[Security Hub修復手順] [ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります

こんにちは！AWS事業本部のアダルシュです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

• [ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります
• [ELB.14] Classic Load Balancer should be configured with defensive or strictest desync mitigation mode

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

このコントロールは、Classic Load Balancer が防御的モードまたは最も厳格モードで構成されているかを確認します。Classic Load Balancer が防御的モードまたは最も厳格モードで構成されていない場合、このコントロールは失敗します。

HTTP非同期の問題は、リクエストの密輸につながり、アプリケーションをリクエストキューイングやキャッシュポイズニングの危険にさらす可能性があります。そして、これらの脆弱性は、クレデンシャルハイジャックや不正なコマンド実行につながります。Classic Load BalancerをDefensive ModeまたはStrict Asynchronous Relaxed Modeで構成すると、HTTP非同期によるセキュリティの問題からアプリケーションを保護することができます

修復手順

Desync 緩和モード変更手順

コンソールを使用して非同期ミティゲーションモードを更新するには。

• Security Hubのコンソールから、影響を受ける Load Balancerを探します。
• ナビゲーションペインの［LOAD BALANCING］で、効果のあるLoad Balancerを選択します。
• Description（説明）]タブで、[Configure desync mitigation mode（非同期緩和モードの設定）]を選択します。
• 非同期緩和モードの設定で、[防御的]または[最も厳格]を選択します。
• 「保存」を選択します。

AWS CLI を使用して非同期緩和モードを更新するには

• modify-load-balancer-attributes コマンドを elb.http.desyncmitigationmode 属性を defensive または strictest に設定して使用します

aws elb modify-load-balancer-attributes --load-balancer-name my-load-balancer --load-balancer-attributes file://attribute.json

• 以下は、attribute.jsonの内容です。

{
    "AdditionalAttributes": [
        {
            "Key": "elb.http.desyncmitigationmode",
            "Value": "strictest"
        }
    ]
}

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう！

最後までお読みいただきありがとうございました！どなたかのお役に立てれば幸いです。

以上、アダルシュでした！