【Security Hub修復手順】[ECS.10] Fargateサービスは、最新のプラットフォームバージョンで実行する必要があります

こんにちは、AWS事業本部の平井です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。

本記事の対象コントロール

[ECS.10] Fargate サービスは、Fargate プラットフォームの最新バージョンで実行する必要があります。

[ECS.10] ECS Fargate services should run on the latest Fargate platform version

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容です。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

コントロールの説明

このコントロールは、このコントロールは、AWS Fargate プラットフォームのバージョンが最新のバージョンで実行されているかどうかをチェックします。

プラットフォームが最新バージョンでない場合、このコントロールは失敗します。

現時点(2023/6)の各OSの最新プラットフォームのバージョンは下記の通りです。

• Linux：1.4.0
• Windows:1.0.0

AWS Fargateプラットフォームのバージョンは、カーネルとコンテナランタイムのバージョンの組み合わせであり、特定のFargateタスクのインフラストラクチャのランタイム環境を指します。

新しいプラットフォームのバージョンは、ランタイム環境の進化に応じて定期的にリリースされます。

新しいバージョンには、カーネルやOSのアップデート、新機能の追加、バグ修正、セキュリティの更新などのメリットがありますので、プラットフォームのバージョンは最新にしましょう。

**ただし、最新バージョンへの変更は、更新内容を検証した上で実施するべきです。 **

例えばLinuxの1.4.0へのバージョンアップ時には、追加でVPCエンドポイントが必要となるケースがありました。詳細はこちら。

プラットフォームバージョンはLATESTを指定することもできますが、上記の理由から、特定バージョンの指定を推奨します。

各プラットフォームバージョンの概要は、下記のドキュメントに記載されています。

修正手順

1 対象のリソースの確認方法

1. AWSマネージメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「ECS.10」を検索します。タイトルを選択します。
   
2. リソースの欄から失敗しているリソースを確認できます。

2 ステークホルダーに確認

ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下の条件を満たせているか確認します。

• 本番環境に対して実施する場合、最新のプラットフォームバージョンの更新内容を検証済みか確認
  • 検証が不十分の場合、一旦抑制済みにしてよいです。
• 検証環境に対して実施する場合、最新のプラットフォームバージョンの更新内容を把握済みか確認

3 プラットフォームバージョンの変更

サービスからタスクを起動する場合と、サービスを利用せずタスクを起動しているパターンで対応が異なります。

今回は、Linux 1.4.0バージョンに変更します。

ECSサービスからタスクを起動する場合

ECSサービスを作り直す必要があります。

ECSの[サービスの作成]から、下記のように、プラットフォームのバージョンを1.4.0にして、タスクをデプロイするだけです。

ECSサービスを利用せずタスクを起動している場合

ECSの[タスクの実行]から、下記のように、プラットフォームのバージョンを1.4.0にして、タスクをデプロイするだけです。

プラットフォームのバージョン1.4.0でデプロイされたことが確認できました！

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう！

最後までお読みいただきありがとうございました！どなたかのお役に立てれば幸いです。

以上、平井でした！