【Security Hub修復手順】[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります

【Security Hub修復手順】[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
Clock Icon2023.05.31

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります

[CloudFront.9] CloudFront distributions should encrypt traffic to custom origins

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

本コントロールでは、CloudFront ディストリビューションと指定したカスタムオリジン間の通信でHTTPを使用していないかどうかが評価されます。

本コントロールの評価は下記の場合成功します。

  • CloudFront ディストリビューションにおいて、オリジンのプロトコルが HTTPS のみ になっていること
  • CloudFront ディストリビューションにおいて、オリジンのプロコトルが マッチビューワー かつ 各ビヘイビアでビューワープロトコルポリシーが Redirect HTTP to HTTPS もしくは HTTPS only になっていること

HTTPS(TLS)を使わずに通信を行った場合、ネットワークトラフィックが盗聴されるなど中間者攻撃を受ける恐れがあります。また、本コントロールを許容するということはオリジン側でHTTPでの通信を許容するということになります。

修復手順

1. ステークホルダーに確認を取る

通信プロトコルの変更はそのシステムと利用者に大きな影響を与える可能性があるため、ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。

  • ユーザーからの通信をHTTPSに制限しても良いか
    • 難しい場合、HTTPSにリダイレクトすることは可能か
  • CloudFrontの後段にあるオリジンはHTTPでの通信を必要としていないか

2. 対象のリソースを把握する

Security Hubの結果より、対象のディストリビューションを確認します。バージニア北部リージョン(us-east-1)の場合、下記URLから確認可能です。

https://us-east-1.console.aws.amazon.com/securityhub/home?region=us-east-1#/controls/CloudFront.9

下図赤枠部が対象のディストリビューションIDです。

3. ディストリビューションの設定を変更する

上述の通り、本コントロールを満たすための条件は下記のいずれかです。

  • オリジンのプロトコルが HTTPS のみ になっていること
  • オリジンのプロコトルが マッチビューワー かつ 各ビヘイビアでビューワープロトコルポリシーが Redirect HTTP to HTTPS もしくは HTTPS only になっていること

ここではそれぞれのケースを記述します。ステークホルダーとの確認の上、下記どちらかを実施します。

オリジンのプロトコルを「HTTPS のみ」にする場合

CloudFrontコンソールより対象のオリジンを選択し、「編集」を行います。

プロトコルで HTTPS のみ を選択し、変更を保存します。

作業は以上です。お疲れ様でした。

オリジンのプロトコルを「マッチビューワー」にする場合

CloudFrontコンソールより対象のオリジンを編集します。

プロトコルで マッチビューワー を選択し、変更を保存します。

次に、ビヘイビアを編集します。

ビューワー > ビューワープロトコルポリシー で Redirect HTTP to HTTPS もしくは HTTPS only を選択し、変更を保存します。

作業は以上です。お疲れ様でした。

参考

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、べこみんでした。

クラスメソッドメンバーズをご契約の皆さまに

AWS Security Hub 「基礎セキュリティのベストプラクティス」の各チェック項目(コントロール)に対する弊社としての推奨対応やコメントを記載しているClassmethod Cloud Guidebook を提供しています。 クラスメソッドメンバーズポータルの「お役立ち情報」→「組織的な AWS 活用のためのノウハウ」からご参照ください。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.