【Security Hub修復手順】[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります

【Security Hub修復手順】[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

#AWS Security Hub
#AWS
べこみん

べこみん

facebook logohatena logotwitter logo
Clock Icon2023.04.17

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります

[CloudFront.5] CloudFront distributions should have logging enabled

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

本コントロールでは、CloudFront ディストリビューションで標準ログ(サーバーアクセスログ)が記録されるように設定されているかどうかが評価されます。

アクセスログはリクエストの受信日時やビューワー(リクエスト送信者)のIPアドレス、リクエストソースなど、CloudFrontが受信するユーザーリクエストに関する情報が含まれます。アクセスログを記録しておくことはインシデント発生時や監査の際に非常に有効です。是非取得しておきましょう。

また、CloudFront ディストリビューションのアクセスログは指定したS3バケットに保管されます。分析の際にはAmazon Athenaなどを利用してください。

この項目はディストリビューション作成時、デフォルトではオフ(記録しない)になっています。

修復手順

1. ログ保存用のS3バケットを用意する

ログ保存用のS3バケットを作成するにあたり、下記の注意点があります。

  • バケットのACLを有効(オブジェクトライター)にする
    • CloudFrontがログを書き込めるようにするため
  • 下記リージョンでは作成しない
    • アフリカ (ケープタウン): af-south-1
    • アジアパシフィック (香港): ap-east-1
    • アジアパシフィック (ジャカルタ): ap-southeast-3
    • 欧州 (ミラノ): eu-south-1
    • 中東 (バーレーン): me-south-1
  • CloudFrontディストリビューションのオリジンとしてS3を利用する場合、オリジン用のバケットをログ保存用として利用しない
    • 本項目は推奨事項。同じバケットも利用することは可能だが、運用の面から分けることが推奨されている。

上記に従ってアクセスログ保存用のS3バケットを作成します。

※既に保存用のS3バケットを用意している方はスキップし、次の手順に進んでください。

上図の設定を行い、作成を完了します。今回はオブジェクトの所有者以外デフォルトで作成しました。

作成時点のACLは下図の状態です。

2. 対象のリソースを把握する

Security Hubの結果より、対象のディストリビューションを確認します。バージニア北部リージョン(us-east-1)の場合、下記URLから確認可能です。

https://us-east-1.console.aws.amazon.com/securityhub/home?region=us-east-1#/controls/CloudFront.5

下図赤枠部が対象のディストリビューションIDです。

3. 標準ログ(アクセスログ)を有効化

対象ディストリビューションの詳細画面を開き、下図赤枠部の「編集」から編集画面を開きます。

標準ログ記録を有効化(オン)し、先ほどのS3バケットを指定します。(prefixを使用することも可能です。)

設定を保存すれば、作業は以上です。

この設定を行うと、下図のように指定したS3バケットのACLに外部アカウント(CloudFront)からのアクセス許可が自動的に付与されます。

参考

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、べこみんでした。

クラスメソッドメンバーズをご契約の皆さまに

AWS Security Hub 「基礎セキュリティのベストプラクティス」の各チェック項目(コントロール)に対する弊社としての推奨対応やコメントを記載しているClassmethod Cloud Guidebook を提供しています。 クラスメソッドメンバーズポータルの「お役立ち情報」→「組織的な AWS 活用のためのノウハウ」からご参照ください。

Share this article

facebook logohatena logotwitter logo

関連記事

Amazon Inspectorの検出結果をリソース単位でまとめてメール通知する方法

Amazon Inspectorの検出結果をリソース単位でまとめてメール通知する方法

User avatar
平井裕二
2024.11.21
【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません

【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません

User avatar
吉田 岳史
2024.11.14
【Security Hub修復手順】 [Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません

【Security Hub修復手順】 [Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません

User avatar
吉田 岳史
2024.11.07
[小ネタ]Security Hubの重要度の基準を調べてみた

[小ネタ]Security Hubの重要度の基準を調べてみた

User avatar
和田響
2024.11.05
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.