【Security Hub修復手順】[DocumentDB.3 ] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません

【Security Hub修復手順】[DocumentDB.3 ] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
Clock Icon2024.08.19

こんにちは!AWS事業本部のおつまみです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[DocumentDB.3 ] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません

[DocumentDB.3 ] Amazon DocumentDB manual cluster snapshots should not be public

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。

https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/

https://dev.classmethod.jp/articles/aws-security-operation-with-securityhub-2021/

対象コントロールの説明

このコントロールは、Amazon DocumentDB の手動クラスタースナップショットがパブリックかどうかをチェックします。手動クラスタースナップショットがパブリックの場合、コントロールは失敗します。

Amazon DocumentDB手動クラスタースナップショットを他AWSアカウントに共有する場合、「パブリック」または「プライベート」を選ぶことができます。
「パブリック」で手動クラスタースナップショットが公開されているとすべてのAWSアカウントから参照・利用できてしまいます。
情報漏洩に繋がるため、手動クラスタースナップショットは意図しない限りパブリックにしないでください。

対応方法としては、2パターンあります。

  • パブリック共有のスナップショットを削除する
  • パブリックからAWSアカウントを指定したプライベート共有に変更する

パブリック共有する要件があるスナップショットであれば、当該コントロールを抑制済みにしてください。

修復手順

1. 対象のリソースの確認方法

  1. AWSマネージメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「DocumentDB.3」を検索し、タイトルを選択します。
    F293A89B-42A8-42FF-810F-3473313909A7_4_5005_c.jpeg

  2. リソースの欄から失敗しているリソースを確認できます。
    BCA98843-B15A-4B5F-BA0F-08E9D769BFED.png

2. ステークホルダーに確認

  1. ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。
  • どちらの方法で対応するか
    • パブリック共有のスナップショットを削除する
    • パブリックからAWSアカウントを指定したプライベート共有に変更する

パブリック共有する要件があるスナップショットであれば、Security Hubの失敗箇所を抑制済みにします。

3-1. パブリックスナップショットの削除

  1. スナップショットにて、[自分が所有]から[すべてのパブリックスナップショット]に変更します。
    485ABFD1-8BFB-4906-B354-916681052F41_4_5005_c.jpeg

  2. パブリックスナップショットになっていることを確認します。[アクション]から[削除]を選択します。
    604179D4-30D2-4815-B10D-729D46C0502A_4_5005_c.jpeg

  3. 注意喚起画面が表示されるので[削除]を選択します。
    B1DBB0F1-10AD-49B5-9A59-010AEC67967F_4_5005_c.jpeg

  4. 対象のスナップショットが削除されていることを確認します。
    F5137DF2-DC03-4697-B030-0B7D5CE0EE70.png

  5. SecurityHubにて、失敗しているリソースが0になっていること及びステータスが[成功]になっていることを確認します。 ※リソースの更新には数分、ステータスの更新には1日程度かかります。

3-2. プライベートスナップショットに変更

  1. スナップショットにて、[自分が所有]から[すべてのパブリックスナップショット]に変更します。
    485ABFD1-8BFB-4906-B354-916681052F41_4_5005_c.jpeg

  2. パブリックスナップショットになっていることを確認します。[アクション]から[共有]を選択します。
    F42EDDBB-18DE-4CD1-A654-0627677A5B63.png

  3. DBスナップショットの可視性を[プライベート]にし、AWSアカウントIDに共有するアカウントのIDを入れ、[追加]を選択します。
    36C6575A-49AB-49C0-9C93-F4A438BBF9CD.png

  4. 入力したアカウントIDが表示されていることを確認し、[保存]を選択します。
    65CD3C11-46D9-47A0-8033-23B8D513E195.png

  5. 対象のスナップショットが[すべてのパブリックスナップショット]に表示されていないことを確認します。
    F5137DF2-DC03-4697-B030-0B7D5CE0EE70.png

  6. 共有したアカウントにて、[自分と共有]からスナップショットが共有されていることを確認します。

  7. SecurityHubにて、失敗しているリソースが0になっていること及びステータスが[成功]になっていることを確認します。 ※リソースの更新には数分、ステータスの更新には1日程度かかります。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、おつまみ(@AWS11077)でした!

この記事をシェアする

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.