL logs to Amazon CloudWatch Logs
S3
[S3.24] S3 Multi-Region Access Points should have block public access settings enabled
重要度
High
概要
S3マルチリージョンアクセスポイントでブロックパブリックアクセス設定が有効になっているかどうかを確認します。
S3バケット作成時と同様にデフォルトでブロックパブリックアクセス設定が有効となっております。
S3マルチリージョンアクセスポイントは作成後ブロックパブリックアクセス設定が更新できないため、
設定更新の際は再作成が必要となります。
参考ドキュメント
Amazon S3 のマルチリージョンアクセスポイントを使用したパブリックアクセスのブロック
最後に
今回はSecurity Hubに新規追加された7つの新規コントロールの内容を確認しました。
今回のアップデート内容を総括すると以下の通りです。
- ECSとS3のパブリックアクセス制限の範囲拡張
- MSKの送信中暗号化、RDSのログ出力、EKSランタイム監視が追加
引き続き、Security Hubのアップデートを追ってAWSアカウントのセキュリティレベルを向上させていきましょう!
![【Security Hub修復手順】[Athena.4] Athena ワークグループでは、ログ記録を有効にする必要があります](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-764c44f07bcd41184fe62a432ae120ab/512a4cdcd05a0ed3ddea950fdf619fa0/amazon-athena)
