【Security Hub修復手順】[ELB.4] Application Load Balancer は、HTTP ヘッダーを削除するように設定する必要があります。

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
特集

SUMANGALAS

2023.02.15

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは!AWS事業本部のスマンガラです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[ELB.4] Application Load Balancer は、HTTP ヘッダーを削除するように設定する必要があります

[ELB.4] Application load balancers should be configured to drop HTTP headers

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

このコントロールは、Application Load Balancer が無効な HTTP ヘッダーを削除するように設定されているかを評価して、routing.http.drop_invalid_header_fields.enabledの値が falseに設定されている場合、失敗します。

無効な HTTP ヘッダー値を削除すると、HTTP desync 攻撃を防ぐことができます。そのため、Security Hub では、Application Load Balancer の無効な HTTP ヘッダーを削除することを推奨します。

ELB.12 が有効になっている場合、このコントロールを無効にできます。

これについては、以下記事がわかりやすかったため参照ください。

修復手順

対象のロードバランサーを特定

まずAWS Security HubのコンソールからELB.4のチェック結果を確認し、是正対象のApplication Load Balancerを特定します。

 

ステークホルダーに確認

ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。

  • Application Load Balancerの「無効なヘッダーフィールドを削除」を有効にしても問題ありませんか?

 

無効なHTTP ヘッダーを削除するように設定する

  • Amazon EC2 コンソール のナビゲーションペイン で 「ロードバランサー」 を選択します。

 

  • 是正対象のApplication Load Balancerを選択します。

 

  • 「属性」 タブで、「編集」 を選択します。

 

  • 「無効なヘッダーフィールドを削除」を有効にし、「変更内容を保存」をクリックします。

 

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、スマンガラでした!

スキルアップ|初心者向け|書評|デベキャン|AWS認定|スキルアップ|デベキャンだより|勉強会|コミュニティ

関連記事

【Security Hub修復手順】[Kinesis.1] Kinesis Data Streams は、保管中に暗号化する必要があります

平井裕二

2024.04.25

Security Hubの検出結果をノート(note)をつけてまとめて抑制してみた

たかやま

2024.04.13

Security Hubの検出結果サマリを週次でメール通知するサンプルソリューションを試してみた

杉金晋

2024.04.10

AWS Security Hub 『基礎セキュリティのベストプラクティス』で失敗している検出結果をCSV出力したい【Python, Boto3】

川原征大

2024.04.04