この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは!AWS事業本部のアダルシュです。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。
本記事の対象コントロール
- https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls[ELB.3] Classic Load Balancer のリスナーは、HTTPS または TLS ターミネーションで設定する必要がありますhtml#fsbp-elb-3
- https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-3
本記事の対象コントロール
対象コントロールの説明
このコントロールは、Classic Load Balancerのリスナーが、クライアントからの着信接続にHTTPSまたはTLSプロトコルを使用するように設定されているかどうかを確認します。このチェックは、Classic Load Balancerにリスナーが設定されている場合のみ適用されます。Classic Load Balancerにリスナーが設定されていない場合、このチェックは何も結果を出しません。
リスナーがフロントエンド接続にTLSまたはHTTPSで構成されていない場合、制御は失敗します。
Load Balancerを使用する前に、1つ以上のリスナーをセットアップする必要がありま す。リスナーは、特定のプロトコルとポートを使用した接続要求を監視する役割を担います。リスナーは、HTTP と HTTPS/TLS の両方のプロトコルをサポートすることができます。HTTPS または TLS リスナーを使用することを強くお勧めします。これにより、Load Balancerは転送中のデータの暗号化および復号化を処理できるようになります。
修復手順
この問題を解決するには、リスナーをTLSまたはHTTPSプロトコルを使用するように更新してください。
修復手順
- 対象の受けるClassic Load Balancerを特定
- まず、AWS Security HubのコンソールからELB.3のチェック結果を確認し、修正すべきClassic Load Balancerを特定します。
- Manageent Consoleで、Load Balancersを選択します。次に、Classic Load Balancer を選択します。
- [リスナー]タブを選択し、[編集]を選択します。
- Load Balancer ProtocolがHTTPSまたはSSLに設定されていないすべてのリスナーで、設定をHTTPSまたはSSLに変更します。
- すべての変更されたリスナーについて、[SSL Certificate]で[Change]を選択します。
- 証明」ドロップダウン・リストから、証明書を選択します。次に、保存を選択します。
- すべてのリスナーを更新したら、[保存]を選択します。
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。
以上、アダルシュでした!
14
