[Security Hub修復手順] [Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません

2023.02.28

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは!AWS事業本部のアダルシュです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

このコントロールは、Auto Scaling グループに関連付けられた起動構成が、グループのインスタンスにパブリック IP アドレスを割り当てているかどうかをチェックします。関連する起動構成がパブリック IP アドレスを割り当てている場合、このコントロールは失敗します。

EC2インスタンスにパブリックIPアドレスが割り当てられると、インターネットから直接アクセスできるようになる。機密性の高いデータやサービスをホストしている場合、適切なセキュリティ対策を施さずにインターネットに公開すると、データや組織が攻撃や侵害のリスクにさらされる可能性がある。

Amazon EC2インスタンスは、インターネットに直接さらされるのではなく、ロードバランサーの後ろからしかアクセスできないようにする必要があります。

したがって、Security Hubでは、限られたエッジケースを除いて、Auto Scalingグループ起動構成のAmazon EC2インスタンスにパブリックIPアドレスを関連付けないことを推奨しています。

修復手順

Auto Scaling グループは、一度に 1 つの起動設定に関連付けられます。作成した後に起動構成を変更することはできません。Auto Scaling グループの起動構成を変更するには、既存の起動構成を新しい起動構成の基礎として使用します。次に、以下の手順に従って、Auto Scaling グループを更新して、新しい起動構成を使用します。

Auto Scalingグループの起動設定が更新されると、新しいインスタンスが新しい設定オプションで起動されます。しかし、既存のインスタンスは影響を受けません。既存のインスタンスを更新するには、インスタンスを終了してAuto Scalingグループに置き換える、または終了ポリシーに基づいて古いインスタンスを新しいインスタンスに徐々に置き換える自動スケーリングを許可する、のいずれかを実行します。

問題を解決するための手順

起動構成の更新

  • 対象の受ける起動構成を特定
    • まず、AWS Security HubのコンソールからAutoScaling.5のチェック結果を確認し、修正すべきLaunch Configurationを特定します。
  • 起動設定を選択し、[アクション] → [起動設定のコピー] の順にクリックします。これにより、新しい起動設定が、元の設定と同じオプションで設定されますが、名前に「コピー」という単語が追加されます。

  • [Create Launch Configuration] (起動設定の作成) ページで、[Additional configuration - optional] (追加設定 - オプション) で、[Advanced details] (高度な詳細) を展開します。

  • [IP address type] (IP アドレスタイプ) で、[Do not assign a public IP address to any instances] (インスタンスにパブリック IP アドレスを割り当てない) を選択します。
  • 完了したら、[Create launch configuration] (起動設定の作成) を選択します。

新しい起動構成でAutoScaling Groupを更新します。

  • 対象の受けるAutoScaling Groupを特定
  • Auto Scaling グループの横にあるチェックボックスを選択します。
  • ページ下部に分割ウィンドウが開き、選択したグループの情報が表示されます。
  • [Details] (詳細) タブで、[Launch configuration] (起動設定)、[Edit] (編集) の順に選択します。
  • [Launch Configuration] (起動設定) で、新しい起動設定を選択します。
  • Select Update when you have finished modifying the launch settings . lastly

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、アダルシュでした!