【Security Hub修復手順】[EC2.23] EC2 Transit Gateway は VPC アタッチメントリクエストを自動的に受け付けるべきではありません

【Security Hub修復手順】[EC2.23] EC2 Transit Gateway は VPC アタッチメントリクエストを自動的に受け付けるべきではありません

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
Clock Icon2023.08.17

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは!AWS事業本部のおつまみです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。

本記事の対象コントロール

[EC2.23] EC2 Transit Gateway は VPC アタッチメントリクエストを自動的に受け付けるべきではありません

[EC2.23] Amazon EC2 Transit Gateways should not automatically accept VPC attachment requests

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

このコントロールは、Transit Gateway (TGW)が共有 VPC アタッチメントを自動的に受け入れているかどうかをチェックします。
TGWが VPC アタッチメントリクエストを自動的に受け入れていると、このコントロールは失敗します。

[共有アタッチメントを自動承諾]をオンにすると、リクエストまたはアタッチメントの発信元であるアカウントを確認せずに、クロスアカウント VPC アタッチメントリクエストを自動的に受け入れるように設定されます。「意図しないVPCアタッチメントの作成」を防ぐのに有効なため、基本は対応したほうが良いです。
ただし、手動承認のコストが環境構築・運用で大きなボトルネックになっている場合は「抑制済み」対応でも良いです。

修復手順

  1. Amazon VPC コンソールを開きます。

  2. ナビゲーションペインで、[Transit Gateway] を選択します。

  3. 変更するTransit Gatewayを選択し、 [アクション]、[Transit Gatewayの変更]を選択します。

  4. [共有アタッチメントを自動承諾]のチェックを外し、[Transit Gatewayの変更]を選択します。

  5. [正常に更新されました]が表示され、[共有アタッチメントを自動承諾]が[無効化]されていればOKです。以上で設定変更は完了です。

Transit Gatewayを変更すると、変更されたオプションは新しいTransit Gatewayのアタッチメントにのみ適用されます。 既存のTransit Gatewayのアタッチメントは変更されず、サービスの中断は発生しません。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!
どなたかのお役に立てれば幸いです。

以上、おつまみ(@AWS11077)でした!

参考

クロスアカウントな AWS Transit Gateway を、絵で見て(完全に)理解する。 | DevelopersIO

AWS Transit Gateway をVPCにアタッチメントしたTransit Gateway専用サブネットのルートテーブルのルート設定について | DevelopersIO

この記事をシェアする

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.