【Security Hub修復手順】[AutoScaling.4] Auto Scaling グループの起動設定でメタデータ応答のホップリミットを1より大きくすべきではない

【Security Hub修復手順】[AutoScaling.4] Auto Scaling グループの起動設定でメタデータ応答のホップリミットを1より大きくすべきではない

Clock Icon2023.05.01

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは!AWS事業本部のみなみです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。

本記事の対象コントロール

[AutoScaling.4] Auto Scaling グループの起動設定では、メタデータ応答ホップ制限が 1 を越えることはできません

[AutoScaling.4] Auto Scaling group launch AWS Configuration should not have a metadata response hop limit greater than 1

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

EC2インスタンスは、IMDS(インスタンスメタデータサービス)を利用して、インスタンスに関する情報や認証情報を取得できます。
本コントロールでは、Auto Scaling グループの起動設定でメタデータ応答ホップの制限が「1」を越える場合に検知されます。

メタデータ応答ホップの制限を「1」にすることで、IMDSのPUTレスポンスをEC2インスタンスのみに制限できます。
その為SSRF攻撃などIMDSの不正利用を防ぐことができる為、原則対応を推奨としています。

ただし、EC2のコンテナ環境においてはホップ数を「2」にするケースがあることに注意して下さい。
そのようなケースでは「抑制済み」にすると良いです。

修復手順

1 対象のリソースの確認方法

  1. AWSマネージメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「AutoScaling.4」を検索します。
  2. リソースの欄から失敗しているリソースを確認できます。

2 ステークホルダーに確認

ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。

  • Auto Scalingグループの起動設定でメタデータ応答ホップリミットが1を超える設定は意図したものか?
    • YESの場合
    • コンテナ環境など意図的にポップリミットを変更している場合は対象のFindingsを抑制済みに変更し、以降の検知対応から除外します
    • NOの場合
    • 「3 設定変更」に進みます。

3. 設定変更

AutoScalingグループの起動設定は編集することが出来ません。 その為、既存の起動設定をコピーしホップリミットを編集したものを作成、それをAutoScalingグループに再設定する必要があります。

  1. 起動設定のコピーを行います。「アクション」→「起動設定のコピー」からコピーの作成が可能です。

  2. メタデータ応答ホップの制限を「1」に設定します。

  3. ホップリミットを編集した起動設定のコピーが作成出来ました。

  4. AutoScalingグループの編集を行います。

  5. 起動設定をホップリミットを編集したものに変更して下さい。

  6. 起動設定が変わっていることを確認出来れば完了です。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、みなみでした!

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.