[アップデート]Security Hub のセキュリティ標準に新たに7個のチェック項目が追加されました(2024/10/3)

[アップデート]Security Hub のセキュリティ標準に新たに7個のチェック項目が追加されました(2024/10/3)

Clock Icon2024.10.05

こんにちは!AWS事業本部の吉田です。

みなさん、Security Hubの運用やっていますか?

AWS Security Hubのセキュリティ標準に新たに7個のチェック項目(コントロール)が追加されました。

Security Hubユーザーガイドの改訂履歴は以下のとおりです。
https://docs.aws.amazon.com/securityhub/latest/userguide/doc-history.html

本エントリでは、新規追加されたコントロールの情報をまとめたものを簡単なコメント付きで紹介していきます。

各コントロール毎に以下の情報をまとめていきます。

項目 概要
重要度 Security Hubが定める検出結果の重要度を表します。Critical > High > Medium > Lowの順に重要度が高いことを示します。
概要 コントロールでチェックされる内容を簡単にまとめます。
参考ドキュメント コントロールについて考える上で、参考になる公式ドキュメントやブログサイトなどのリンクをまとめます。

今回追加されたコントロールは次の7つです。

ECS

[ECS.16] ECS task sets should not automatically assign public IP addresses

重要度

High

概要

ECSタスクセットがパブリックIPアドレスを自動的に割り当てるように設定されているかどうかを確認します。
タスクセットとは、同じECSサービス内で異なるタスク定義を利用するタスクのグループであり、Blue/Greenデプロイの際に利用されます。
インターネットからの意図しないアクセスを防ぐために、パブリックIPが不要の環境を構築し、パブリックIPの自動割り当てを無効にしましょう。

参考ドキュメント

Amazon ECS Compute Platform でのデプロイ
AppSpec ファイルの例

GuardDuty

[GuardDuty.7] GuardDuty EKS Runtime Monitoring should be enabled

重要度

Medium

概要

GuardDuty EKS ランタイムモニタリングが有効になっているかどうか確認します。
GuardDuty EKS ランタイムモニタリングを有効にすることで、ファイルアクセス、プロセスの実行、ネットワーク接続など、ホスト上のオペレーティングシステムレベルの動作を監視することが可能となります。

参考ドキュメント

Enabling GuardDuty Runtime Monitoring
GuardDuty EKS Runtime Monitoring を有効化して検知させてみた

Kinesis

[Kinesis.3] Kinesis streams should have an adequate data retention period

重要度

Medium

概要

Kinesisデータストリームのデータ保持期間がconfigルールで指定された時間以上であるかどうかを確認します。
データ保持期間が指定された時間より短い場合、コントロールは失敗します。

Security HubにリンクされているConfigルールはデフォルト値の168時間※1を指定しています。
Configルールに指定できる保持期間は24時間から8760時間です。

※1 2024/10/5現在、公式ドキュメントでは168日と説明されていますが、168時間の誤りだと思われます。

原文

Unless you provide a custom parameter value for the data retention period, Security Hub uses a default value of 168 days.

参考ドキュメント

Change the data retention period

MSK

[MSK.3] MSK Connect connectors should be encrypted in transit

重要度

Medium

概要

MSK Connect コネクタが転送中に暗号化されているかどうかを確認します。
デフォルトではTLS暗号化が有効化されております。
コネクタの作成後に暗号化設定を変更することはできないため、対応する際はTLS暗号化を有効にしたコネクタを再作成してください。

参考ドキュメント

Amazon MSK encryption in transit

RDS

[RDS.36] RDS for PostgreSQL DB instances should publish logs to CloudWatch Logs

重要度

Medium

概要

RDS for PostgreSQL DBインスタンスがCloudWatchLogsにログを出力するように設定されているかどうかを確認します。
ログをCloudWatchLogsに出力することでリアルタイム分析・メトリクスフィルターを通じたアラートを実装することが可能となります。

参考ドキュメント

Publishing PostgreSQL logs to Amazon CloudWatch Logs

[RDS.37] Aurora PostgreSQL DB clusters should publish logs to CloudWatch Logs

重要度

Medium

概要

Aurora PostgreSQL DBクラスターがCloudWatchLogsにログを出力するように設定されているかどうかを確認します。
ログをCloudWatchLogsに出力することでリアルタイム分析・メトリクスフィルターを通じたアラートを実装することが可能となります。

参考ドキュメント

Publishing Aurora PostgreSQL logs to Amazon CloudWatch Logs

S3

[S3.24] S3 Multi-Region Access Points should have block public access settings enabled

重要度

High

概要

S3マルチリージョンアクセスポイントでブロックパブリックアクセス設定が有効になっているかどうかを確認します。
S3バケット作成時と同様にデフォルトでブロックパブリックアクセス設定が有効となっております。

S3マルチリージョンアクセスポイントは作成後ブロックパブリックアクセス設定が更新できないため、
設定更新の際は再作成が必要となります。

参考ドキュメント

Amazon S3 のマルチリージョンアクセスポイントを使用したパブリックアクセスのブロック

最後に

今回はSecurity Hubに新規追加された7つの新規コントロールの内容を確認しました。

今回のアップデート内容を総括すると以下の通りです。

  • ECSとS3のパブリックアクセス制限の範囲拡張
  • MSKの送信中暗号化、RDSのログ出力、EKSランタイム監視が追加

引き続き、Security Hubのアップデートを追ってAWSアカウントのセキュリティレベルを向上させていきましょう!

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.