【Security Hub修復手順】[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります

【Security Hub修復手順】[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

#AWS Security Hub
#Amazon Redshift
#AWS
トクヤマシュン

トクヤマシュン

facebook logohatena logotwitter logo
Clock Icon2023.02.16

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、AWS事業本部のトクヤマシュンです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります

[Redshift.1] Amazon Redshift clusters should prohibit public access

対象コントロールの説明

インターネットからAmazon Redshiftクラスターへのアクセス可否をチェックします。
クラスター設定項目のPubliclyAccessibleフィールドがTrueであった場合、パブリックに解決可能なDNS名を持つインスタンスを持ちます。

Amazon Redshiftにインターネット経由でアクセスする必要がない場合、パブリックアクセスは原則禁止しましょう。

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

修復手順

1.修復対象のクラスター特定

まずAWS Security HubのコンソールからRedshift.1のチェック結果を確認し、コンプライアンスのステータスがFAILED であるインスタンスを特定します。 表示項目から、今回の対象はtest-redshift-clusterであることが分かります。

東京リージョンの場合、下記リンクで上図の画面を確認可能です。

https://ap-northeast-1.console.aws.amazon.com/securityhub/home?region=ap-northeast-1#/standards/aws-foundational-security-best-practices-1.0.0/Redshift.1

2.ステークホルダーに確認

ステークホルダーに以下を確認します。

  • Amazon Redshiftクラスターのパブリック公開は意図したものか?
    • YESの場合
      • SaaSのBIツールからAmazzon Redshiftにアクセスが必要な場合などが該当します
      • 情報漏洩の危険性が高いため、セキュリティグループでアクセス元を厳密に管理してください
      • 対象のFindingsを抑制済みに変更し、以降の検知対応から除外します
    • NOの場合
      • 3.プライベートクラスターへの変更に進みます

3.プライベートクラスターへの変更

3.1 ネットワークとセキュリティを編集 画面へのアクセス

マネジメントコンソールから、Amazon Redshift→クラスターのサービス画面にアクセスします。
画面中央のタブでプロパティをクリックします。
ネットワークとセキュリティの設定フィールドでパブリックアクセス可能有効 となっていることを確認します。
編集ボタンをクリックします。

3.2 プライベートクラスターへの変更

画面下部のチェックボックス[パブリックにアクセス可能]をオンにするのチェックを外します。
変更を保存をクリックします。

以上で修復は完了です。

修復確認

再度マネジメントコンソールから、Amazon Redshift→クラスターのサービス画面にアクセスします。
画面中央のタブでプロパティをクリックします。
ネットワークとセキュリティの設定フィールドでパブリックアクセス可能無効 となっていれば修復完了です。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、トクヤマシュンでした。

クラスメソッドメンバーズをご契約の皆さまに

AWS Security Hub 「基礎セキュリティのベストプラクティス」の各チェック項目(コントロール)に対する弊社としての推奨対応やコメントを記載しているClassmethod Cloud Guidebookを提供しています。 クラスメソッドメンバーズポータルの「お役立ち情報」→「組織的な AWS 活用のためのノウハウ」からご参照ください。

Share this article

facebook logohatena logotwitter logo

関連記事

【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません

【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません

User avatar
吉田 岳史
2024.11.14
【Security Hub修復手順】 [Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません

【Security Hub修復手順】 [Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません

User avatar
吉田 岳史
2024.11.07
[小ネタ]Security Hubの重要度の基準を調べてみた

[小ネタ]Security Hubの重要度の基準を調べてみた

User avatar
和田響
2024.11.05
(สำหรับมือใหม่) AWS Security Hub คืออะไร? อธิบายจากข้อมูลทั่วไป ประโยชน์ของการใช้งานจนถึงค่าใช้จ่าย

(สำหรับมือใหม่) AWS Security Hub คืออะไร? อธิบายจากข้อมูลทั่วไป ประโยชน์ของการใช้งานจนถึงค่าใช้จ่าย

Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.