【Security Hub修復手順】[CloudFront.6] CloudFront ディストリビューションでは、AWS WAF を有効にする必要があります

【Security Hub修復手順】[CloudFront.6] CloudFront ディストリビューションでは、AWS WAF を有効にする必要があります

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

#AWS Security Hub
#AWS
べこみん

べこみん

facebook logohatena logotwitter logo
Clock Icon2023.05.29

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[CloudFront.6] CloudFront ディストリビューションでは、AWS WAF を有効にする必要があります

[CloudFront.6] CloudFront distributions should have WAF enabled

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

本コントロールでは、CloudFront ディストリビューションがAWS WAFのWeb ACLが関連付けられているかを確認します。

WAFはWebアプリケーションに対する攻撃を防いでくれるソリューションです。もちろんWAFを導入することでWebアプリケーションへの全ての攻撃を防げるというわけではないですが、導入していない場合は是非導入を検討してください。

AWS WAFについて詳細な説明をお求めの方は下記記事をご参照ください。

修復手順

1. ステークホルダーに確認を取る

WAFの導入はWebアプリケーションの運用に大きく影響するため、ステークホルダーに以下を確認します。

  • そもそもAWS WAFを導入するかどうか
    • 他のWAF製品を導入しているかどうか
    • AWS WAFを導入しない場合、本ルールを抑制することも検討する
  • AWS WAFを導入する場合、どのようなルールを付与するか
  • AWS WAFの運用はどのように行うか

2. 対象のリソースを把握する

Security Hubの結果より、対象のディストリビューションを確認します。バージニア北部リージョン(us-east-1)の場合、下記URLから確認可能です。

https://us-east-1.console.aws.amazon.com/securityhub/home?region=us-east-1#/controls/CloudFront.6

下図赤枠部が対象のディストリビューションIDです。

3. AWS WAFのWeb ACLを作成する

CloudFront ディストリビューションに関連付けるためのWeb ACLはリージョンをグローバルで作成する必要があります。

CloudFront ディストリビューションに関連付けられるWeb ACLは下記URLから確認することが可能です。もし一覧にWeb ACLが存在しない場合はWeb ACLを作成してください。

https://us-east-1.console.aws.amazon.com/wafv2/homev2/web-acls?region=global

2年前の記事なので記事中画像のUIは多少変わっていますが、Web ACL作成の詳細は以下の記事を参考にしてみてください。WAFを導入する場合、下記記事中にもあるようにまずはCountで様子を見ます。最初からBlockにしてしまうと正常なリクエストに対しても誤検知で弾く恐れがあるためです。(各ルールのEditからCountに設定可能です)

また、作成時に Associated AWS resources(下図) から対象のディストリビューションを選択することで関連付けも行うことが可能です。

Web ACL作成に関する公式ドキュメントは以下です。

Web ACLの作成が完了したら、最後にCloudFrontのコンソールで対象のディストリビューションに作成したWeb ACLが関連付けられていることを確認します。

作業は以上です。お疲れ様でした。

参考

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、べこみんでした。

クラスメソッドメンバーズをご契約の皆さまに

AWS Security Hub 「基礎セキュリティのベストプラクティス」の各チェック項目(コントロール)に対する弊社としての推奨対応やコメントを記載しているClassmethod Cloud Guidebook を提供しています。 クラスメソッドメンバーズポータルの「お役立ち情報」→「組織的な AWS 活用のためのノウハウ」からご参照ください。

Share this article

facebook logohatena logotwitter logo

関連記事

Amazon Inspectorの検出結果をリソース単位でまとめてメール通知する方法

Amazon Inspectorの検出結果をリソース単位でまとめてメール通知する方法

User avatar
平井裕二
2024.11.21
【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません

【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません

User avatar
吉田 岳史
2024.11.14
【Security Hub修復手順】 [Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません

【Security Hub修復手順】 [Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません

User avatar
吉田 岳史
2024.11.07
[小ネタ]Security Hubの重要度の基準を調べてみた

[小ネタ]Security Hubの重要度の基準を調べてみた

User avatar
和田響
2024.11.05
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.