![【Security Hub修復手順】[ELB.21] Application and Network Load Balancer ターゲットグループは、暗号化されたヘルスチェックプロトコルを使用する必要があります](https://images.ctfassets.net/ct0aopd36mqt/wp-refcat-img-cea52bc8a6ec5cad9021b38df4a08b9e/24c76ee7c1ae7aa7f9676a59c77f8702/aws-security-hub?w=3840&fm=webp)
【Security Hub修復手順】[ELB.21] Application and Network Load Balancer ターゲットグループは、暗号化されたヘルスチェックプロトコルを使用する必要があります
こんにちは!クラウド事業本部のグムです。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
本記事では、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。
本記事の対象コントロール
[ELB.21] Application and Network Load Balancer ターゲットグループは、暗号化されたヘルスチェックプロトコルを使用する必要があります
[ELB.21] Application and Network Load Balancer target groups should use encrypted health check protocols
前提条件
本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。
対象コントロールの説明
このコントロールは、ApplicationロードバランサーおよびNetworkロードバランサーのターゲットグループで、ヘルスチェックに暗号化された通信プロトコルが使用されているかをチェックします。
ヘルスチェックのプロトコルをHTTPSに設定する必要があります。なお、Lambdaタイプのターゲットグループは対象外です。
ヘルスチェックは、ロードバランサーが登録済みターゲットの状態を確認し、正常なターゲットにのみトラフィックを振り分けるための仕組みです。
このヘルスチェック通信にHTTPなどの非暗号化プロトコルを使用していると、リクエストとレスポンスが転送中に傍受・改ざんされる恐れがあります。
具体的には、攻撃者にインフラ構成の情報を読み取られたり、ヘルスチェック結果を改ざんされてトラフィックのルーティングが操作されたりする中間者攻撃のリスクがあります。
ヘルスチェックにHTTPSを使用することで、ロードバランサーとターゲット間の通信が暗号化され、ヘルス状態情報の機密性と整合性が保護されます。本番・本番以外を問わず、ヘルスチェックの暗号化は必須です。
修復手順
-
Amazon EC2コンソールを開く
-
ナビゲーションペインの「ロードバランシング」→「ターゲットグループ」を選択する
-
対象のターゲットグループを選択する
-
「ヘルスチェック」タブを選択し、「編集」をクリックする
-
ヘルスチェックの「プロトコル」を「HTTPS」に変更して「変更を保存」をクリックする
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。
以上、グムでした!
