【Security Hub修復手順】[EC2.20] AWS Site-to-Site VPN 接続用の VPN トンネルは、両方とも起動している必要があります。

こんにちは！AWS事業本部のヌヌです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[EC2.20] AWS Site-to-Site VPN 接続用の VPN トンネルは、両方とも起動している必要があります。

[EC2.20] Both VPN tunnels for an AWS Site-to-Site VPN connection should be up

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

このコントロールは、AWS Site-to-Site VPN が提供する両方の VPN トンネルが UP ステータスであることをチェックします。

各 VPN 接続には、高可用性のために同時に使用できる 2 つの VPN トンネルが含まれています。VPN 接続をするために両方の VPN トンネルが確実に稼働していることは、AWS VPC とリモートネットワーク間の安全で可用性の高い接続を確認するために重要です。

修復手順

VPNトンネルがダウンになる理由では多様な原因があります。修復手順としてよくあるVPNトンネルダウンの原因３つについて紹介します。

VPNトンネル情報についてはSite to Site VPNコンソール上で確認できます。

アイドル状態のタイムアウトの確認

VPNトンネルのトラフィクがないためアイドル状態のタイムアウトのため、VPNトンネルのステータスが「DOWN」なった可能性があります。

VPCとローカルネットワークの間、両方向トラフィックを確認します。

必要に応じて、一定間隔（5秒）でVPCにICMP送信を送るスケジューラを作成してアイドル状態のタイムアウトを解決できます。または使用中のデバイスのアイドルタイムアウト設定を変更します。

フェーズ 1 またはフェーズ 2 のキー再生成の問題

VPN トンネルでフェーズ 1 またはフェーズ 2 の不一致のため、キーの再生成の問題が発生する場合があります。

この場合、カスタマーゲートウェイのフェーズ 1 またはフェーズ 2 ライフタイムフィールドがAWS パラメータと一致することを確認します。

その他、カスタマーゲートウェイの UDP ポート 500 [IKE]、4500 [NAT-T]、および IP 50 [ESP] へのインバウンドトラフィックで、AWS エンドポイントのキー再生成が許可されていることを確認します。

VPN トンネルでフェーズ 1 とフェーズ 2設定は次のように変更できます。

1. Site to Site VPNコンソールにアクセスし、対象VPN接続を選択します。ボタン「アクション」→「VPNトンネルプションを変更」をクリックしてオプション変更ページへ移動します。

1. フェーズ 1 とフェーズ 2の設定を変更します。

各オプションのデフォルト値は次になります。

• フェーズ 1の有効期間（秒）： 28,800
• フェーズ 2の有効期間（秒）： 3600
• リキーマージン時間（秒）： 540
• リキーファズ（パーセント）： 100
• リキーウィンドウサイズ（パケット）： 1024

3.「変更を保存」ボタンをクリックして変更を保存します。

Site-to-Site VPN 接続のトンネルオプションの詳細についてはAWS公式ドキュメントをご覧ください。

DPD(Dead Peer Detection)オプションの確認

DPD タイムアウトのため、VPNトンネルのステータスが「DOWN」なった可能性があります。 VPN ピアが 3 回連続する DPD に応答しない場合は、ピアが停止していて、トンネルが閉じているとみなされます。

VPNトンネルのDPDタイムアウトアクションをなしに設定する場合、 DPDタイムアウトが発生してもVPNトンネルのステータスが「DOWN」になりません。

VPNトンネルのDPDオプションを変更する手順は次になります。

1. Site to Site VPNコンソールにアクセスし、対象VPN接続を選択します。ボタン「アクション」→「VPNトンネルプションを変更」をクリックしてオプション変更ページへ移動します。

1. オプションを変更する「Down」状態のVPNトンネル外部IPアドレスを選択します。

3.「DPDタイムアウトアクション」オプションの設定をなしで変更し、「変更を保存」ボタンをクリックして変更を保存します。

DPDタイムアウトの詳細については次の記事をご覧ください。

最後にトンネルの状態がUPになっていることを確認します。

参考

カスタマーゲートウェイデバイスの VPN トンネルの非活動性、不安定性、またはトンネルダウンをトラブルシューティングするにはどうすればよいですか?

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう！

最後までお読みいただきありがとうございました！どなたかのお役に立てれば幸いです。

以上、ヌヌでした！