この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちはAWS事業本部コンサルティング部のこーへいです。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。
本記事の対象コントロール
[CodeBuild.5] CodeBuild プロジェクト環境では特権モードを有効にしないでください
[CodeBuild.5] CodeBuild project environments should not have privileged mode enabled
前提条件
本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。
対象コントロールの説明
このコントロールは、CodeBuildプロジェクト環境で特権モードが有効にかどうかをチェックします。このコントロールは、CodeBuildプロジェクト環境で特権モードが有効な場合は失敗します。
CodeBuildで使用するコンテナが悪用されて、ホストコンピュータへのアクセス権限を持つことになると、攻撃者の攻撃可能な範囲は極めて広範囲になります。特別な理由(Docker in Dockerの構成など)で特権を付与する場合を除き、ワークフローステータスを抑制済みにするべきではありません。
クラスメソッドメンバーズでベーシックアカウントをお使いのお客様は、初期設定として一部のリソースのみを記録するようConfigが設定されています。そのためCodeBuildが記録対象に入っていない場合、このコントロールは失敗しません。セキュリティ要件として、本コントロールの監視が必要な場合、AWS ConfigにCodeBuildの記録を追加することを検討して下さい。
修復手順
Security Hubでは、特別な理由がない限りプロジェクト環境での特権モードの無効化を推奨しています。
以下は特権モードの無効化手順を記します。
- マネジメントコンソール画面より、CodeBuild > ビルドプロジェクト > 対象ビルドプロジェクトの選択 > ビルドの詳細 > 環境の順に遷移してください。
- 「環境を編集」にて「イメージの上書き」を選択し、「特権付与」のチェックボックスを外す。
-
設定を確認し、特権付与が偽になっていることを確認する
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。
以上、こーへいでした!
0
