【Security Hub修復手順】[ES.8] Elasticsearch ドメインへの接続は TLS 1.2 を使用して暗号化する必要があります

【Security Hub修復手順】[ES.8] Elasticsearch ドメインへの接続は TLS 1.2 を使用して暗号化する必要があります

AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

#AWS
#AWS Security Hub
#Amazon Elasticsearch Service
岩城 匠朗

岩城 匠朗

facebook logohatena logotwitter logo
Clock Icon2023.03.15

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、岩城です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[ES.8] Elasticsearch ドメインへの接続は TLS 1.2 を使用して暗号化する必要があります

[ES.8] Connections to Elasticsearch domains should be encrypted using TLS 1.2

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

起動中のElasticsearchドメインにおいて、すべてのトラフィックにHTTPSを要求し、且つTLSSecurityPolicyPolicy-Min-TLS-1-2-2019-07が設定されていることを求めるものです。

ドメインに対しパブリックアクセスを許可している場合は、HTTPSでのアクセスを強制するのは最低限対応すべきです。

TLSSecurityPolicyは、ドメインにアクセスするクライアント端末でTLS1.2に対応していない場合、アクセスできなくなる可能性がありますので対応は強制しません。

ドメインを作成するとデフォルトでPolicy-Min-TLS-1-0-2019-07が設定されますが、TLS1.0は様々な脆弱性が報告されており、使い続けるのはセキュリティリスクが伴います。

このため、Policy-Min-TLS-1-2-2019-07に設定することを求めています。設定できない場合は、当該コントロールを抑止済みにします。

また、ドメインへのアクセスがVPC内に閉じていたり、自社拠点からDirect ConnectやVPNなどを経由する閉域網アクセスの場合は、必ず対応する必要はありません。

ご自身のセキュリティ要件に照らして対応するかを判断し、対応しない場合は当該コントロールを抑止済みにします。

修復手順

マネジメントコンソールからドメインを作成した場合、デフォルトですべてのトラフィックにHTTPSを要求が有効になります。

明示的に無効にして作成している場合は、まずはドメインのセキュリティ設定タブの編集から有効化してください。

TLSSecurityPolicyは、すべてのトラフィックにHTTPSを要求の有効/無効に関係なく、デフォルトでPolicy-Min-TLS-1-0-2019-07が設定されます。

これはマネジメントコンソールからでは確認できないので、AWS CLIを使用して確認します。

$ aws opensearch describe-domain-config --domain-name <ドメイン名> --query 'DomainConfig.DomainEndpointOptions.Options'
{
    "EnforceHTTPS": false,
    "TLSSecurityPolicy": "Policy-Min-TLS-1-0-2019-07",
    "CustomEndpointEnabled": false
}

設定変更もマネジメントコンソールからはできないので、AWS CLIを使用して設定変更します。

$ aws opensearch update-domain-config --domain-name <ドメイン名> --domain-endpoint-options TLSSecurityPolicy=Policy-Min-TLS-1-2-2019-07

$ aws opensearch describe-domain-config --domain-name <ドメイン名> --query 'DomainConfig.DomainEndpointOptions.Options'
{
    "EnforceHTTPS": false,
    "TLSSecurityPolicy": "Policy-Min-TLS-1-2-2019-07",
    "CustomEndpointEnabled": false
}

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

Share this article

facebook logohatena logotwitter logo

関連記事

Amazon Redshift ソートキーのテーブル最適化を有効化するビューを作成してみた

Amazon Redshift ソートキーのテーブル最適化を有効化するビューを作成してみた

User avatar
石川覚
2024.11.14
グローバルセカンダリインデックスで消費される書き込みキャパシティユニットがベーステーブルで消費される書き込みキャパシティユニットより大きいのはなぜですか

グローバルセカンダリインデックスで消費される書き込みキャパシティユニットがベーステーブルで消費される書き込みキャパシティユニットより大きいのはなぜですか

User avatar
村上紗敏
2024.11.14
AWS ChatbotをSlackと連携させて、SlackからAWS CLIを使ってみた

AWS ChatbotをSlackと連携させて、SlackからAWS CLIを使ってみた

User avatar
sora
2024.11.14
#HashiTalks Japan 2024 で「TerraformでEKSを操る実践的Tipsと効率化テクニック」という登壇をしました

#HashiTalks Japan 2024 で「TerraformでEKSを操る実践的Tipsと効率化テクニック」という登壇をしました

User avatar
かずえ
2024.11.14
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.