【Security Hub修復手順】[OpenSearch.2] OpenSearch ドメインは VPC 内に含まれている必要があります

こんにちは、岩城です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[OpenSearch.2] OpenSearch ドメインは VPC 内に含まれている必要があります

[Opensearch.2] OpenSearch domains should be in a VPC

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

このコントロールはOpenSearchドメインがパブリックではなくVPC内にあるかどうかをチェックします。

VPC内にデプロイされたOpenSearchドメインは、パブリックインターネットを経由することなく、VPC内のリソースからのアクセス、Site to Site VPNやDirect Connect経由での閉域網アクセスが可能です。

パブリックインターネットを経由してアクセスする必要がない場合、VPC内にOpenSearchドメインをデプロイすることを求めるものです。

意図的にパブリックアクセスに設定している場合は問題ありません。以下のセキュリティ設定を必ず設定いただき、コントロールを抑制済みに設定してください。

• ドメインレベルのアクセスポリシーでOpenSearchドメインにアクセスできるIPアドレスを最小限に絞っていること
• ドメインレベルのアクセスポリシーでOpenSearchドメインにアクセスできるIAMプリンシパルを最小限に絞っていること
• (オプション) Kibanaによる認証
• (オプション) きめ細かなアクセスコントロール

なお、後からパブリックアクセスからVPCアクセスに変更することがサポートされていないため、OpenSearchドメインの再構築が必要となりますので注意してください。

OpenSearchドメインの再構築を許容できない場合においても、上記セキュリティ設定を必ず設定するようにしてください。

修復手順

Elasticsearch Serviceにも同様のコントロール「[Elasticsearch.2] Elasticsearch ドメインは VPC 内に含まれている必要があります」があります。

確認ポイントや修復手順といった対応内容は全く同じですので、以下のエントリをご確認ください。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう！

最後までお読みいただきありがとうございました！どなたかのお役に立てれば幸いです。