[re:Invent2019] EC2 Image BuilderのWindows STIGコンポーネントを調べてみた #reinvent

しばたです。
EC2 Image BuilderでWindows向けに標準提供されているBuild componentを眺めていると「stig-build-windows-ほげほげ」というコンポーネントを見つけたので、これはいったい何なのか調べてみました。

Security Technical Implementation Guides (STIGs)

STIGsは、アメリカ国防総省(DOD)のセキュリティ要件に準拠するためにDefense Information Systems Agency (DISA) = アメリカ国防情報システム局が提供するチェックリスト/ベストプラクティス集の事で、AWSにおいてはこのSTIGsに準拠したWindows AMIを利用することが可能となっています。
STIGsの詳細については弊社中山による紹介記事がございますのでこちらをご覧ください。

Security Technical Implementation Guides (STIGs)に準拠したWindows Serverを追加費用無しで利用できるようになりました

AWSのドキュメントとしては以下が参考になります。

EC2 Image BuilderのWindows STIGコンポーネント

このコンポーネントはWindows Serverに対しSTIGに記述されているセキュリティ設定を実施するためのコンポーネントで、low → medium → high の順に適用される項目が増える感じになっています。
モジュールに対するドキュメントはまだ提供されていない様なのでコンポーネントの実装を覗いてみてどの様な処理を行っているのか調べてみました。

共通処理

このSTIGコンポーネントはZipファイルにPowerShellスクリプトと幾つかのツールが同梱されており、PowerShellスクリプトの実行時引数でLowMedimuHighの設定内容を振り分ける仕組みとなっていました。
対象OSはImage Builderが対象とするWindows Server 2012 R2~Windows Server 2019、このコンポーネントはNano Serverはサポート外とされていました。
OS毎に微妙に処理が異なっていたのですが全てを説明しきるのは無理ですので共通的な部分についてのみ触れていきます。

MS Security グループポリシーの追加

Microsoftのセキュリティベースラインに基づくグループポリシーテンプレートとポリシーの適用までを行っています。

(ポリシーの一例 : SMBv1を無効にするポリシー)

こちらの元ネタはMicrosoft Security Compliance Toolkitの様でOS毎のテンプレートを流用しているっぽいです。

上記はWindows Server 2019におけるセキュリティベースラインの詳細を解説しているブログとなります。

stig-build-windows-low で適用される設定

stig-build-windows-lowで適用される設定は以下となります。

  • V-36710
  • V-4445 (Windows Server 2012 R2のみ)
  • V-17425
  • V-17435
  • V-17445
  • V-17426
  • V-17427
  • V-46477

stig-build-windows-medium で適用される設定

stig-build-windows-mediumで適用される設定は以下。

  • stig-build-windows-low の設定全て
  • V-26600
  • V-26602
  • V-26604
  • V-26605
  • V-26606
  • V-73605
    • この設定ではInstallRootというソフトウェアが別途インストールされる
  • V-80477
  • V-17415
  • V-81495
  • V-75169
  • V-75171
  • V-17415
  • V-1145 (Windows Server 2012 R2のみ)
  • V-40206 (Windows Server 2012 R2のみ)
  • V-73805 (Windows Server 2012 R2のみ)
  • V-73299 (Windows Server 2016 ~ 2019)
  • V-93389 (Windows Server 2016 ~ 2019)
  • V-93421 (Windows Server 2016 ~ 2019)
  • V-93313 (Windows Server 2019のみ)
  • V-93315 (Windows Server 2019のみ)
  • V-93317 (Windows Server 2019のみ)
  • V-93319 (Windows Server 2019のみ)
  • V-93565 (Windows Server 2019のみ)

stig-build-windows-high で適用される設定

stig-build-windows-highで適用される設定は以下。

  • stig-build-windows-low の設定全て
  • stig-build-windows-medium の設定全て
  • V-17425
  • V-17435
  • V-17445
  • V-17426
  • V-17427

最後に

ざっとこんな感じです。

個別の設定の解説まではしませんが、このコンポーネントはAMIのセキュリティを強化したい場合やSTIGコンプライアンスに準拠したい場合に使えるものであることがわかりました。
必要に応じて活用してみてください。