【Security Hub修復手順】[EC2.25] Amazon EC2 起動テンプレートはパブリック IP をネットワークインターフェイスに割り当てないでください

こんにちは！AWS事業本部の森田です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[EC2.25] Amazon EC2 起動テンプレートはパブリック IP をネットワークインターフェイスに割り当てないでください

[EC2.25] Amazon EC2 launch templates should not assign public IPs to network interfaces

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。

AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

このコントールは、Amazon EC2 起動テンプレートが起動の際にネットワークインターフェイスにパブリック IP アドレスを割り当てる設定になっていないかをチェックします。

EC2 起動テンプレートのデフォルトバージョンがネットワークインターフェイスにパブリック IP アドレスを割り当てるように設定されているコントロールは失敗します。

セキュリティリスク

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースは、インターネットからアクセスできる可能性があります。

EC2 への意図しないアクセスが可能になるおそれがあるため、EC2 起動テンプレート内のパブリック IP アドレスの自動割り当てを Disable に変更することを推奨します。

ただし、EC2 へインターネットからのアクセスを許可したい場合は、この設定によって利便性が損なわれるため抑制済みに変更してください。

修復手順

1 ステークホルダーに確認

まずはステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。

• EC2インスタンスへのインターネットからアクセスを不可にしても良いか
  • 意図してパブリック IP アドレスを割り当てている場合、従来のインターネットからのEC2インスタンスへのアクセスができなくなります。
  • EC2インスタンスへの別のアクセス手段を用意しましょう。
    • 参考 :「プライベートサブネットにあるEC2へのアクセス方法を整理してみた」というビデオセッションを公開しました
• EC2 起動テンプレート修正を行う場合のバージョンをどうするか
  • Auto Scaling グループで起動テンプレートのバージョンを指定している場合があります。
    • バージョンを明示的に指定を行っている（デフォルトを使用していない）場合は、「2 EC2 起動テンプレートの修正」後にAuto Scaling グループの修正も必要となります。

2 EC2 起動テンプレートの修正

マネジメントコンソールで EC2 内の起動テンプレートを開く

EC2 内の起動テンプレートを開きます。

対象のテンプレートを選択

対象のテンプレートを選択して、「テンプレートを変更」を選択します。

テンプレートの変更

テンプレート内の「高度なネットワーク設定」に移動します。

パブリック IP の自動割り当てが「有効化」になっていますので、「無効化」に変更し、テンプレートのバージョンを作成します。

デフォルトバージョンに変更

新しいバージョンで「パブリック IP の自動割り当て」になっていることを確認します。

確認後、新しく作成したバージョンを「デフォルトバージョン」に変更します。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう！

最後までお読みいただきありがとうございました！どなたかのお役に立てれば幸いです。