【Security Hub修復手順】[EC2.18] セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可する必要があります。
こんにちは、AWS事業本部の平井です。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。
本記事の対象コントロール
[EC2.18] セキュリティグループは、許可されたポートに対する無制限の受信トラフィックのみを許可する必要がある
[EC2.18] Security groups should only allow unrestricted incoming traffic for authorized ports
前提条件
本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。
対象コントロールの説明
今回の対象コントロールは、「セキュリティグループは、許可されたポートに対する無制限の受信トラフィックのみを許可する必要がある」です。
許可されたポートというのは、デフォルトでは、ポート80と443の値になります。
つまり、「ポート80
と443
を除き、受信トラフィックが全開放(0.0.0.0/0)されているセキュリティグループはないようにする」ことが、今回のコントロール対しての対応になります。
受信トラフィックを全開放していることで、意図しないハッキング、サービス拒否(DoS)攻撃、データ損失などのセキュリティリスクが発生してしまうため、可能な限り対応しましょう。
修正手順
1 ステークホルダーに確認
まずはステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。
- ポート
80
と443
を除き、受信トラフィックが全開放(0.0.0.0/0)されているセキュリティグループは修正してよいか?- 意図して設定している場合、 抑制済みで登録して下さい。
- 意図してしていない場合、[2 設定変更]の手順に従い、セキュリティグループを修正してください。
※設定変更後にリソースへのアクセス等ができなくなり、業務影響が出る可能性があります。そのため、社内で注意深く確認、修正して下さい。
2 設定変更
- AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「EC2.18」を検索します。タイトルを選択します。
- 失敗しているセキュリティグループを選択します。
- セキュリティグループのインバウンドルールを編集します。
- インバウンドルールのソースのうち、
0.0.0.0/0
を適切な値に修正し、保存します。
これで修正完了です!
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。
以上、平井でした!