【Security Hub修復手順】[ElastiCache.7]ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください

【Security Hub修復手順】[ElastiCache.7]ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
Clock Icon2023.08.22

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、AWS事業本部の平井です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。

本記事の対象コントロール

[ElastiCache.7] ElastiCache クラスターは、デフォルトのサブネットグループを使うべきではありません

[ElastiCache.7] ElastiCache clusters should not use the default subnet group

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容です。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

コントロールの説明

このコントロールは、ElastiCache クラスターがカスタムサブネットグループで設定されているかどうかを確認します。

サブネットグループ名前にdefaultがある場合、コントロールは失敗します。

デフォルトのサブネットグループは、デフォルト VPC のサブネットを使用するため、意図しない通信を許可する可能性があります。

ElastiCache クラスターでは、適切なサブネットでのカスタムサブネットグループの使用を推奨します。

ただし、サブネットグループがクラスターに関連付けられている場合には直接変更することはできません。

そのため、サブネットグループを変更するためには既存のクラスターを削除し、新しいサブネットグループでクラスターを再作成する必要があります。

修正手順

1 対象のリソースの確認方法

  1. AWSマネージメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「ElastiCache.7」を検索します。タイトルを選択します。
  2. リソースの欄から失敗しているリソースを確認できます。

2 ステークホルダーに確認

ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下の条件を満たせているか確認します。

  • サブネットグループをカスタムサブネットグループに変更してよいか確認する
    • 既存のクラスターのバックアップを取得し、カスタムサブネットグループでクラスターを再作成します

3 サブネットグループを作成

まず、サブネットグループを作成します。

可用性を考慮し、 2つ以上のアベイラビリティーゾーンが含まれるようにサブネットを選択しましょう、

CLIからでも下記のコマンドで作成できます。

$ aws elasticache create-cache-subnet-group \
    --cache-subnet-group-name subnet-group-name \
    --cache-subnet-group-description "test" \
    --subnet-ids "subnet-xxxxxx" "subnet-xxxxxx"

4 バックアップから復元

  1. 既存のクラスターからバックアップします。
  2. バックアップ完了後、復元します。
  3. 先程作成したサブネットグループを選択し、クラスターを作成します。
  4. これで、カスタムサブネットグループを適用したクラスターが作成できました!

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、平井でした!

この記事をシェアする

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.