![【Security Hub修復手順】[AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-e71a738589e583b65670923628e8b6f4/45568b9fd457506bd2f3d6fd304d4b6a/aws-security-hub?w=3840&fm=webp)
【Security Hub修復手順】[AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります
こんにちは!フニです。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。
本記事の対象コントロール
[AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります
[AutoScaling.6] Auto Scaling groups should use multiple instance types in multiple Availability Zones
前提条件
本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。
対象コントロールの説明
このコントロールは、Amazon EC2 Auto Scaling グループが複数のインスタンスタイプを使用しているかどうかをチェックします。Auto Scaling グループに1つのインスタンスタイプしか定義されていない場合、このコントロールは失敗となります。
Auto Scaling グループを作成する際、起動テンプレートや起動設定で1つのインスタンスタイプのみを指定することが一般的です。しかし、1つのインスタンスタイプだけで運用している場合、選択したアベイラビリティーゾーンでそのインスタンスタイプのキャパシティが不足すると、新しいインスタンスを起動できなくなる可能性があります。
インスタンスタイプが1種類しか設定されていない場合、そのタイプのキャパシティ不足が発生すると、Auto Scaling グループはスケールアウトに失敗し、アプリケーションの可用性が低下するリスクがあります。特に Spot インスタンスを利用している場合は、単一のインスタンスタイプでは中断のリスクがさらに高まります。
対応する場合は、既存の Auto Scaling グループの設定を「混合インスタンスポリシー(Mixed Instances Policy)」に変更する必要があります。これにより、起動テンプレートで指定されたインスタンスタイプに加えて、複数のインスタンスタイプをオーバーライドとして追加できます。なお、混合インスタンスポリシーを使用するには、起動設定(Launch Configuration)ではなく起動テンプレート(Launch Template)を使用している必要があります。起動設定を使用している場合は、まず起動テンプレートへの移行が必要です。また、インスタンスタイプを追加する際は、アプリケーションの要件(vCPU数、メモリ、ネットワーク帯域幅など)に合致するインスタンスタイプを選択してください。
ただし、特定のインスタンスタイプでしか動作しないライセンス要件がある場合や、特定のハードウェア機能(GPU など)が必要で代替インスタンスタイプが存在しない場合は、このコントロールへの対応が難しいケースがあります。その場合は、コントロールを無効にするか、該当する検出結果を「抑制済み」に設定してください。
詳細は以下の公式ドキュメントをご参照ください。
修復手順
1 ステークホルダーに確認
ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下の点を確認します。
- Auto Scaling グループに複数のインスタンスタイプを設定して良いか
- 混合インスタンスポリシーへの変更に伴い、On-Demand インスタンスと Spot インスタンスの配分設定が必要になります
- 起動設定(Launch Configuration)を使用している場合は、起動テンプレート(Launch Template)への移行が先に必要です
- 追加するインスタンスタイプがアプリケーションの要件を満たしているか確認が必要です
- 対応しない場合は、その理由を確認し、Security Hubで当該コントロールを「抑制済み」に設定します。
2 Auto Scaling グループに複数のインスタンスタイプを設定
以下は、既存の Auto Scaling グループを混合インスタンスグループとして新規作成する手順です。既存の Auto Scaling グループを直接編集してインスタンスタイプを追加することも可能です。
- AWS マネジメントコンソールにサインインし、Amazon EC2 コンソールを開きます。
- 左側のナビゲーションペインから「Auto Scaling グループ」を選択し、対象の Auto Scaling グループの「起動テンプレート」セクションから「編集」をクリックします。
- 「インスタンスタイプの要件」で以下の設定を行い、「更新」をクリックします。
「起動テンプレートを上書きする」を選択します。
「インスタンスタイプを手動で追加」を選択し、アプリケーションの要件に合致するインスタンスタイプを複数追加します。
「インスタンスの購入オプション」で、On-Demand インスタンスと Spot インスタンスの割合を設定します。すべて On-Demand で運用する場合は、On-Demand の割合を100%に設定します。
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。
以上、フニでした!
