AWS Security Hub のセキュリティ標準に 19 個のコントロールが追加されました (2023/10)

AWS Security Hub のセキュリティ標準に 19 個のコントロールが追加されました (2023/10)

Clock Icon2023.10.24

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

AWS Security Hub のセキュリティ標準に新たに 19 個のチェック項目(コントロール)が 追加されました。
追加されたコントロールは下記になり、Security Hub 公式ドキュメントの Document History から確認できます。

よく利用されていると想定される『AWS 基礎セキュリティのベストプラクティス v1.0.0』に上記すべてのコントロールが追加されています。

参考: AWS Foundational Security Best Practices (FSBP) standard - AWS Security Hub

新規追加されたコントロール

AppSync

[AppSync.5] AWS AppSync GraphQL APIs should not be authenticated with API keys

  • 重要度: High
  • Configルール: appsync-authorization-check
  • 確認内容:
    • AppSync の認証タイプが API_KEY になっているかどうかを確認します。
      • API キーを利用した認証を利用すると漏洩のリスクがあるため、IAM 認証等別の認証方式が推奨されます。
      • 有効期限が最大で365日間であるため、その都度更新する手間もかかります。
  • 参考:

DMS

[DMS.6] DMS replication instances should have automatic minor version upgrade enabled

  • 重要度: Medium
  • Configルール: dms-auto-minor-version-upgrade-enabled
  • 確認内容:
    • DMS のレプリケーションインスタンスで自動マイナーバージョンアップグレードが有効になっているかどうかを確認します。

[DMS.7] DMS replication tasks for the target database should have logging enabled

  • 重要度: Medium
  • Configルール: dms-replication-task-targetdb-logging
  • 概要:
    • DMS レプリケーションタスクでターゲットデータベースのロギングが有効になっているかどうかを確認します。
    • TARGET_APPLYTARGET_LOAD の実行に対して、最小深刻度レベルが LOGGER_SEVERITY_DEFAULT 以上でロギングが有効である必要があります。
      • TARGET_APPLY: データおよびデータ定義言語 (DDL) ステートメントがターゲットデータベースに適用された。
      • TARGET_LOAD: データがターゲットデータベースにロードされた。
    • LOGGER_SEVERITY_DEFAULT は情報メッセージ、警告、エラー メッセージがログに書き込まれる設定です。
  • 参考:

[DMS.8] DMS replication tasks for the source database should have logging enabled

  • 重要度: Medium
  • Configルール: dms-replication-task-sourcedb-logging
  • 概要:
    • DMS レプリケーションタスクでソースデータベースのロギングが有効になっているかどうかを確認します。
    • SOURCE_CAPTURESOURCE_UNLOAD の実行に対して、最小深刻度レベルが LOGGER_SEVERITY_DEFAULT 以上でロギングが有効である必要があります。
      • SOURCE_CAPTURE: 継続的レプリケーション (CDC) データがソースデータベースまたはサービスからキャプチャされ、SORTER サービスコンポーネントに渡された。
      • SOURCE_UNLOAD: データがソースデータベースからアンロードされた。
    • LOGGER_SEVERITY_DEFAULT は情報メッセージ、警告、エラー メッセージがログに書き込まれる設定です。
  • 参考:

[DMS.9] DMS endpoints should use SSL

DocumentDB

[DocumentDB.3] Amazon DocumentDB manual cluster snapshots should not be public

  • 重要度: Critical
  • Configルール: docdb-cluster-snapshot-public-prohibited
  • 概要:
    • DocumentDB の手動クラスタースナップショットが公開されていないかを確認します。

[DocumentDB.4] Amazon DocumentDB clusters should publish audit logs to CloudWatch Logs

  • 重要度: Medium
  • Configルール: docdb-cluster-audit-logging-enabled
  • 概要:
    • DocumentDB クラスターが CloudWatch Logs に監査ログを出力しているかどうかを確認します。

[DocumentDB.5] Amazon DocumentDB clusters should have deletion protection enabled

ECS

[ECS.9] ECS task definitions should have a logging configuration

  • 重要度: High
  • Configルール: ecs-task-definition-log-configuration
  • 確認内容:
    • ECS タスク定義でロギング設定が実施されているかどうかを確認します。
      • logConfiguration プロパティが定義されていないか、少なくとも1つのコンテナ定義で logDriver の値が NULL の場合に失敗します。

EventBridge

[EventBridge.3] EventBridge custom event buses should have a resource-based policy attached

[EventBridge.4] EventBridge global endpoints should have event replication enabled

MSK

[MSK.1] MSK clusters should be encrypted in transit among broker nodes

  • 重要度: Medium
  • Configルール: msk-in-cluster-node-require-tls
  • 確認内容:
    • Amazon MSK クラスターのブローカーノード間で転送中に通信が暗号化されているかどうかをチェックします。

MQ

[MQ.5] ActiveMQ brokers should use active/standby deployment modes

  • 重要度: Low
  • Configルール: mq-deployment-mode
  • 確認内容:
    • Amazon MQ ActiveMQ ブローカーのデプロイメントモードがアクティブ/スタンバイに設定されているかどうかをチェックします。
    • デフォルトのシングルインスタンスブローカーが選択されている場合、失敗します。

[MQ.6] RabbitMQ brokers should use cluster deployment mode

  • 重要度: Low
  • Configルール: mq-rabbit-deployment-mode
  • 確認内容:
    • Amazon MQ RabbitMQ ブローカーのデプロイメントモードがクラスターデプロイに設定されているかどうかをチェックします。
    • デフォルトのシングルインスタンスブローカーモードが使用されている場合、失敗します。

NetworkFirewall

[NetworkFirewall.9] Network Firewall firewalls should have deletion protection enabled

  • 重要度: Medium
  • Configルール: netfw-deletion-protection-enabled
  • 確認内容:
    • AWS Network Firewall のファイアウォールで削除保護が有効になっているかどうかを確認します。

RDS

[RDS.34] Aurora MySQL DB clusters should publish audit logs to CloudWatch Logs

  • 重要度: Medium
  • Configルール: rds-aurora-mysql-audit-logging-enabled
  • 確認内容:
    • Aurora MySQL-Compatible Edition クラスターが監査ログを CloudWatch Logs に送信しているかどうかを確認します。

[RDS.35] RDS DB clusters should have automatic minor version upgrade enabled

  • 重要度: Medium
  • Configルール: rds-cluster-auto-minor-version-upgrade-enable
  • 確認内容:
    • RDS データベースで自動マイナーバージョンアップグレードが有効になっているかどうかを確認します。

Route53

[Route53.2] Route 53 public hosted zones should log DNS queries

  • 重要度: Medium
  • Configルール: route53-query-logging-enabled
  • 確認内容:
    • Amazon Route 53 パブリックホストゾーンで DNS クエリロギングが有効になっているかどうかをチェックします。

WAF

[WAF.12] AWS WAF rules should have CloudWatch metrics enabled

  • 重要度: Medium
  • Configルール: wafv2-rulegroup-logging-enabled
  • 確認内容:
    • AWS WAFルールまたはルールグループで Amazon CloudWatch メトリクスが有効になっているかどうかを確認します。

最後に

個人的には ECS.9 が嬉しいです。
AppSync を使っている方は、API キー認証を使っている部分をリストアップできるので AppSync.5 もかなり嬉しいんじゃないかと思いました。
Security Hub を活用して、セキュアに AWS を活用していきたいですね!

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.