【Security Hub修復手順】[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります

こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります

[CloudFront.3] CloudFront distributions should require encryption in transit

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

本コントロールでは、CloudFront ディストリビューションとビューワー（クライアント）間の通信でHTTPS(TLS)が使われるように設定されているかどうかが評価されます。

みなさんご存知の通り、HTTPS(TLS)を使わずに通信を行った場合、ネットワークトラフィックが盗聴されるなど中間者攻撃を受ける恐れがあります。

Amazon CloudFrontでは「ビューワープロトコルポリシー」として下記からいずれかを設定可能です。

• HTTP and HTTPS
• Redirect HTTP to HTTPS
• HTTPS only

修復手順

1. ステークホルダーに確認

本コントロールをクリアするためには、CloudFront ディストリビューションのビューワープロトコルポリシーでHTTPSのみの通信を許可するかHTTPをHTTPSへリダイレクトするかのどちらかに設定する必要があります。

そこでまずはステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。

• ユーザーからの通信をHTTPSに制限しても良いか
  • 難しい場合、HTTPSにリダイレクトすることは可能か
• CloudFrontの後段にあるアプリケーション等はHTTPでの通信を必要としていないか

2. 対象のリソースを把握する

CloudFront ディストリビューションには複数のビヘイビアを登録出来ます。各ビヘイビアでビューワープロトコルポリシーを設定可能なため、ここではビューワープロトコルポリシーに修正が必要なビヘイビアを特定します。

まずSecurity　Hubの結果より、対象のディストリビューションを確認します。

その後、CloudFrontのコンソールよりビヘイビアの一覧を確認します。下図の赤枠部のようにビューワープロトコルポリシーは一覧に表示されていて、「HTTP and HTTPS」になっているビヘイビアが修正対象のものです。

3. ビューワープロトコルポリシーを変更

上述していますが、本コントロールをクリアするためにはビューワープロトコルポリシーを下記のどちらかにする必要があります。

• Redirect HTTP to HTTPS
• HTTPS only

ビヘイビアの編集画面から任意のプロトコルポリシーを選択し、設定を保存します。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう！

最後までお読みいただきありがとうございました！どなたかのお役に立てれば幸いです。

以上、べこみんでした。

クラスメソッドメンバーズをご契約の皆さまに

AWS Security Hub 「基礎セキュリティのベストプラクティス」の各チェック項目(コントロール)に対する弊社としての推奨対応やコメントを記載しているClassmethod Cloud Guidebook を提供しています。 クラスメソッドメンバーズポータルの「お役立ち情報」→「組織的な AWS 活用のためのノウハウ」からご参照ください。