こんにちは、AWS事業本部の平井です。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。
本記事の対象コントロール
[ElastiCache.7] ElastiCache クラスターは、デフォルトのサブネットグループを使うべきではありません
[ElastiCache.7] ElastiCache clusters should not use the default subnet group
前提条件
本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容です。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。
コントロールの説明
このコントロールは、ElastiCache クラスターがカスタムサブネットグループで設定されているかどうかを確認します。
サブネットグループ名前にdefaultがある場合、コントロールは失敗します。
デフォルトのサブネットグループは、デフォルト VPC のサブネットを使用するため、意図しない通信を許可する可能性があります。
ElastiCache クラスターでは、適切なサブネットでのカスタムサブネットグループの使用を推奨します。
ただし、サブネットグループがクラスターに関連付けられている場合には直接変更することはできません。
そのため、サブネットグループを変更するためには既存のクラスターを削除し、新しいサブネットグループでクラスターを再作成する必要があります。
修正手順
1 対象のリソースの確認方法
- AWSマネージメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「ElastiCache.7」を検索します。タイトルを選択します。
- リソースの欄から失敗しているリソースを確認できます。
2 ステークホルダーに確認
ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下の条件を満たせているか確認します。
- サブネットグループをカスタムサブネットグループに変更してよいか確認する
- 既存のクラスターのバックアップを取得し、カスタムサブネットグループでクラスターを再作成します
3 サブネットグループを作成
まず、サブネットグループを作成します。
可用性を考慮し、 2つ以上のアベイラビリティーゾーンが含まれるようにサブネットを選択しましょう、
CLIからでも下記のコマンドで作成できます。
$ aws elasticache create-cache-subnet-group \
--cache-subnet-group-name subnet-group-name \
--cache-subnet-group-description "test" \
--subnet-ids "subnet-xxxxxx" "subnet-xxxxxx"4 バックアップから復元
- 既存のクラスターからバックアップします。
- バックアップ完了後、復元します。
- 先程作成したサブネットグループを選択し、クラスターを作成します。
- これで、カスタムサブネットグループを適用したクラスターが作成できました!
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。
以上、平井でした!
5
