こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。
本記事の対象コントロール
[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください
[CloudFront.10] CloudFront distributions should not use deprecated SSL protocols between edge locations and custom origins
前提条件
本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。
対象コントロールの説明
本コントロールでは、CloudFront ディストリビューションと指定したカスタムオリジン間の通信で非推奨のSSLプロトコルが利用されているかどうかが評価されます。
本記事執筆時点(2023/05)で、本コントロールは以下の場合に成功します。
- カスタムオリジンとの通信にSSL 3.0以外のSSLプロトコルを利用していること
ただし
SSL 3.0だけでなく、TLS 1.0、TLS 1.1といったTLS 1.2より前のプロトコルは脆弱であり、利用が禁止または推奨されていません。
Internet Engineering Task Force (IETF)では、2015年にSSL 3.0の利用禁止を呼びかける RFC 7568 が出され、2021年にはTLS 1.0とTLS 1.1を非推奨とする RFC 8996 が出されました。
非推奨となったSSLプロトコルにどのような脆弱性があるのか具体的に知りたい方は上記RFCをご参照ください。
そのため、SSLプロトコルとしては TLS 1.2 をご利用ください。
修復手順
1. ステークホルダーに確認を取る
SSLプロトコルの変更はそのシステムと利用者に大きな影響を与える可能性があるため、ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。
- ユーザーからの通信で利用するSSLプロトコルをTLS 1.2以上に制限しても良いか
2. 対象のリソースを把握する
Security Hubの結果より、対象のディストリビューションを確認します。バージニア北部リージョン(us-east-1)の場合、下記URLから確認可能です。
https://us-east-1.console.aws.amazon.com/securityhub/home?region=us-east-1#/controls/CloudFront.10
下図赤枠部が対象のディストリビューションIDです。
3. ディストリビューションの設定を変更する
ディストリビューションの詳細画面からオリジンの設定を変更します。
プロトコルで HTTPS のみ もしくは マッチビューワー を選択後、最小オリジン SSL プロトコルで TLSv1.2 を指定し、変更を保存します。
※ マッチビューワー を選択した場合、ビヘイビアの編集画面にて ビューワー > ビューワープロトコルポリシー で Redirect HTTP to HTTPS もしくは HTTPS only を選択し、変更を保存します。
作業は以上です。お疲れ様でした。
参考
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。
以上、べこみんでした。
クラスメソッドメンバーズをご契約の皆さまに
AWS Security Hub 「基礎セキュリティのベストプラクティス」の各チェック項目(コントロール)に対する弊社としての推奨対応やコメントを記載しているClassmethod Cloud Guidebook を提供しています。 クラスメソッドメンバーズポータルの「お役立ち情報」→「組織的な AWS 活用のためのノウハウ」からご参照ください。
14
