【Security Hub修復手順】[SageMaker.1] SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります
こんにちは!AWS事業本部のおつまみです。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。
本記事の対象コントロール
[SageMaker.1] SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります
[SageMaker.1] SageMaker notebook instances should not have direct internet access
前提条件
本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。
対象コントロールの説明
このコントロールは、SageMaker ノートブックインスタンスでインターネットへの直接アクセスが無効になっているかどうかをチェックします。
チェックに合格するには、ノートブックインスタンスのENIを VPCアタッチ有 かつ 直接インターネット接続無 の設定にする必要があります。
この設定により、VPCエンドポイント(S3など)活用で完全なプライベート内データ送受信が可能となります。
インターネットへの直接アクセスが有効になっている場合、第三者によりインスタンスへ接続される危険性があります。
そのため、重要なデータを扱う場合は対応することを推奨します。
検証目的の利用のみの場合は無効化もしくは抑制済みでも問題ないです。
修復手順
1. ステークホルダーに確認
- まずはステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。
- ノートブックインスタンスは検証目的の利用か?
- 検証目的の利用であれば、無効化もしくは抑制済みで問題ありません。
- 検証目的でない、つまり本番利用の場合、下記の手順で直接のインターネットアクセスを拒否するように SageMaker ノートブックインスタンスを設定します。
※ ノートブックインスタンスの作成後は、インターネットアクセス設定を変更できません。
そのため、インスタンスを停止、削除、再作成する必要があります。
社内で設定変更タイミングを調整の上、実施して下さい。
2. 既存のノートブックインスタンスを削除
- SageMaker コンソール を開きます。
-
左のナビゲーションペインより[ノートブックインスタンス]を選択します。
-
インターネットへの直接のアクセスが有効になっているインスタンスを停止します。インスタンスを選択し、[アクション]、[停止]の順に選択します。
-
インスタンスのステータスが
Stopped
になったことを確認後、[アクション]、[削除]の順に選択します。 -
確認画面が表示されたら、 [削除]を選択します。
3. 新規のノートブックインスタンスを起動
-
[ノートブックインスタンスの作成]を選択します。
-
[ネットワーク] セクションを展開し、VPC、サブネット、および セキュリティグループを選択します。また[直接のインターネットアクセス]を[無効化-VPC 経由でインターネットにアクセスする]で選択します。選択後、[ノートブックインスタンスの作成]を選択します。※インターネットアクセスを有効にするためにはVPCに別途NAT Gatewayがあり、セキュリティグループでアウトバウンドを許可する必要があります。
-
ノートブックインスタンスが起動後、[ネットワーク] でVPCが設定され、直接インターネットアクセスが[無効]になっていることを確認します。
-
SecurityHubにて、失敗しているリソースが0になっていること及びステータスが[成功]になっていることを確認します。 ※リソースの更新には数分、ステータスの更新には1日程度かかります。
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!
どなたかのお役に立てれば幸いです。
以上、おつまみ(@AWS11077)でした!
参考
【Amazon SageMaker】ネットワーク設計パターンをまとめてみた | DevelopersIO
[Sagemaker]ノートブックインスタンスのネットワーク構成について特徴とユースケースをまとめてみた | DevelopersIO