デフォルトセキュリティグループを自動で無効化する
デフォルトセキュリティグループを通信できる状態にしておくことは推奨されていません(チェック項目一覧(CIS v1.2.0) – insightwatchサポート)。 今回は自動で同一リージョン内のすべてのデフォルトセキュリティグループを無効化したいと思います。無効化はインバウンド、アウトバウンドのルールを全て削除することを意味します。
概要
AWS Configのマネージドルールであるvpc-default-security-group-closedを使用して、準拠していないデフォルトセキュリティグループを検知します。このルールでは下記の内容に違反しているかどうかが評価されます。
いずれの Amazon Virtual Private Cloud (VPC) のデフォルトのセキュリティグループでもインバウンドとアウトバウンドのいずれのトラフィックも許可しないことを確認します。
vpc-default-security-group-closed - AWS Config
次に修復アクションにSSM Automationを使用して、準拠していないデフォルトセキュリティグループからルールを全て削除します。
設定してみる
AWS Configの有効化
AWS Configを有効化します。記録するリソースタイプには少なくともセキュリティグループを含めるようにしてください。
セキュリティグループのルールを削除するAutomationドキュメントを作成
指定されたセキュリティグループのインバウンド、アウトバウンドのルールを削除するAutomationドキュメントをCloseSecurityGroupとして作成します。内容は次のようなものになります。
- ステップ1
指定されたセキュリティグループの内容を取得し、インバウンド、アウトバウンドのルールを後続のステップで使用できるように出力変数を作成 - ステップ2
インバウンド設定をすべて削除 - ステップ3
アウトバウンド設定をすべて削除
---
description: Revoke all ip permissions.
schemaVersion: "0.3"
assumeRole: "{{ AutomationAssumeRole }}"
parameters:
GroupId:
type: String
description: (Required) Security Group ID
allowedPattern: ^([s][g]\-)([0-9a-f]){1,}$
AutomationAssumeRole:
type: String
description: (Optional) The ARN of the role that allows Automation to perform the actions on your behalf.
default: ""
mainSteps:
- name: GetSecurityGroupInfo
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: ec2
Api: DescribeSecurityGroups
GroupIds: ["{{GroupId}}"]
outputs:
- Name: IpPermissionsIngress
Selector: $.SecurityGroups[0].IpPermissions
Type: MapList
- Name: IpPermissionsEgress
Selector: $.SecurityGroups[0].IpPermissionsEgress
Type: MapList
- name: RevokeAllIngress
action: aws:executeAwsApi
onFailure: Continue
inputs:
Service: ec2
Api: RevokeSecurityGroupIngress
GroupId: "{{GroupId}}"
IpPermissions: "{{GetSecurityGroupInfo.IpPermissionsIngress}}"
- name: RevokeAllEgress
action: aws:executeAwsApi
onFailure: Continue
inputs:
Service: ec2
Api: RevokeSecurityGroupEgress
GroupId: "{{GroupId}}"
IpPermissions: "{{GetSecurityGroupInfo.IpPermissionsEgress}}"
SSM Automationを実行するIAM Roleを作成
まず下記のポリシーをRevokeSecurityGroupとして作成します。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "RevokeSecurityGroup",
"Effect": "Allow",
"Action": [
"ec2:RevokeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
}
]
}
次にIAM RoleをRevokeSecurityGroupRoleとして作成し、先程作成したポリシーを割り当てます。
信頼関係は下記のようにします。
AWS Configのルール作成
AWS Configの画面からルールの追加をクリックし、マネージドルールのvpc-default-security-group-closedを選択します。
修復アクションを下記のように設定します。他はデフォルトのまま保存します。
- 修復アクション:CloseSecurityGroup
- 自動修復:はい
- リソースIDパラメータ:GroupId
- AutomationAssumeRole:上記で作成したIAM RoleのARN
設定は以上で完了です。
自動で修復してみる
ルール作成後、すぐに評価が始まります。
準拠していないデフォルトセキュリティグループがあれば検知されます。
こちらはルールの詳細画面ですが、「アクションが正常に実行されました」と表示され修復アクションが実行されたことがわかります。この時点で同リージョン内のすべてのデフォルトセキュリティグループからルールが削除されています。
ルールがきれいさっぱり削除されているのが確認できます。
セキュリティグループのルールが削除されたことで再評価が行われ、非準拠のリソースがなくなったことがわかります。
まとめ
このAWS ConfigルールはVPC作成時にできるデフォルトセキュリティグループや、既存のものを変更した際に自動で無効化してくれます。意図しない通信を防ぐためにもぜひご活用ください。
参考情報
最後にに記事執筆時に参照した情報を載せておきます。
条件分岐を使用した動的自動化ワークフローの作成 - AWS Systems Manager
VPC のセキュリティグループ - Amazon Virtual Private Cloud
SSM ドキュメントプラグインの参照 - AWS Systems Manager
あなたのAWSセキュリティ監査状況を採点〜CISベンチマークを読んでみた | DevelopersIO
【資料公開】PCI DSSのネットワークアクセス制御に関する要件とそのための実装を学ぶ勉強会をやりました(管理編) | DevelopersIO
defaultのセキュリティグループが使われているか調査するPythonスクリプト書いてみた | DevelopersIO
セキュリティグループのSSH全開放をAWS Configで自動修復したら3分くらいで直ったからみんな使ってほしい件 | DevelopersIO
