こんにちは!AWS事業本部のおつまみです。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。
本記事の対象コントロール
[CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります
[CodeBuild.3] CodeBuild S3 logs should be encrypted
前提条件
本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。
対象コントロールの説明
このコントロールは、下記の2点のうちどちらも対応していない場合のみ、失敗します。
- S3 バケットで Amazon S3 のデフォルトの暗号化が有効になっていること
- S3 バケットポリシーでサーバー側の暗号化なしの put-object リクエストを明示的に拒否していること
オブジェクトの暗号化は、ユーザー側の責任であるため、保管時の暗号化は必須です。
ちなみに2023年の1月にアップデートがあり、アップデート後に作成されたS3は、必ず暗号化されるようになりました。
詳細は、下記のブログをご確認ください。
修復手順
1. 対象のS3バケットの確認方法
- AWSマネージメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「CodeBuild.3」を検索します。タイトルを選択します。
-
リソースの欄から失敗しているCodeBuild プロジェクトを確認できます。
2. ステークホルダーに確認
ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。
- 対象のCodeBuild プロジェクトに対して、暗号化を有効にしてよいか
3. 暗号化を有効にする
- CodeBuild のコンソールから対象のCodeBuild プロジェクトを選択し、[編集]タブから[ログ]をクリックします。
2. [S3ログの暗号化を無効にする]のチェックを外し、[ログの更新]をクリックします。これで、ログの暗号化を有効にできました。
3. SecurityHubにて、失敗しているリソースが0になっていること及びステータスが[成功]になっていることを確認します。 ※リソースの更新には数分、ステータスの更新には1日程度かかります。
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!
どなたかのお役に立てれば幸いです。
以上、おつまみ(@AWS11077)でした!
3
