【Security Hub修復手順】[ES.8] Elasticsearch ドメインへの接続は TLS 1.2 を使用して暗号化する必要があります

【Security Hub修復手順】[ES.8] Elasticsearch ドメインへの接続は TLS 1.2 を使用して暗号化する必要があります

AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

#AWS
#AWS Security Hub
#Amazon Elasticsearch Service
岩城 匠朗

岩城 匠朗

facebook logohatena logotwitter logo
Clock Icon2023.03.15

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、岩城です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[ES.8] Elasticsearch ドメインへの接続は TLS 1.2 を使用して暗号化する必要があります

[ES.8] Connections to Elasticsearch domains should be encrypted using TLS 1.2

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

起動中のElasticsearchドメインにおいて、すべてのトラフィックにHTTPSを要求し、且つTLSSecurityPolicyPolicy-Min-TLS-1-2-2019-07が設定されていることを求めるものです。

ドメインに対しパブリックアクセスを許可している場合は、HTTPSでのアクセスを強制するのは最低限対応すべきです。

TLSSecurityPolicyは、ドメインにアクセスするクライアント端末でTLS1.2に対応していない場合、アクセスできなくなる可能性がありますので対応は強制しません。

ドメインを作成するとデフォルトでPolicy-Min-TLS-1-0-2019-07が設定されますが、TLS1.0は様々な脆弱性が報告されており、使い続けるのはセキュリティリスクが伴います。

このため、Policy-Min-TLS-1-2-2019-07に設定することを求めています。設定できない場合は、当該コントロールを抑止済みにします。

また、ドメインへのアクセスがVPC内に閉じていたり、自社拠点からDirect ConnectやVPNなどを経由する閉域網アクセスの場合は、必ず対応する必要はありません。

ご自身のセキュリティ要件に照らして対応するかを判断し、対応しない場合は当該コントロールを抑止済みにします。

修復手順

マネジメントコンソールからドメインを作成した場合、デフォルトですべてのトラフィックにHTTPSを要求が有効になります。

明示的に無効にして作成している場合は、まずはドメインのセキュリティ設定タブの編集から有効化してください。

TLSSecurityPolicyは、すべてのトラフィックにHTTPSを要求の有効/無効に関係なく、デフォルトでPolicy-Min-TLS-1-0-2019-07が設定されます。

これはマネジメントコンソールからでは確認できないので、AWS CLIを使用して確認します。

$ aws opensearch describe-domain-config --domain-name <ドメイン名> --query 'DomainConfig.DomainEndpointOptions.Options'
{
    "EnforceHTTPS": false,
    "TLSSecurityPolicy": "Policy-Min-TLS-1-0-2019-07",
    "CustomEndpointEnabled": false
}

設定変更もマネジメントコンソールからはできないので、AWS CLIを使用して設定変更します。

$ aws opensearch update-domain-config --domain-name <ドメイン名> --domain-endpoint-options TLSSecurityPolicy=Policy-Min-TLS-1-2-2019-07

$ aws opensearch describe-domain-config --domain-name <ドメイン名> --query 'DomainConfig.DomainEndpointOptions.Options'
{
    "EnforceHTTPS": false,
    "TLSSecurityPolicy": "Policy-Min-TLS-1-2-2019-07",
    "CustomEndpointEnabled": false
}

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

Share this article

facebook logohatena logotwitter logo

関連記事

パブリックアクセスブロック(BPA)でインターネットアクセスを遮断してみた

パブリックアクセスブロック(BPA)でインターネットアクセスを遮断してみた

User avatar
suzuki.ryo
2024.11.22
「AWSにおける生成AI&データの全体像」というタイトルで 第8回 Classmethod AI Talks(CATs)に登壇しました #catalks

「AWSにおける生成AI&データの全体像」というタイトルで 第8回 Classmethod AI Talks(CATs)に登壇しました #catalks

User avatar
石川覚
2024.11.21
CloudFront 新機能!VPCオリジンでプライベートなALBをセキュアに公開してみた

CloudFront 新機能!VPCオリジンでプライベートなALBをセキュアに公開してみた

User avatar
suzuki.ryo
2024.11.21
[アップデート] EBSスナップショットとAMIのゴミ箱保持ルールの適用対象をタグで制御できるようになりました

[アップデート] EBSスナップショットとAMIのゴミ箱保持ルールの適用対象をタグで制御できるようになりました

User avatar
武田隆志
2024.11.21
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.