【Security Hub修復手順】[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。

こんにちは、AWS事業本部のトクヤマシュンです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります

[Redshift.1] Amazon Redshift clusters should prohibit public access

対象コントロールの説明

インターネットからAmazon Redshiftクラスターへのアクセス可否をチェックします。
クラスター設定項目のPubliclyAccessibleフィールドがTrueであった場合、パブリックに解決可能なDNS名を持つインスタンスを持ちます。

Amazon Redshiftにインターネット経由でアクセスする必要がない場合、パブリックアクセスは原則禁止しましょう。

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

修復手順

1.修復対象のクラスター特定

まずAWS Security HubのコンソールからRedshift.1のチェック結果を確認し、コンプライアンスのステータスがFAILED であるインスタンスを特定します。 表示項目から、今回の対象はtest-redshift-clusterであることが分かります。

東京リージョンの場合、下記リンクで上図の画面を確認可能です。

https://ap-northeast-1.console.aws.amazon.com/securityhub/home?region=ap-northeast-1#/standards/aws-foundational-security-best-practices-1.0.0/Redshift.1

2.ステークホルダーに確認

ステークホルダーに以下を確認します。

  • Amazon Redshiftクラスターのパブリック公開は意図したものか?
    • YESの場合
      • SaaSのBIツールからAmazzon Redshiftにアクセスが必要な場合などが該当します
      • 情報漏洩の危険性が高いため、セキュリティグループでアクセス元を厳密に管理してください
      • 対象のFindingsを抑制済みに変更し、以降の検知対応から除外します
    • NOの場合
      • 3.プライベートクラスターへの変更に進みます

3.プライベートクラスターへの変更

3.1 ネットワークとセキュリティを編集 画面へのアクセス

マネジメントコンソールから、Amazon Redshift→クラスターのサービス画面にアクセスします。
画面中央のタブでプロパティをクリックします。
ネットワークとセキュリティの設定フィールドでパブリックアクセス可能有効 となっていることを確認します。
編集ボタンをクリックします。

3.2 プライベートクラスターへの変更

画面下部のチェックボックス[パブリックにアクセス可能]をオンにするのチェックを外します。
変更を保存をクリックします。

以上で修復は完了です。

修復確認

再度マネジメントコンソールから、Amazon Redshift→クラスターのサービス画面にアクセスします。
画面中央のタブでプロパティをクリックします。
ネットワークとセキュリティの設定フィールドでパブリックアクセス可能無効 となっていれば修復完了です。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、トクヤマシュンでした。

クラスメソッドメンバーズをご契約の皆さまに

AWS Security Hub 「基礎セキュリティのベストプラクティス」の各チェック項目(コントロール)に対する弊社としての推奨対応やコメントを記載しているClassmethod Cloud Guidebookを提供しています。 クラスメソッドメンバーズポータルの「お役立ち情報」→「組織的な AWS 活用のためのノウハウ」からご参照ください。