【Security Hub修復手順】[CloudFront.6] CloudFront ディストリビューションでは、AWS WAF を有効にする必要があります

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
特集

べこみん

2023.05.29

こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[CloudFront.6] CloudFront ディストリビューションでは、AWS WAF を有効にする必要があります

[CloudFront.6] CloudFront distributions should have WAF enabled

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

本コントロールでは、CloudFront ディストリビューションがAWS WAFのWeb ACLが関連付けられているかを確認します。

WAFはWebアプリケーションに対する攻撃を防いでくれるソリューションです。もちろんWAFを導入することでWebアプリケーションへの全ての攻撃を防げるというわけではないですが、導入していない場合は是非導入を検討してください。

AWS WAFについて詳細な説明をお求めの方は下記記事をご参照ください。

修復手順

1. ステークホルダーに確認を取る

WAFの導入はWebアプリケーションの運用に大きく影響するため、ステークホルダーに以下を確認します。

  • そもそもAWS WAFを導入するかどうか
    • 他のWAF製品を導入しているかどうか
    • AWS WAFを導入しない場合、本ルールを抑制することも検討する
  • AWS WAFを導入する場合、どのようなルールを付与するか
  • AWS WAFの運用はどのように行うか

2. 対象のリソースを把握する

Security Hubの結果より、対象のディストリビューションを確認します。バージニア北部リージョン(us-east-1)の場合、下記URLから確認可能です。

https://us-east-1.console.aws.amazon.com/securityhub/home?region=us-east-1#/controls/CloudFront.6

下図赤枠部が対象のディストリビューションIDです。

3. AWS WAFのWeb ACLを作成する

CloudFront ディストリビューションに関連付けるためのWeb ACLはリージョンをグローバルで作成する必要があります。

CloudFront ディストリビューションに関連付けられるWeb ACLは下記URLから確認することが可能です。もし一覧にWeb ACLが存在しない場合はWeb ACLを作成してください。

https://us-east-1.console.aws.amazon.com/wafv2/homev2/web-acls?region=global

2年前の記事なので記事中画像のUIは多少変わっていますが、Web ACL作成の詳細は以下の記事を参考にしてみてください。WAFを導入する場合、下記記事中にもあるようにまずはCountで様子を見ます。最初からBlockにしてしまうと正常なリクエストに対しても誤検知で弾く恐れがあるためです。(各ルールのEditからCountに設定可能です)

また、作成時に Associated AWS resources(下図) から対象のディストリビューションを選択することで関連付けも行うことが可能です。

Web ACL作成に関する公式ドキュメントは以下です。

Web ACLの作成が完了したら、最後にCloudFrontのコンソールで対象のディストリビューションに作成したWeb ACLが関連付けられていることを確認します。

作業は以上です。お疲れ様でした。

参考

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、べこみんでした。

クラスメソッドメンバーズをご契約の皆さまに

AWS Security Hub 「基礎セキュリティのベストプラクティス」の各チェック項目(コントロール)に対する弊社としての推奨対応やコメントを記載しているClassmethod Cloud Guidebook を提供しています。 クラスメソッドメンバーズポータルの「お役立ち情報」→「組織的な AWS 活用のためのノウハウ」からご参照ください。

AWS

関連記事

Security Hubの検出結果をノート(note)をつけてまとめて抑制してみた

たかやま

2024.04.13

Security Hubの検出結果サマリを週次でメール通知するサンプルソリューションを試してみた

杉金晋

2024.04.10

AWS Security Hub 『基礎セキュリティのベストプラクティス』で失敗している検出結果をCSV出力したい【Python, Boto3】

川原征大

2024.04.04

AWS入門ブログリレー2024〜AWS Security Hub編〜

たかやま

2024.04.03