【Security Hub修復手順】[SageMaker.2] SageMaker ノートブックインスタンスはカスタム VPC で起動する必要があります

こんにちは！AWS事業本部のおつまみです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。

本記事の対象コントロール

[SageMaker.2] SageMaker ノートブックインスタンスはカスタム VPC で起動する必要があります

[SageMaker.2] SageMaker notebook instances should be launched in a custom VPC

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

このコントロールは、Amazon SageMaker ノートブックインスタンスがユーザーが作成した任意のカスタムVPC内で起動されているかどうかをチェックします。
チェックに合格するには、ノートブックインスタンスのENIを VPCアタッチ有 の設定にする必要があります。

カスタムVPC内ではなく、非VPCでインスタンスを作成した場合、インターネットへの直接アクセスが有効になってしまいます。 この場合、第三者によってインスタンスへの接続される危険性があります。
そのため、重要なデータを扱う場合は対応することを推奨します。
検証目的の利用のみの場合は無効化もしくは抑制済みでも問題ないです。

修復手順

1. ステークホルダーに確認

1. まずはステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。

• ノートブックインスタンスは検証目的の利用か？
  • 検証目的の利用であれば、無効化もしくは抑制済みで問題ありません。
  • 検証目的でない、つまり本番利用の場合、下記の手順でカスタムVPC内で起動するように SageMaker ノートブックインスタンスを設定します。

2. 既存のノートブックインスタンスを削除

1. SageMaker コンソール を開きます。

2. 左のナビゲーションペインより[ノートブックインスタンス]を選択します。

3. インターネットへの直接のアクセスが有効になっているインスタンスを停止します。インスタンスを選択し、[アクション]、[停止]の順に選択します。

4. インスタンスのステータスがStoppedになったことを確認後、[アクション]、[削除]の順に選択します。

5. 確認画面が表示されたら、 [削除]を選択します。

3. 新規のノートブックインスタンスを起動

1. [ノートブックインスタンスの作成]を選択します。

2. [ネットワーク] セクションを展開し、VPC、サブネット、および セキュリティグループを選択します。選択後、[ノートブックインスタンスの作成]を選択します。※SageMaker.1と合わせて対応するためにも、[直接のインターネットアクセス]は[無効化-VPC 経由でインターネットにアクセスする]を選択することを推奨します。インターネットアクセスを有効にするためにはVPCに別途NAT Gatewayがあり、セキュリティグループでアウトバウンドを許可する必要があります。

3. ノートブックインスタンスが起動後、[ネットワーク] でVPCが設定されていることを確認します。

4. SecurityHubにて、失敗しているリソースが0になっていること及びステータスが[成功]になっていることを確認します。 ※リソースの更新には数分、ステータスの更新には1日程度かかります。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう！

最後までお読みいただきありがとうございました！
どなたかのお役に立てれば幸いです。

以上、おつまみ（＠AWS11077）でした！

参考

【Amazon SageMaker】ネットワーク設計パターンをまとめてみた | DevelopersIO

[Sagemaker]ノートブックインスタンスのネットワーク構成について特徴とユースケースをまとめてみた | DevelopersIO