【Security Hub修復手順】[ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります

こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります

[ElasticBeanstalk.2] Elastic Beanstalk managed platform updates should be enabled

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

AWS Elastic BeanstalkではOSやランタイムなどアプリケーションの実行環境に必要なものを開発言語別にパッケージングしたものを プラットフォーム と呼びます。

みなさんもご自身のPCで使われているOSやライブラリにバグ修正のパッチ配信が来たらアップデートをするかと思います。AWS Elastic Beanstalkのプラットフォームも同様に適宜アップデートしてあげる必要があります。

AWS Elastic Beanstalkにはこのプラットフォームの最新化を自動でやってくれる機能が存在します。それが「マネージド（管理された）プラットフォーム更新」機能です。本機能の詳細は下記ブログをご参照ください。

前置きが長くなりましたが、本コントロールは「マネージドプラットフォーム更新機能を有効化し、アプリケーションの実行環境のバージョンを常に最新に保とう」という趣旨のものです。アプリケーションの実行環境をアップデートせず脆弱性を放置しておくのは推奨されません。是非マネージドプラットフォーム更新機能を利用しましょう。

※カスタムAMIをご利用の場合には注意事項がございます。上記ブログを是非ご覧下さい。

修復手順

1. ステークホルダーに連絡

自動更新プロセス中もアプリケーションは利用可能ですが、念の為ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を連絡します。

• マネージドプラットフォーム更新機能を有効化すること
• 更新ウィンドウの設定日時
• 更新レベルをどうするか
  • マイナーバージョンとパッチ
  • パッチのみ

2. マネージドプラットフォーム更新を設定する

本設定は環境の作成時でも作成後でも設定することが可能です。ご自身の状況に合わせてご対応ください。

作成時に設定する

任意のアプリケーション名とプラットフォームを入力後、環境の新規作成画面下部の「より多くのオプションの設定」を選択する。

「管理された更新」の編集を行う。

「管理された更新」が有効になっていることや更新ウィンドウのタイミング等を確認し、保存する。（デフォルトで有効）

既存環境の設定を変更する

AWS Elastic Beanstalkコンソールのサイドバーより、環境の設定画面を開く。

「マネージド更新」の編集を行う。

「管理された更新」が有効になっていることや更新ウィンドウのタイミング等を確認し、適用する。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう！

最後までお読みいただきありがとうございました！どなたかのお役に立てれば幸いです。

以上、べこみんでした。

クラスメソッドメンバーズをご契約の皆さまに

AWS Security Hub 「基礎セキュリティのベストプラクティス」の各チェック項目(コントロール)に対する弊社としての推奨対応やコメントを記載しているClassmethod Cloud Guidebookを提供しています。 クラスメソッドメンバーズポータルの「お役立ち情報」→「組織的な AWS 活用のためのノウハウ」からご参照ください。