【Security Hub修復手順】[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください

【Security Hub修復手順】[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

#AWS Security Hub
#AWS
べこみん

べこみん

facebook logohatena logotwitter logo
Clock Icon2023.05.31

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください

[CloudFront.10] CloudFront distributions should not use deprecated SSL protocols between edge locations and custom origins

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

本コントロールでは、CloudFront ディストリビューションと指定したカスタムオリジン間の通信で非推奨のSSLプロトコルが利用されているかどうかが評価されます。

本記事執筆時点(2023/05)で、本コントロールは以下の場合に成功します。

  • カスタムオリジンとの通信にSSL 3.0以外のSSLプロトコルを利用していること

ただし

SSL 3.0だけでなく、TLS 1.0、TLS 1.1といったTLS 1.2より前のプロトコルは脆弱であり、利用が禁止または推奨されていません。

Internet Engineering Task Force (IETF)では、2015年にSSL 3.0の利用禁止を呼びかける RFC 7568 が出され、2021年にはTLS 1.0とTLS 1.1を非推奨とする RFC 8996 が出されました。

非推奨となったSSLプロトコルにどのような脆弱性があるのか具体的に知りたい方は上記RFCをご参照ください。

そのため、SSLプロトコルとしては TLS 1.2 をご利用ください。

修復手順

1. ステークホルダーに確認を取る

SSLプロトコルの変更はそのシステムと利用者に大きな影響を与える可能性があるため、ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。

  • ユーザーからの通信で利用するSSLプロトコルをTLS 1.2以上に制限しても良いか

2. 対象のリソースを把握する

Security Hubの結果より、対象のディストリビューションを確認します。バージニア北部リージョン(us-east-1)の場合、下記URLから確認可能です。

https://us-east-1.console.aws.amazon.com/securityhub/home?region=us-east-1#/controls/CloudFront.10

下図赤枠部が対象のディストリビューションIDです。

3. ディストリビューションの設定を変更する

ディストリビューションの詳細画面からオリジンの設定を変更します。

プロトコルで HTTPS のみ もしくは マッチビューワー を選択後、最小オリジン SSL プロトコルで TLSv1.2 を指定し、変更を保存します。

マッチビューワー を選択した場合、ビヘイビアの編集画面にて ビューワー > ビューワープロトコルポリシー で Redirect HTTP to HTTPS もしくは HTTPS only を選択し、変更を保存します。

作業は以上です。お疲れ様でした。

参考

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、べこみんでした。

クラスメソッドメンバーズをご契約の皆さまに

AWS Security Hub 「基礎セキュリティのベストプラクティス」の各チェック項目(コントロール)に対する弊社としての推奨対応やコメントを記載しているClassmethod Cloud Guidebook を提供しています。 クラスメソッドメンバーズポータルの「お役立ち情報」→「組織的な AWS 活用のためのノウハウ」からご参照ください。

Share this article

facebook logohatena logotwitter logo

関連記事

Amazon Inspectorの検出結果をリソース単位でまとめてメール通知する方法

Amazon Inspectorの検出結果をリソース単位でまとめてメール通知する方法

User avatar
平井裕二
2024.11.21
【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません

【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません

User avatar
吉田 岳史
2024.11.14
【Security Hub修復手順】 [Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません

【Security Hub修復手順】 [Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません

User avatar
吉田 岳史
2024.11.07
[小ネタ]Security Hubの重要度の基準を調べてみた

[小ネタ]Security Hubの重要度の基準を調べてみた

User avatar
和田響
2024.11.05
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.