【Security Hub修復手順】[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックとアウトバウンドトラフィックを許可しないようにする必要があります
こんにちは、AWS事業本部の平井です。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。
本記事の対象コントロール
[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックとアウトバウンドトラフィックを許可しないようにする必要があります
[EC2.2] The VPC default security group should not allow inbound and outbound traffic
前提条件
本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。
修正手順
1 ステークホルダーに確認
まずはステークホルダー(リソースの作成者や管理している部署などの関係者)に以下の2点を確認します。
- デフォルトセキュリティグループがリソースに割り当てられているか確認
- デフォルトセキュリティグループからのトラフィックを許可しているセキュリティグループが存在するか確認
デフォルトセキュリティグループは、誤って使ってしまう可能性があります。 その場合、意図しないアクセス経路によるセキュリティリスクがあるため、デフォルトのルールは削除する必要があります。
リソースに割り当てられているか確認
デフォルトセキュリティグループがリソースに割り当てられているか、以下の手順で確認します。
- AWSマネージメントコンソールにログインし、EC2のコンソールを開きます。 リージョンは「東京」を選択します。東京リージョン以外の他リージョンも使用している際は確認して下さい。
- [セキュリティグループ]のセキュリティグループ名が
default
を確認し、セキュリティグループIDをコピーします。
- [ネットワークインターフェース]の検索バーにセキュリティグループIDを貼り付けます。検索結果では、デフォルトセキュリティグループがリソースに割り当てられているか確認できます。
- 下記のように
一致するネットワークインターフェイスが見つかりません
と出た場合、割り当てられていません。 - 下記の場合、セキュリティグループにリソースが割り当てられています。
- 下記のように
トラフィックを許可しているセキュリティグループの確認
次に、デフォルトセキュリティグループに対して、トラフィックを許可しているセキュリティグループがないかを確認します。
- [セキュリティグループ]の検索バーに、デフォルトセキュリティグループのIDを貼り付けます。
- 下記のように、デフォルトセキュリティグループ以外にセキュリティグループが検出された場合、そのセキュリティグループも影響範囲となりますので、後の作業で対応します。
※ 以降の作業を行うと、デフォルトセキュリティグループに割り当てられているリソースは使用できなくなり、業務影響が出てしまいます。そのため、社内で注意深く確認して下さい。
以下の2点、どちらにも当てはまらない場合、[4 デフォルトセキュリティグループのルールの削除]
の作業を行ってください。どちらかに当てはまる場合、[2 セキュリティグループを作成してリソースに割り当てる]
から作業を行ってください。
- デフォルトセキュリティグループがリソースに割り当てられていた
- デフォルトセキュリティグループに対して、トラフィックを許可しているセキュリティグループが存在した
2 セキュリティグループを作成してリソースに割り当てる
- デフォルトセキュリティグループと同じ設定のセキュリティグループを新規で作成します。
[セキュリティグループ]でデフォルトセキュリティグループを選択し、アクションのうち
新しいセキュリティグループにコピー
をクリックしてください。 - 適切なセキュリティグループ名と説明を入力し、インバウンドルールとアウトバウンドルールがデフォルトセキュリティグループと同じ設定か確認し、セキュリティグループを作成します。
セキュリティグループ名は、今回new-sg
としました。
3 セキュリティグループへの割り当て変更
- デフォルトセキュリティグループに割り当てられているリソースがある場合、リソースに対して、先程作成したセキュリティグループを割り当てます。
- 例として、EC2インスタンスに割り当てる場合、[セキュリティグループ変更]から作成したセキュリティグループを追加します。
- デフォルトセキュリティグループに対して、インバウンド・アウトバウンドルールが設定されているセキュリティグループがある場合、先程作成したセキュリティグループに対して同じルールを設定し、デフォルトセキュリティグループのルールは削除します。
デフォルトセキュリティグループと同じ設定で、先程作成したセキュリティグループのルールを追加します。
そして、デフォルトセキュリティグループに対するルールを削除します。
- その後、デフォルトセキュリティグループに割り当てられているリソースに対して、デフォルトセキュリティグループの割り当てを外します。
- EC2の場合
- EC2の場合
※ 全ステークホルダーに影響がないか確認を行なって下さい。
4 デフォルトセキュリティグループのルールの削除
- [セキュリティグループ]でデフォルトセキュリティグループを選択し、インバウンドルールを全て削除します。
2.インバウンドルールと同様に、アウトバウンドルールも全て削除します。
これでデフォルトセキュリティグループのルールを削除することができました!
切戻し手順
ステークホルダーに影響があり、元に戻す場合の切戻し手順について、説明します。
[4 デフォルトセキュリティグループのルールの削除]
で削除したデフォルトセキュリティグループのルールを元に戻します。
[3 セキュリティグループへの割り当て変更]
のうち、デフォルトセキュリティグループに割り当てられているリソースがあった場合、再度、割り当てます。 作成したセキュリティグループは、割り当てを外します。- 先程、EC2インスタンスの例を挙げましたが、[セキュリティグループ変更]からデフォルトセキュリティグループを割り当て、作成したセキュリティグループを外します。
[3 セキュリティグループへの割り当て変更]
のうち、 デフォルトセキュリティグループに対して、インバウンド・アウトバウンドルールが設定されているセキュリティグループがあった場合、デフォルトセキュリティグループを設定します。 そして、作成したセキュリティグループの設定は削除します。
これで切戻しすることができました!
AWS CLIで対応する場合
下記のブログでは、AWS CLIを使い、デフォルトセキュリティグループのルールを一括削除する方法が記載されておりますので、ぜひ参考にしてください!
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。
以上、平井でした!