【Security Hub修復手順】[Redshift.7] Amazon Redshift クラスターは拡張 VPC ルーティングを使用する必要があります

こんにちは、AWS事業本部のトクヤマシュンです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[Redshift.7] Amazon Redshift クラスターは拡張 VPC ルーティングを使用する必要があります

[Redshift.7] Amazon Redshift clusters should use enhanced VPC routing

対象コントロールの説明

Amazon Redshiftクラスターの拡張VPCルーティング有効可否をチェックします。
クラスター設定項目のEnhancedVpcRoutingフィールドがFalseであった場合、拡張VPCルーティングは無効です。
無効の場合はAmazon Redshiftクラスターから送信される通信はパブリックインターネットを経由します。

Amazon Redshift では、COPY、UNLOAD、および Amazon Redshift Spectrum によって作成されたネットワークトラフィックは、ネットワークインターフェイスを介して流れます。このネットワークインターフェイスは Amazon Redshift クラスターの内部にあり、Amazon Virtual Private Cloud (Amazon VPC) の外側にあります。デフォルトでは、ネットワークトラフィックはパブリックインターネットを介してルーティングされ、宛先に到達します。

引用：拡張 VPC ルーティングは Amazon Redshift ではどのように機能しますか?

拡張VPCルーティングを有効化することでAmazon Redshiftの通信をAmazon VPC経由に強制できます。
これによって次のようなAmazon VPCの機能を利用することができ、ネットワークトラフィックの保護に役立ちます。

• セキュリティグループ
• VPCフローログ
• ルートテーブル

原則として拡張VPCルーティングは有効にすることをオススメします。

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

修復手順

1.修復対象のクラスター特定

まずAWS Security HubのコンソールからRedshift.7のチェック結果を確認し、コンプライアンスのステータスがFAILED であるインスタンスを特定します。
表示項目から、今回の対象はtest-redshift-clusterであることが分かります。

東京リージョンの場合、下記リンクで上図の画面を確認可能です。

https://ap-northeast-1.console.aws.amazon.com/securityhub/home?region=ap-northeast-1#/standards/aws-foundational-security-best-practices-1.0.0/Redshift.7

2.ステークホルダーに確認

ステークホルダーに以下を確認します。

• Amazon Redshiftクラスターの拡張VPCルーティング無効化は意図したものか？
  • YESの場合
    • 対象のFindingsを抑制済みに変更し、以降の検知対応から除外します
    • ただし、拡張VPCルーティングを無効化にしないといけない処理はほぼ無いと考えられます。早期に拡張VPCルーティングへの以降をオススメします。
  • NOの場合
    • 拡張VPCルーティング有効化の際にAmazon Redshift Clusterが一時的に利用不可となるため、変更タイミングを検討します
    • 変更操作を行う場合、3.拡張VPCルーティングの有効化に進みます

3.拡張VPCルーティングの有効化

3.1 拡張VPCルーティング有効化の前提確認

拡張VPCルーティングを使用するためには次のような設定が必要です。

• Amazon Redshiftが利用するルートテーブルに次のような経路が存在する
  • VPCエンドポイント：クラスターと同じAWSリージョンのAmazon S3バケットと通信する場合の経路
  • NATゲートウェイ：Amazon Redshiftプライベートクラスターから別のAWSリージョンにあるAmazon S3やインターネット上のホストと通信する場合の経路
  • インターネットゲートウェイ：Amazon Redshiftパブリッククラスターから別のAWSリージョンにあるAmazon S3やインターネット上のホストと通信する場合の経路
• Amazon VPCでDNS解決およびDNSホスト名が有効化されている

上記が設定できていないようであれば、拡張VPCルーティングの有効化の前に設定します。

3.2 ネットワークとセキュリティを編集 画面へのアクセス

マネジメントコンソールから、Amazon Redshift→クラスターのサービス画面にアクセスします。
画面中央のタブでプロパティをクリックします。
ネットワークとセキュリティの設定フィールドで拡張されたVPCのルーティングが無効 となっていることを確認します。
編集ボタンをクリックします。

3.3 拡張VPCルーティングプライベートクラスターへの変更

拡張されたVPCのルーティングの[オンにする]のラジオボタンをクリックします。
変更を保存をクリックします。

変更した時点でAmazon Redshiftの状態がUnavailableとなって一定期間アクセスできなくなるのでご注意ください。

しばらく待って状態がAvailableとなれば修復は完了です。

修復確認

再度マネジメントコンソールから、Amazon Redshift→クラスターのサービス画面にアクセスします。

画面中央のタブでプロパティをクリックします。
ネットワークとセキュリティの設定フィールドで拡張されたVPCのルーティングが有効 となっていれば修復完了です。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介しました。

コントロールを修復して、お使いのAWS環境のセキュリティをパワーアップさせましょう！

最後までお読みいただきありがとうございました！どなたかのお役に立てれば幸いです。

以上、トクヤマシュンでした。

クラスメソッドメンバーズをご契約の皆さまに

AWS Security Hub 「基礎セキュリティのベストプラクティス」の各チェック項目(コントロール)に対する弊社としての推奨対応やコメントを記載しているClassmethod Cloud Guidebookを提供しています。 クラスメソッドメンバーズポータルの「お役立ち情報」→「組織的な AWS 活用のためのノウハウ」からご参照ください。