【Security Hub修復手順】[ECS.12] ECSクラスタはContainer Insightsを有効にする必要があります

こんにちは、AWS事業本部の平井です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。

本記事の対象コントロール

[ECS.12] ECS クラスターでは、Container Insights を有効にする必要があります

[ECS.12] ECS clusters should use Container Insights

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容です。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

コントロールの説明

このコントロールは、ECS クラスターが Container Insights を使用しているかどうかをチェックします。

Container Insights が無効化されている場合、このコントロールは失敗します。

ECSのCloudWatchの標準メトリクスは、ECSクラスターとECSサービスのみとなります。

Container Insightsを有効化することで、ECSタスクレベルでのメトリクスを収集可能です。 ECSサービスの継続性を把握するための実行中タスク数として、RunningTaskCountも提供されるのが大きな特徴です。

Container Insightsを有効化すると、カスタムメトリクスとログの取り込み料金が必要となるため、ECSタスクレベルでのメトリクスを収集が不要な場合（開発環境など）、無効のままでも構いません。

修正手順

1 対象のリソースの確認方法

1. AWSマネージメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「ECS.11」を検索します。タイトルを選択します。
   
2. リソースの欄から失敗しているリソースを確認できます。

2 ステークホルダーに確認

ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。

• Container Insights 有効化してよいか確認。特にコストがかかっても問題ないか確認しましょう。

3 Container Insights 有効化

既存のクラスターの場合

1. ECSのクラスターをクリックします
2. [クラスターの更新]をクリックします。ちなみに、[CloudWatch モニタリング]がデフォルトというのは、Container Insightsが無効の状態です
3. [Container Insights の使用]にチェックをいれて、更新すると有効化されます。
4. [CloudWatch モニタリング]がContainer Insightsとなれば、有効化されています。

新規でクラスターを作成する場合

1. [クラスターの作成]をクリックします。
2. [Container Insights の使用]にチェックをいれて、作成すると、有効化されます。
3. [CloudWatch モニタリング]がContainer Insightsとなれば、有効化されています。

Container Insightsは、コンソール上で簡単に有効化できますね。

Container Insights有効化後、Container Insightsを見てみると、メトリクスが確認できました。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう！

最後までお読みいただきありがとうございました！どなたかのお役に立てれば幸いです。

以上、平井でした！