![【Security Hub修復手順】[CloudFormation.3] CloudFormation スタックでは終了保護を有効にする必要があります](https://images.ctfassets.net/ct0aopd36mqt/wp-refcat-img-cea52bc8a6ec5cad9021b38df4a08b9e/24c76ee7c1ae7aa7f9676a59c77f8702/aws-security-hub?w=3840&fm=webp)
【Security Hub修復手順】[CloudFormation.3] CloudFormation スタックでは終了保護を有効にする必要があります
こんにちは!クラウド事業本部のグムです。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
本記事では、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。
本記事の対象コントロール
前提条件
本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。
対象コントロールの説明
このコントロールは、CloudFormationスタックで終了保護(termination protection)が有効になっているかをチェックします。
対象スタックで終了保護を有効にすると、コントロールはPASSEDになります。
CloudFormationは、関連する複数のリソースをスタックという単位でまとめて管理する機能です。
終了保護を有効にすると、スタックの削除操作がブロックされます。終了保護が有効なスタックを削除しようとしても削除は失敗し、スタックのステータスを含め、内容は変更されません。
終了保護が無効な場合、誤操作によってスタックが削除されると、そのスタックが管理するリソースもまとめて削除され、復旧が困難になります。
意図しないリソース削除による障害を防ぐため、本番環境では終了保護の有効化が必須です。
なお、開発環境や検証環境などスタックの再作成が容易で、リソース削除による影響が限定的な環境では、終了保護を必ずしも有効化する必要はありません。
ただし、本番環境との設定の乖離を防ぐためにも、本番以外の環境でも終了保護を有効化することを推奨します。
補足: ネストされたスタックの扱い
スタックで終了保護を有効または無効にすると、そのスタックに属するネストされたスタックにも同じ設定が適用されます。
ネストされたスタックに対して直接終了保護を設定することはできません。終了保護の変更は、ネストされたスタックが属するルートスタックに対して行います。
修復手順
ステークホルダーに確認
修復を行う前に、以下の点をステークホルダーに確認してください。
- 対象スタックが終了保護を有効にしてよいスタックか(一時的・使い捨てのスタックでないか)
- 終了保護を有効にすると、そのスタックおよび配下のネストされたスタックを削除する際に、いったん終了保護を解除する運用フローが必要になることの認識合わせ
- 終了保護の有効化操作自体はスタックやリソースに影響を与えないこと(既存リソースの再作成や停止は発生しない)
修復手順(既存スタックの場合)
-
CloudFormationコンソールを開く
-
対象のスタックを選択し、「スタックアクション」→「削除保護を編集する」を選択する
- 「アクティブ化済み」を選択し、「保存ずる」をクリックする
修復手順(スタック新規作成時の場合)
新しくスタックを作成する際は、作成ウィザードで終了保護を有効化できます。
- CloudFormationコンソールで「スタックの作成」を進める
- 「スタックオプションの設定」画面の「その他の設定」で「タックの作成オプション - オプション」を開いて「削除保護」を「アクティブ化済み」を選択
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。
以上、グムでした!
