[Security Hub修復手順][EC2.24] 準仮想化 EC2 インスタンスタイプは使用しないでください

特集

AdarshParakh

2023.03.07

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは!AWS事業本部のアダルシュです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

このコントロールは、EC2インスタンスの仮想化タイプが準仮想化であるかどうかをチェックする。EC2インスタンスのvirtualizationTypeがParavirtualに設定されている場合、コントロールは失敗します。

LinuxのAmazon Machine Images(AMI)は、準仮想化(PV)またはハードウェア仮想マシン(HVM)の2種類の仮想化のいずれかを使用します。PVとHVMのAMIの主な違いは、起動方法と、より良いパフォーマンスのために特別なハードウェア拡張(CPU、ネットワーク、ストレージ)を利用できるかどうかです。

歴史的には、PVゲストの方がHVMゲストよりも性能が良い場合が多かったのですが、HVM仮想化の強化やHVM AMI用のPVドライバが利用できるようになったため、現在はそうではありません。

対応するAWSリージョンの一覧をご確認ください。

修復手順

インスタンスタイプをParavirtual(PV)からHardware Virtual Machine(HVM)に変更する。

  • Security Hubのコンソールから、影響を受ける Load Balancerを探します。
  • ナビゲーションペインの[EC2 ダッシュボード ]で、効果のあるインスタンスを選択します。
  • 詳細で、[仮想化タイプ]をチェック出来ます。
  • PV AMIからOriginalのインスタンスを起動したが、HVM AMIでのみサポートされている現行世代のインスタンスタイプに変更したい場合、HVM AMIから新しいインスタンスを起動する必要があります。

注:準仮想インスタンスは、AMIオプションのインスタンス起動で確認できます。

まず、アプリケーションを新しいインスタンスに移行する必要があります。

  • 元のインスタンスのデータをバックアップします。
  • 希望する新しいインスタンス・タイプと互換性のある構成で新しいインスタンスを起動し、元のインスタンスにアタッチされていたEBSボリュームをすべてアタッチします。
  • 新しいインスタンスにアプリケーションと任意のソフトウェアをインストールします。
  • データをリストアします。
  • 元のインスタンスにElastic IPアドレスがあり、ユーザーが新しいインスタンス上のアプリケーションを中断することなく使用できるようにしたい場合、Elastic IPアドレスを新しいインスタンスに関連付ける必要があります。

新しいインスタンス構成でインスタンスタイプを変更するには

  • ナビゲーションペインで、「インスタンス」を選択します。
  • Launch instancesを選択します。インスタンスを構成するときは、以下を実行します。
    • 必要なインスタンスタイプをサポートするHVM AMIを選択します。
    • 希望する新しいインスタンスタイプを選択します。希望するインスタンスタイプが利用できない場合は、選択したAMIの構成と互換性がないためです。
    • Elastic IPアドレスを使用している場合、元のインスタンスが現在稼働しているVPCを選択します。
    • 新しいインスタンスに同じトラフィックを到達させたい場合は、元のインスタンスに関連付けられたセキュリティグループを選択します。
    • 新しいインスタンスの設定が完了したら、キーペアを選択する手順を完了し、インスタンスを起動します。インスタンスが実行状態になるまでに数分かかることがあります。
  • 必要に応じて、作成したスナップショットに基づく新しいEBSボリューム、または元のインスタンスから切り離したEBSボリュームを、新しいインスタンスにアタッチします。
  • アプリケーションと必要なソフトウェアを新しいインスタンスにインストールします。
  • 元のインスタンスのインスタンスストアボリュームからバックアップしたデータをリストアします。
  • Elastic IPアドレスを使用している場合、Elastic IPを新しいインスタンスに関連付けます。
  • 不要になった場合は、元のインスタンスを終了させることができます。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、アダルシュでした!

AWS

関連記事

【Security Hub修復手順】[Kinesis.1] Kinesis Data Streams は、保管中に暗号化する必要があります

平井裕二

2024.04.25

Security Hubの検出結果をノート(note)をつけてまとめて抑制してみた

たかやま

2024.04.13

Security Hubの検出結果サマリを週次でメール通知するサンプルソリューションを試してみた

杉金晋

2024.04.10

AWS Security Hub 『基礎セキュリティのベストプラクティス』で失敗している検出結果をCSV出力したい【Python, Boto3】

川原征大

2024.04.04