【Security Hub修復手順】[Transfer.2]Transfer Family サーバーはエンドポイント接続に FTP プロトコルを使用しないでください

【Security Hub修復手順】[Transfer.2]Transfer Family サーバーはエンドポイント接続に FTP プロトコルを使用しないでください

AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

#AWS Transfer Family
#AWS Security Hub
#AWS
平井裕二

平井裕二

facebook logohatena logotwitter logo
Clock Icon2024.10.22

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[Transfer.2]Transfer Family サーバーはエンドポイント接続に FTP プロトコルを使用しないでください

[Transfer.2] Transfer Family servers should not use FTP protocol for endpoint connection

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。

https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/

https://dev.classmethod.jp/articles/aws-security-operation-with-securityhub-2021/

対象コントロールの説明

本コントロールは、AWS Transfer FamilyサーバーがエンドポイントにFTP以外のプロトコルを使用しているかどうかをチェックします。

サーバーがクライアントのサーバーエンドポイントへの接続にFTPプロトコルを使用している場合、このコントロールは失敗します。

FTP(File Transfer Protocol)は通信が暗号化されていないため、認証情報の漏洩につながる可能性があります。
一方、SFTP(SSH File Transfer Protocol)、FTPS(File Transfer Protocol Secure)、AS2(Applicability Statement 2)などのプロトコルは、転送中のデータを暗号化します。これらのセキュアなプロトコルを使用することで、潜在的な攻撃者による中間者攻撃や類似の攻撃を防ぎ、ネットワークトラフィックの盗聴や操作を防止できます。そのため、機密性の高いデータ転送には、これらの暗号化されたプロトコルの使用が推奨されます。

ただし、構成上、FTPが必須の場合は、Security Hubで当該コントロールを「抑制済み」に設定します。

修復手順

1 コントロールの確認方法

  1. AWSマネジメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0 で「Transfer.2」を検索し、そのタイトルを選択します。cm-hirai-screenshot 2024-10-21 8.18.45

  2. リソースの欄から失敗が確認できます。cm-hirai-screenshot 2024-10-21 8.23.23

2 ステークホルダーに確認

ステークホルダー(リソースの作成者や管理部署などの関係者)に以下の点を確認してください。

  • FTP以外のプロトコルに変更可能かどうか。
    • 変更不可の場合は、Security Hubで当該コントロールを「抑制済み」に設定します。

3 プロトコルの変更

  1. AWSマネジメントコンソールからTransfer Familyのサービスページに移動し、対象のサーバーを選択します。
    cm-hirai-screenshot 2024-10-21 8.17.42
  2. プロトコルの[編集]を選択します。サーバーが起動状態のままでもプロトコルは変更できます。
    cm-hirai-screenshot 2024-10-21 8.17.59
  3. FTPは選択せず、他のプロトコルを選択します。本例では、SFTPを選択しています。
    cm-hirai-screenshot 2024-10-21 8.26.37
    • FTPSを選択した場合のみ、AWS Certificate Manager (ACM) 証明書も選択する必要があります。プロトコルを複数選択した場合、サーバーのエンドポイントの時間単位のコストが増加しますので、必ず料金表をご確認ください。
      cm-hirai-screenshot 2024-10-21 8.25.33
  4. 保存を選択します。
    cm-hirai-screenshot 2024-10-21 8.26.23

これでプロトコルの変更は完了です。

https://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/edit-server-config.html#edit-protocols

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

参考

https://docs.aws.amazon.com/ja_jp/inspector/latest/user/scanning-resources.html

https://dev.classmethod.jp/articles/amazon-ecr-enhanced-scanning/

Share this article

facebook logohatena logotwitter logo

関連記事

AWS Transfer Family로 리전 간 장애 대응을 할 수 있을까?

AWS Transfer Family로 리전 간 장애 대응을 할 수 있을까?

User avatar
Kim Jaewook
2024.10.05
AWS Transfer Family를 이용해서 로컬 파일을 S3 버킷으로 전송해 봤습니다.

AWS Transfer Family를 이용해서 로컬 파일을 S3 버킷으로 전송해 봤습니다.

User avatar
Kim Jaewook
2024.09.25
AWS Transfer Family のサーバー状態を監視する Lambda 関数を作成してみた

AWS Transfer Family のサーバー状態を監視する Lambda 関数を作成してみた

User avatar
片方 裕人
2024.06.05
[アップデート]SFTPコネクタにSFTPサーバ上のファイル一覧を取得する機能が追加されました

[アップデート]SFTPコネクタにSFTPサーバ上のファイル一覧を取得する機能が追加されました

User avatar
じゅんや
2024.04.30
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.