この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは、岩城です。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。
本記事の対象コントロール
[ES.8] Elasticsearch ドメインへの接続は TLS 1.2 を使用して暗号化する必要があります
[ES.8] Connections to Elasticsearch domains should be encrypted using TLS 1.2
前提条件
本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。
対象コントロールの説明
起動中のElasticsearchドメインにおいて、すべてのトラフィックにHTTPSを要求し、且つTLSSecurityPolicyにPolicy-Min-TLS-1-2-2019-07が設定されていることを求めるものです。
ドメインに対しパブリックアクセスを許可している場合は、HTTPSでのアクセスを強制するのは最低限対応すべきです。
TLSSecurityPolicyは、ドメインにアクセスするクライアント端末でTLS1.2に対応していない場合、アクセスできなくなる可能性がありますので対応は強制しません。
ドメインを作成するとデフォルトでPolicy-Min-TLS-1-0-2019-07が設定されますが、TLS1.0は様々な脆弱性が報告されており、使い続けるのはセキュリティリスクが伴います。
このため、Policy-Min-TLS-1-2-2019-07に設定することを求めています。設定できない場合は、当該コントロールを抑止済みにします。
また、ドメインへのアクセスがVPC内に閉じていたり、自社拠点からDirect ConnectやVPNなどを経由する閉域網アクセスの場合は、必ず対応する必要はありません。
ご自身のセキュリティ要件に照らして対応するかを判断し、対応しない場合は当該コントロールを抑止済みにします。
修復手順
マネジメントコンソールからドメインを作成した場合、デフォルトですべてのトラフィックにHTTPSを要求が有効になります。
明示的に無効にして作成している場合は、まずはドメインのセキュリティ設定タブの編集から有効化してください。
TLSSecurityPolicyは、すべてのトラフィックにHTTPSを要求の有効/無効に関係なく、デフォルトでPolicy-Min-TLS-1-0-2019-07が設定されます。
これはマネジメントコンソールからでは確認できないので、AWS CLIを使用して確認します。
$ aws opensearch describe-domain-config --domain-name <ドメイン名> --query 'DomainConfig.DomainEndpointOptions.Options'
{
"EnforceHTTPS": false,
"TLSSecurityPolicy": "Policy-Min-TLS-1-0-2019-07",
"CustomEndpointEnabled": false
}設定変更もマネジメントコンソールからはできないので、AWS CLIを使用して設定変更します。
$ aws opensearch update-domain-config --domain-name <ドメイン名> --domain-endpoint-options TLSSecurityPolicy=Policy-Min-TLS-1-2-2019-07
$ aws opensearch describe-domain-config --domain-name <ドメイン名> --query 'DomainConfig.DomainEndpointOptions.Options'
{
"EnforceHTTPS": false,
"TLSSecurityPolicy": "Policy-Min-TLS-1-2-2019-07",
"CustomEndpointEnabled": false
}最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。
20
