セキュリティ

Application Load Balancer とその Amazon EC2 ターゲットにアタッチされているセキュリティグループをチェックします。Application Load Balancer セキュリティグループは、リスナーで設定されたインバウンドポートのみを許可する必要があります。ターゲットのセキュリティグループは、ターゲットがロードバランサーからトラフィックを受信するのと同じポートのインターネットからの直接接続を受け入れないでください。

セキュリティグループがロードバランサー用に設定されていないポートへのアクセスを許可したり、ターゲットへの直接アクセスを許可したりすると、データ損失や悪意のある攻撃のリスクが高まります。

このチェックでは、次のグループを除外します。

8604e947f2

セキュリティを向上させるには、セキュリティグループが必要なトラフィックフローのみを許可していることを確認してください。

Amazon CloudWatch ロググループの保持期間が 365 日または特定の日数に設定されているかどうかを確認します。

デフォルトでは、ログは無制限に保持され、失効しません。ただし、業界の規制や特定の期間の法的要件に準拠するように、ロググループごとに保持ポリシーを調整することができます。

AWS Config ルールの LogGroupNames と MinRetentionTime パラメータを使用して、最小保持期間とロググループ名を指定できます。

c18d2gz186

AWS Config Managed Rule: cw-loggroup-retention-period-check

黄: Amazon CloudWatch ロググループの保持期間が希望する最小日数を下回っています。

Amazon CloudWatch Logs に保存されているログデータには、コンプライアンス要件を満たすために 365 日を超える保存期間を設定します。

詳細については、「CloudWatch Logs でのログデータ保管期間の変更」を参照してください。

CloudWatch のログ保持期間の変更

直近 24 時間以内に実行されている Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの SQL Server バージョンをチェックします。このチェックでは、ご利用のバージョンのサポートが終了に近づいているか、または終了している場合に警告を受け取ります。SQL Server の各バージョンでは、5 年間のメインストリームサポートと 5 年間の延長サポートを含む 10 年間のサポートが提供されます。サポートの終了後には、SQL Server バージョンは定期的なセキュリティ更新を受け取らなくなります。サポートされていないバージョンの SQL Server でアプリケーションを実行すると、セキュリティまたはコンプライアンスのリスクが生じる可能性があります。

Qsdfp3A4L3

SQL Server のワークロードをモダナイズするには、Amazon Aurora などの AWS クラウド ネイティブデータベースへのリファクタリングを検討してください。詳細については、「 を使用した Windows ワークロードのモダナイズ AWS」を参照してください。

フルマネージドデータベースに移行するには、Amazon Relational Database Service (Amazon RDS) への再プラットフォーム化を検討します。詳細については、「Amazon RDS for SQL Server」を参照してください。

Amazon EC2 で SQL Server をアップグレードするには、オートメーションランブックを使用してアップグレードを簡素化することを検討してください。詳細については、AWS Systems Manager のドキュメントを参照してください。

Amazon EC2 で SQL Server をアップグレードできない場合は、Windows Server 向けサポート終了移行プログラム (EMP) を検討してください。詳細については、EMP のウェブサイトを参照してください。

このチェックは、Microsoft Windows Server のバージョンがサポート終了に近づいているか、サポート終了に達した場合に警告します。各 Windows Server バージョンは、5 年間のメインストリームサポートと 5 年間の延長サポートを含め、10 年間のサポートを提供します。サポートが終了すると、Windows Server バージョンは定期的なセキュリティ更新プログラムを受信しません。サポートされていない Windows Server バージョンでアプリケーションを実行すると、セキュリティまたはコンプライアンスのリスクが発生する可能性があります。

Qsdfp3A4L4

Windows Server ワークロードをモダナイズするには、Windows ワークロードをモダナイズで利用できるさまざまなオプションを検討してください AWS。

Windows Server ワークロードをアップグレードしてより新しいバージョンの Windows Server で実行するときは、自動化ランブックを使用できます。詳細については、AWS Systems Manager のドキュメントを参照してください。

以下のステップを実行します。

このチェックでは、ご利用のバージョンのサポートが終了に近づいているか、終了している場合に警告します。次の LTS に移行するか Ubuntu Pro にアップグレードすることで、対策を講じることが重要です。サポート終了後、18.04 LTS のマシンはセキュリティ更新を受信できなくなります。Ubuntu Pro サブスクリプションを利用すると、Ubuntu 18.04 LTS デプロイは 2028 年まで Expanded Security Maintenance (ESM) を受け取ることができます。パッチが適用されていないセキュリティの脆弱性により、システムがハッカーにさらされ、重大な侵害が発生する可能性があります。

c1dfprch15

赤: Amazon EC2 インスタンスに、標準サポートが終了した Ubuntu バージョン (Ubuntu 18.04 LTS、18.04.1 LTS、18.04.2 LTS、18.04.3 LTS、18.04.4 LTS、18.04.5 LTS、18.04.6 LTS)

黄色: Amazon EC2 インスタンスに、6 か月以内に標準サポートが終了する Ubuntu バージョン (Ubuntu 20.04 LTS、20.04.1 LTS、20.04.2 LTS、20.04.3 LTS、20.04.4 LTS、20.04.5 LTS、20.04.6 LTS) が含まれています。

緑: すべての Amazon EC2 インスタンスが準拠しています。

Ubuntu 18.04 LTS インスタンスをサポートされている LTS バージョンにアップグレードするには、こちらの記事に記載されている手順に従ってください。Ubuntu 18.04 LTS インスタンスを Ubuntu Pro にアップグレードするには、 AWS License Manager コンソールにアクセスし、「AWS License Manager ユーザーガイド」に記載された手順に従ってください。Ubuntu インスタンスを Ubuntu Pro にアップグレードする手順を説明したデモをご覧いただける Ubuntu ブログも参照してください。

料金については、サポート にお問い合わせください。

Amazon EFS ファイルシステムが転送中データの暗号化を使用してマウントされているかどうかを確認します。 AWS では、データを偶発的な公開や不正アクセスから保護するため、すべてのデータフローで転送中データの暗号化を使用することを推奨しています。Amazon EFS では、Amazon EFS マウントヘルパーを使用して「-o tls」によるマウント設定を使用し、TLS v1.2 を使用して転送中のデータを暗号化することを推奨しています。

c1dfpnchv1

黄色: Amazon EFS ファイルシステムの 1 つ以上の NFS クライアントが、転送中のデータを暗号化するために必要な推奨されるマウント設定を使用していません。

緑: Amazon EFS ファイルシステムのすべての NFS クライアントが、転送中のデータを暗号化するために必要な推奨されるマウント設定を使用しています。

Amazon EFS で転送中のデータの暗号化機能を利用するには、Amazon EFS マウントヘルパーおよび推奨されるマウント設定を使用して、ファイルシステムを再マウントすることをお勧めします。

Amazon Elastic Block Store (Amazon EBS) ボリュームスナップショットのアクセス許可設定をチェックし、スナップショットが一般にアクセス可能である場合に警告します。

スナップショットを公開すると、すべての AWS アカウント および ユーザーにスナップショット上のすべてのデータへのアクセス権が付与されます。スナップショットを特定のユーザーまたはアカウントとのみ共有するには、スナップショットをプライベートとしてマークします。次に、スナップショットデータを共有するユーザーまたはアカウントを指定します。ブロックパブリックアクセスを「すべての共有をブロック」モードで有効にしている場合、パブリックスナップショットはパブリックにアクセスできず、このチェックの結果に表示されないことに注意してください。

ePs02jT06w

赤: EBS ボリュームスナップショットはパブリックにアクセス可能です。

スナップショット内のすべてのデータをすべての AWS アカウント および ユーザーと共有することが確実でない限り、アクセス許可を変更します。スナップショットをプライベートとしてマークし、アクセス許可を付与するアカウントを指定します。詳細については、「Amazon EBS スナップショットの共有」を参照してください。EBS スナップショットのパブリックアクセスのブロックを使用して、データへのパブリックアクセスを許可する設定を管理します。このチェックを Trusted Advisor コンソールのビューから除外することはできません。

スナップショットのアクセス許可を直接変更するには、 AWS Systems Manager コンソールでランブックを使用します。詳細については、「AWSSupport-ModifyEBSSnapshotPermission」を参照してください。

Amazon EBS スナップショット

Amazon RDS では、 AWS Key Management Serviceで管理しているキーを使用して、すべてのデータベースエンジンの保存時の暗号化をサポートしています。Amazon RDS 暗号化を使用するアクティブな DB インスタンスでは、ストレージに保存されているデータは、自動バックアップ、リードレプリカ、スナップショットのように暗号化されます。

Aurora DB クラスターの作成時に暗号化が有効になっていない場合は、復号化されたスナップショットを暗号化された DB クラスターに復元する必要があります。

c1qf5bt005

赤: Amazon RDS Aurora リソースでは暗号化が有効になっていません。

DB クラスターの保管中のデータの暗号化を有効にします。

DB インスタンスの作成時に暗号化を有効にすることも、回避策を使用してアクティブな DB インスタンスの暗号化を有効にすることもできます。復号化された DB クラスターを暗号化された DB クラスターに変更することはできません。ただし、複合化されたスナップショットを暗号化された DB クラスターに復元することはできます。復号されたスナップショットから復元する場合は、 AWS KMS キーを指定する必要があります。

詳細については、「Amazon Aurora リソースの暗号化」を参照してください。

データベースリソースで最新のマイナー DB エンジンバージョンが実行されていません。最新のマイナーバージョンには、最新のセキュリティ修正プログラムやその他の改善が含まれています。

c1qf5bt003

黄: Amazon RDS リソースは最新のマイナー DB エンジンバージョンを実行していません。

最新バージョンにアップグレードします。

最新の DB エンジンのマイナーバージョンには、最新のセキュリティと機能の修正が含まれているため、このバージョンでデータベースを保守することをお勧めします。DB エンジンのマイナーバージョンのアップグレードには、DB エンジンの同じメジャーバージョンの以前のマイナーバージョンと後方互換性のあるデータベースの変更のみが含まれます。

詳細については、「DB インスタンスのエンジンバージョンのアップグレード」を参照してください。

Amazon Relational Database Service (Amazon RDS) DB スナップショットのアクセス許可設定をチェックし、スナップショットがパブリックとしてマークされている場合に警告します。

スナップショットを公開すると、すべての AWS アカウント および ユーザーにスナップショット上のすべてのデータへのアクセス権が付与されます。スナップショットを特定のユーザーまたはアカウントをのみ共有する場合は、そのスナップショットをプライベートとしてマークします。その後にスナップショットデータを共有するユーザーまたはアカウントを指定します。

rSs93HQwa1

赤: Amazon RDS スナップショットはパブリックとしてマークされています。

スナップショット内のすべてのデータをすべての AWS アカウント および ユーザーと共有することが確実でない限り、アクセス許可を変更します。スナップショットをプライベートとしてマークし、アクセス許可を付与するアカウントを指定します。詳細については、「DB スナップショットまたは DB クラスタースナップショットの共有」を参照してください。このチェックを Trusted Advisor コンソールのビューから除外することはできません。

スナップショットのアクセス許可を直接変更するには、 AWS Systems Manager コンソールでランブックを使用できます。詳細については、「AWSSupport-ModifyRDSSnapshotPermission」を参照してください。

Amazon RDS DB インスタンスのバックアップと復元

Amazon Relational Database Service（Amazon RDS）のセキュリティグループ設定をチェックし、セキュリティグループルールでデータベースへの過度なアクセスが許可されている場合に警告します。セキュリティグループルールの推奨設定は、特定の Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループまたは特定の IP アドレスからのアクセスのみを許可することです。

nNauJisYIT

EC2-Classic は 2022 年 8 月 15 日に廃止されました。Amazon RDS インスタンスを VPC に移動し、Amazon EC2 セキュリティグループを使用することをお勧めします。DB インスタンスを VPC に移動する方法の詳細については、「VPC 内にない DB インスタンスを VPC に移動する」を参照してください。

Amazon RDS インスタンスを VPC に移行できない場合は、セキュリティグループのルールを確認し、承認された IP アドレスまたは IP 範囲へのアクセスを制限します。セキュリティグループを編集するには、AuthorizeDBSecurityGroupIngress API または AWS Management Consoleを使用します。詳細については、「DB セキュリティグループの操作」を参照してください。

Amazon RDS では、 AWS Key Management Serviceで管理しているキーを使用して、すべてのデータベースエンジンの保存時の暗号化をサポートしています。Amazon RDS 暗号化を使用するアクティブな DB インスタンスでは、ストレージに保存されているデータは、自動バックアップ、リードレプリカ、スナップショットのように暗号化されます。

DB インスタンスの作成時に暗号化が有効になっていない場合は、暗号化を有効にする前に、復号化されたスナップショットの暗号化されたコピーを復元する必要があります。

c1qf5bt006

赤: Amazon RDS リソースでは暗号化が有効になっていません。

DB インスタンスの保管中のデータの暗号化を有効にします。

DB インスタンスを暗号化できるのは、DB インスタンスを作成するときだけです。既存のアクティブな DB インスタンスを暗号化するには:

詳細については、以下のリソースを参照してください。

Amazon S3 バケットのホスト名を直接指す CNAME レコードを持つ Amazon Route 53 ホストゾーンをチェックし、CNAME が S3 バケット名と一致しない場合にアラートを出します。

c1ng44jvbm

赤: Amazon Route 53 ホストゾーンに、S3 バケットのホスト名の不一致を示す CNAME レコードがあります。

緑: Amazon Route 53 ホストゾーンと一致しない CNAME レコードはありませんでした。

CNAME レコードを S3 バケットのホスト名に指定する場合は、設定した CNAME またはエイリアスレコードと一致するバケットが存在することを確認する必要があります。これにより、CNAME レコードが偽装されるリスクを回避できます。また、権限のない AWS ユーザーがドメインで障害や悪意のあるウェブコンテンツをホストしないようにします。

CNAME レコードが S3 バケットのホスト名に直接指定されないようにするには、オリジンアクセスコントロール (OAC) を使用し、Amazon CloudFront を通じて S3 バケットのウェブアセットにアクセスすることを検討してください。

CNAME を Amazon S3 バケットのホスト名に関連付ける方法の詳細については、「CNAME レコードを使用した Amazon S3 URL のカスタマイズ」を参照してください。

MX レコードごとに、 は有効な SPF 値を含む関連付けられた TXT レコードをチェックします。TXT レコード値は「v=spf1」で始まる必要があります。SPF レコードタイプは、Internet Engineering Task Force (IETF) によって廃止されました。Route 53 では、SPF レコードの代わりに TXT レコードを使用するのがベストプラクティスではありません。MX レコードに有効な SPF 値を持つ TXT レコードが少なくとも 1 つ関連付けられている場合、 はこのチェックを緑色として Trusted Advisor 報告します。

c9D319e7sG

MX リソースレコードセットごとに、有効な SPF 値を含む TXT リソースレコードセットを作成します。詳細については、「Sender Policy Framework: SPF Record Syntax」(Sender Policy Framework: SPF レコード構文) および「Amazon Route 53 コンソールを使用したリソースレコードセットの作成」を参照してください。

オープンアクセス許可を持つ、または認証された AWS ユーザーへのアクセスを許可する Amazon Simple Storage Service (Amazon S3) のバケットをチェックします。

このチェックでは、明示的なバケットアクセス許可、およびそのアクセス許可をオーバーライドする可能性のあるバケットポリシーが調べられます。Amazon S3 バケットのすべてのユーザーにリストアクセス許可を付与することは推奨されません。これらのアクセス許可により、意図しないユーザーがバケット内のオブジェクトを頻繁にリストすることがあります。結果として、予想される料金よりも高くなる可能性があります。すべてのユーザーにアップロードと削除のアクセス許可を付与すると、バケットのセキュリティの脆弱性が生じる可能性があります。

Pfx0RwqBli

バケットがオープンアクセスを許可している場合、オープンアクセスが本当に必要かどうかを判断します。たとえば、静的ウェブサイトをホストするには、Amazon CloudFront を使用して Amazon S3 でホストされているコンテンツを提供できます。Amazon CloudFront デベロッパーガイドのAmazon S3オリジンへのアクセスの制限」を参照してください。可能であれば、バケットのアクセス許可を更新して、所有者または特定のユーザーへのアクセスを制限します。Amazon S3 のパブリックアクセスのブロックを使用して、データへのパブリックアクセスを許可する設定を管理します。「バケットとオブジェクトのアクセス許可の設定」を参照してください。

Managing Access Permissions to Your Amazon S3 Resources (Amazon S3 リソースへのアクセス許可の管理)

Amazon S3 バケットのブロックパブリックアクセス設定を構成する

VPC ピアリング接続で、アクセプターとリクエスター VPC の両方の DNS 解決が有効になっているかどうかを確認します。

VPC ピアリング接続の DNS 解決により、パブリック DNS ホスト名がプライベート IPv4 アドレスに解決されるように VPC からクエリを実行することができます。これにより、ピアリングされた VPC 内のリソース間の通信に DNS 名を使用できるようになります。VPC ピアリング接続の DNS 解決により、アプリケーションの開発と管理が簡単になり、エラーが発生しにくくなります。また、リソースは常に VPC ピアリング接続を介してプライベートに通信できます。

AWS Config ルールの vpcIds パラメータを使用して VPC IDs を指定できます。

詳細については、「VPC ピアリング接続の DNS 解決を有効にする」を参照してください。

c18d2gz124

AWS Config Managed Rule: vpc-peering-dns-resolution-check

黄: VPC ピアリング接続のアクセプター VPC とリクエスタ VPC の両方で DNS 解決が有効になっていません。

VPC ピアリング接続の DNS 解決を有効にします。

Application Load Balancer (ALB) ターゲットグループが HTTPS プロトコルを使用して、インスタンスまたは IP のバックエンドターゲットタイプの転送中の通信を暗号化していることを確認します。ALB とバックエンドターゲット間の HTTPS リクエストは、転送中のデータの機密性を維持するのに役立ちます。

c2vlfg0p1w

HTTPS アクセスをサポートするようにバックエンドのターゲットタイプのインスタンスまたは IP を設定し、HTTPS プロトコルを使用して ALB とバックエンドのターゲットタイプのインスタンスまたは IP 間の通信を暗号化するようにターゲットグループを変更します。

転送中の暗号化を強制する

Application Load Balancer のターゲットタイプ

Application Load Balancer のルーティング設定

Elastic Load Balancing でのデータ保護

AWS Backup ボールトに、復旧ポイントの削除を防止するリソースベースのポリシーがアタッチされているかどうかを確認します。

リソースベースのポリシーにより、リカバリポイントが予期せず削除されるのを防ぐことができるため、バックアップデータに対して最小特権でアクセス制御を行うことができます。

ルールがルールの principalArnList パラメータ AWS Config でチェックしない AWS Identity and Access Management ARNsを指定できます。

c18d2gz152

AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled

黄: 復旧ポイントの削除を防ぐためのリソースベースのポリシーがない AWS Backup ボールトがあります。

復旧ポイントの予期しない削除を防ぐため、 AWS Backup ボールトのリソースベースのポリシーを作成します。

ポリシーには、backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle、backup:PutBackupVaultAccessPolicy 権限を含む「拒否」ステートメントを含める必要があります。

詳細については、「Set access policies on backup vaults」を参照してください。

の使用を確認します AWS CloudTrail。CloudTrail は、アカウントで行われた AWS API コールに関する情報を記録 AWS アカウント することで、 のアクティビティの可視性を向上させます。このログを使用して、特定のユーザーが指定期間にどのようなアクションを行ったか、指定期間に特定のリソースに対してどのユーザーがアクションを実行したかを判断できます。

CloudTrail はログファイルを Amazon Simple Storage Service (Amazon S3) バケットに配信するため、CloudTrail には、そのバケットに対する書き込みアクセス許可が必要です。証跡をすべてのリージョンに適用する場合 (新しい証跡を作成した場合のデフォルト)、証跡は Trusted Advisor レポートに複数回表示されます。

vjafUGJ9H0

証跡を作成してコンソールからログ記録を開始するには、AWS CloudTrail コンソールに移動します。

ログ記録を開始するには、「Stopping and Starting Logging for a Trail」(証跡のログ記録の停止と開始) を参照してください。

ログ配信エラーが発生した場合は、バケットが存在し、必要なポリシーがバケットにアタッチされていることを確認してください。「Amazon S3 バケットポリシー」を参照してください。

の使用を確認します AWS CloudTrail。CloudTrail は、 のアクティビティをより詳細に可視化します AWS アカウント。これを行うには、アカウントで行われた AWS API コールに関する情報を記録します。このログを使用して、特定のユーザーが指定期間にどのようなアクションを行ったか、指定期間に特定のリソースに対してどのユーザーがアクションを実行したかを判断できます。

CloudTrail はログファイルを Amazon Simple Storage Service (Amazon S3) バケットに配信するため、CloudTrail には、そのバケットに対する書き込みアクセス許可が必要です。証跡がすべての AWS リージョン に適用される場合 (新しい証跡を作成するときのデフォルト）、証跡はレポートに Trusted Advisor 複数回表示されます。

c25hn9x03v

証跡を作成し、 コンソールからログ記録を開始するには、 AWS CloudTrail コンソールを開きます。

ログ記録を開始するには、「Stopping and Starting Logging for a Trail」(証跡のログ記録の停止と開始) を参照してください。

ログ配信エラーが発生した場合は、バケットが存在し、必要なポリシーがバケットにアタッチされていることを確認します。「Amazon S3 バケットポリシー」を参照してください。

$LATEST バージョンが非推奨に近づいているランタイムを使用するように設定されている場合、または非推奨になっている Lambda 関数をチェックします。非推奨のランタイムは、セキュリティ更新プログラムまたはテクニカルサポートの対象外です

公開された Lambda 関数のバージョンは不変です。つまり、呼び出すことはできますが、更新することはできません。更新できるのは Lambda 関数の $LATEST バージョンのみです。詳細については、「Lambda 関数のバージョン」を参照してください。

L4dfs2Q4C5

もうすぐ非推奨になるランタイムで実行されている関数がある場合は、サポート対象のランタイムへの移行に向けて準備する必要があります。詳細については、「Runtime support policy」(ランタイムサポートポリシー) を参照してください。

使用しなくなった以前の関数バージョンを削除することをお勧めします。

Lambda ランタイム

セキュリティの柱で、ワークロードに関するリスクの高い問題 (HRI) をチェックします。このチェックは、お客様の AWS-Well Architected レビューに基づきます。チェック結果は、AWS Well-Architected でワークロード評価を完了したかどうかによって異なります。

Wxdfp4B1L3

AWS Well-Architected は、ワークロード評価中に高リスクの問題を検出しました。これらの問題は、リスクを軽減し、費用を節約する機会を提示します。AWS Well-Architected ツールにサインインして、回答を確認し、アクティブな問題を解決するためのアクションを実行します。

IAM 証明書ストア内の CloudFront 代替ドメイン名の SSL 証明書をチェックします。このチェックでは、証明書の期限が切れている場合、近日中に証明書の期限が切れる場合、証明書で古い暗号化が使用されている場合、またはディストリビューションに対して証明書が正しく構成されていない場合にアラートが発生します。

代替ドメイン名のカスタム証明書の有効期限が切れると、CloudFront コンテンツを表示するブラウザにウェブサイトのセキュリティに関する警告メッセージが表示されることがあります。SHA-1 ハッシュアルゴリズムを使用して暗号化された証明書は、Chrome や Firefox などのほとんどのウェブブラウザで廃止されています。

証明書には、オリジンドメイン名、またはビューワーリクエストのホストヘッダー内のドメイン名のいずれかに一致するドメイン名が含まれている必要があります。一致しない場合、CloudFront は HTTP ステータスコード 502 (不正なゲートウェイ) をユーザーに返します。詳細については、「代替ドメイン名と HTTPS の使用」を参照してください。

N425c450f2

AWS Certificate Manager を使用してサーバー証明書をプロビジョニング、管理、デプロイすることをお勧めします。ACM を使用すると、新しい証明書をリクエストしたり、既存の ACM または外部証明書を AWS リソースにデプロイしたりできます。ACM が提供する証明書は無料で、自動的に更新できます。ACM の使用の詳細については、AWS Certificate Manager ユーザーガイドを参照してください。 AWS リージョン ACM がサポートしていることを確認するには、「」のAWS Certificate Manager 「エンドポイントとクォータ」を参照してください AWS 全般のリファレンス。

期限切れの証明書または期限切れが近い証明書を更新します。証明書の更新の詳細については、「IAM でのサーバー証明書の管理」を参照してください。

SHA-1 ハッシュアルゴリズムを使用して暗号化された証明書を、SHA-256 ハッシュアルゴリズムを使用して暗号化された証明書に置き換えます。

証明書を、[Common Names] (共通名) フィールドまたは [Subject Alternative Domain Names] (サブジェクト代替ドメイン名) フィールドに該当する値を含む証明書に置き換えます。

HTTPS 接続を使用したオブジェクトへのアクセス

証明書のインポート

AWS Certificate Manager ユーザーガイド

オリジンサーバーで、有効期限が切れている SSL 証明書、有効期限が近づいている SSL 証明書、欠落している SSL 証明書、または古い暗号化を使用している SSL 証明書をチェックします。証明書に上記のいずれかの問題がある場合、CloudFront は HTTP ステータスコード 502 (不正なゲートウェイ) を使用してコンテンツのリクエストに応答します。

SHA-1 ハッシュアルゴリズムを使用して暗号化された証明書は、Chrome や Firefox などのウェブブラウザで非推奨になる予定です。CloudFront ディストリビューションに関連付けられている SSL 証明書の数によっては、このチェックにより、CloudFront ディストリビューションのオリジンとして Amazon EC2 または Elastic Load Balancing AWS を使用している場合など、ウェブホスティングプロバイダーの請求書に 1 か月あたり数セントが追加される場合があります。このチェックでは、オリジン証明書チェーンまたは認証局は検証されません。これらは CloudFront 設定で確認できます。

N430c450f2

有効期限が切れているか、間もなく期限切れになる場合は、オリジンで証明書を更新します。

証明書が存在しない場合は追加します。

SHA-1 ハッシュアルゴリズムを使用して暗号化された証明書を、SHA-256 ハッシュアルゴリズムを使用して暗号化された証明書に置き換えます。

代替ドメイン名と HTTPS の使用

暗号化された通信に推奨されるセキュリティ設定を使用しないリスナーを持つクラシックロードバランサーをチェックします。 AWS では、安全なプロトコル (HTTPS または SSL)、up-to-dateセキュリティポリシー、安全な暗号とプロトコルを使用することをお勧めします。フロントエンド接続 (クライアントからロードバランサー) にセキュアプロトコルを使用する場合、リクエストはクライアントとロードバランサーの間で暗号化されます。これにより、より安全な環境が作成されます。Elastic Load Balancing は、セキュリティに関する AWS のベストプラクティスに準拠する暗号化およびプロトコルを使用する事前定義済みのセキュリティポリシーを提供します。新しい構成が利用可能になると、事前定義済みのポリシーの新しいバージョンがリリースされます。

a2sEc6ILx

ロードバランサーへのトラフィックをセキュリティで保護する必要がある場合は、フロントエンド接続に HTTPS または SSL プロトコルを使用します。

ロードバランサーを事前定義済みの SSL セキュリティポリシーの最新バージョンにアップグレードします。

推奨される暗号とプロトコルのみを使用してください。

詳細については、「Listener Configurations for Elastic Load Balancing」(Elastic Load Balancing のリスナー設定) を参照してください。

ロードバランサー用に設定されていないポートへのアクセスを許可するセキュリティグループで設定されたロードバランサーをチェックします。

ロードバランサー用に設定されていないポートへのアクセスがセキュリティグループで許可されている場合、データの損失や悪意のある攻撃のリスクが高くなります。

xSqX82fQu

セキュリティグループルールを設定して、ロードバランサーのリスナー設定で定義されたポートとプロトコル、および Path MTU Discovery をサポートする ICMP プロトコルのみにアクセスを制限します。「Listeners for Your Classic Load Balancer」(Classic Load Balancer のリスナー) および「Security Groups for Load Balancers in a VPC」(VPC のロードバランサーのセキュリティグループ) を参照してください。

セキュリティグループがない場合は、ロードバランサーに新しいセキュリティグループを適用します。ロードバランサーのリスナー設定で定義されているポートとプロトコルのみにアクセスを制限するセキュリティグループルールを作成します。「VPC でのロードバランサーのセキュリティグループ」を参照してください。

一般に露出されているアクセスキー、およびアクセスキーが侵害された結果である可能性のある Amazon Elastic Compute Cloud (Amazon EC2) の不規則な使用状況について頻繁に使用されているコードリポジトリをチェックします。

アクセスキーは、アクセスキー ID とそれに対応するシークレットアクセスキーで構成されます。露出したアクセスキーは、アカウントや他のユーザーにセキュリティ上のリスクの原因となり、不正な活動や不正使用に起因する過度の請求が発生する可能性があるだけでなく、AWS カスタマーアグリーメントの違反になることがあります。

アクセスキーが露出している場合は、直ちにアカウントを保護してください。アカウントを過剰な料金から保護するために、 AWS は一時的に一部の AWS リソースを作成する機能を制限します。これにより、アカウントのセキュリティが確保されるわけではありません。課金される可能性のある不正使用を部分的に制限するだけです。

アクセスキーの期限が表示され AWS アカウント た場合は、その日付までに不正使用が停止されない場合、 を停止 AWS できます。アラートがエラー状態であると思われる場合は、AWS サポートまで問い合わせてください。

に表示される情報は、アカウントの最新の状態を反映していない Trusted Advisor 場合があります。アカウントで公開されているすべてのアクセスキーが解決されるまで、公開されたアクセスキーが解決済みとしてマークされることはありません。このデータ同期には、最大 1 週間かかる場合があります。

12Fnkpl8Y5

影響を受けるアクセスキーを可能な限り早急に削除します。キーが IAM ユーザーに関連付けられている場合は、「IAM ユーザーのアクセスキーの管理」を参照してください。

アカウントで不正使用がないか確認してください。AWS Management Console にサインインし、疑わしいリソースがないか各サービスコンソールを確認します。Amazon EC2 インスタンスの実行、スポットインスタンスリクエスト、アクセスキー、IAM ユーザーには特に注意してください。Billing and Cost Management コンソールで全体的な使用状況を確認することもできます。

過去 90 日間にローテーションされていないアクティブな IAM アクセスキーをチェックします。

アクセスキーを定期的にローテーションすると、侵害されたキーが知らないうちにリソースへのアクセスに使用される可能性を削減できます。このチェックでの最後のローテーション日時は、アクセスキーが作成された日または最後にアクティブ化された日です。アクセスキーの番号と日付は access_key_1_last_rotated および access_key_2_last_rotated 情報を直近の IAM 認証情報レポートから取得されます。

認証情報レポートの再生頻度は制限されているため、このチェックを更新しても最近の変更が反映されない場合があります。詳細については、「AWS アカウントの認証情報レポートの取得」を参照してください。

アクセスキーを作成してローテーションするには、ユーザーに適切な許可が必要です。詳細については、「Allow Users to Manage Their Own Passwords, Access Keys, and SSH Keys」(自らのパスワード、アクセスキー、および SSH キーの管理をユーザーに許可する) を参照してください。

DqdJqYeRm5

アクセスキーを定期的にローテーションします。「アクセスキーの更新」および「IAM ユーザーのアクセスキーの管理」を参照してください。

アカウントレベルで IAM Access Analyzer の外部アクセスが存在するかどうかを確認します。

IAM Access Analyzer 外部アクセスアナライザーは、外部エンティティと共有されているアカウント内のリソースを識別するのに役立ちます。次に、アナライザーは検出結果を含む一元化されたダッシュボードを作成します。新しいアナライザーが IAM コンソールでアクティブ化されると、セキュリティチームは過剰なアクセス許可に基づいてレビューするアカウントを優先できます。外部アクセスアナライザーは、 リソースのパブリックアクセスとクロスアカウントアクセスの検出結果を作成し、追加料金なしで提供します。

07602fcad6

アカウントごとに外部アクセスアナライザーを作成すると、セキュリティチームは過剰なアクセス許可に基づいてレビューするアカウントを優先できます。詳細については、「検出 AWS Identity and Access Management Access Analyzer 結果の開始方法」を参照してください。

さらに、未使用のアクセスアナライザーを利用するのがベストプラクティスです。これは、未使用のアクセスの検査を簡素化して最小特権に導く有料機能です。詳細については、「IAM ユーザーとロールに付与された未使用のアクセスの特定」を参照してください。

アカウントのパスワードポリシーをチェックし、パスワードポリシーが有効になっていない場合やパスワードコンテンツの要件が有効になっていない場合に警告します。

パスワードコンテンツの要件は、強力なユーザーパスワードの作成を強制することによって AWS 環境の全体的なセキュリティを強化します。パスワードポリシーを作成または変更すると、変更は新しいユーザーに対してただちに適用されますが、既存のユーザーに対してパスワードの変更は強制されません。

Yw2K9puPzl

一部のコンテンツ要件が有効になっていない場合は、有効にすることを検討してください。パスワードポリシーが有効になっていない場合は、パスワードポリシーを作成して設定します。「IAM ユーザー用のアカウントパスワードポリシーの設定」を参照してください。

にアクセスするには AWS Management Console、IAM ユーザーにパスワードが必要です。ベストプラクティスとして、 では、IAM ユーザーを作成する代わりにフェデレーションを使用することを AWS 強くお勧めします。フェデレーションでは、ユーザーは既存の企業認証情報を使用して、 AWS Management Consoleにログインできます。IAM Identity Center を使用してユーザーを作成またはフェデレーションし、アカウントに IAM ロールを引き受けます。

ID プロバイダーとフェデレーションの詳細については、IAM ユーザーガイドの「ID プロバイダーとフェデレーション」を参照してください。IAM Identity Center の詳細については、IAM Identity Center ユーザーガイドを参照してください。

パスワードの管理

AWS アカウント が SAML 2.0 をサポートする ID プロバイダー (IdP) 経由でアクセスするように設定されているかどうかを確認します。ID を一元化し、外部 ID プロバイダーまたは でユーザーを設定するときは、ベストプラクティスに従ってくださいAWS IAM Identity Center。

c2vlfg0p86

の IAM アイデンティティセンターをアクティブ化します AWS アカウント。詳細については、「IAM アイデンティティセンターのEnablingIAM」を参照してください。IAM Identity Center を有効にすると、アクセス許可セットの作成や Identity Center グループへのアクセスの割り当てなどの一般的なタスクを実行できます。詳細については、「一般的なタスク」を参照してください。

IAM Identity Center で人間のユーザーを管理するのがベストプラクティスです。ただし、小規模デプロイでは、短期的に人間のユーザーに対して IAM によるフェデレーティッドユーザーアクセスをアクティブ化できます。詳細については、「SAML 2.0 フェデレーション」を参照してください。

IAM Identity Centerとは何ですか?

IsIAMとは

アカウントのルートユーザーの認証情報を確認し、多要素認証 (MFA) が有効になっていない場合に警告します。

セキュリティを強化するために、MFA を使用してアカウントを保護することをお勧めします。MFA では、 AWS Management Console および関連するウェブサイトを操作するときに、ユーザーが MFA ハードウェアまたは仮想デバイスから一意の認証コードを入力する必要があります。

7DAFEmoDos

これがメンバーアカウントである場合 AWS Organizations： 管理アカウントにログインし、IAM でルートアクセス管理機能を有効にして、このメンバーアカウントからルートユーザーの認証情報を削除します。「メンバーアカウントのルートアクセスを一元化する」を参照してください。

これがスタンドアロンアカウントまたは 管理アカウントである場合 AWS Organizations： ルートアカウントにログインし、MFA デバイスをアクティブ化します。詳細については、「IAM での MFA ステータスの確認」と「多要素認証」を参照してください。 AWS

ルートユーザーアクセスキーが存在するかどうかを確認します。ルートユーザーのアクセスキーペアを作成しないことを強くお勧めします。ルートユーザーが必要なタスクはごくわずかであり、通常、これらのタスクは頻繁に実行されないため、 にログイン AWS Management Console してルートユーザータスクを実行するのがベストプラクティスです。アクセスキーを作成する前に、長期的なアクセスキーに代わる方法を確認してください。

c2vlfg0f4h

ルートユーザーのアクセスキー (複数可) を削除します。「ルートユーザーのアクセスキーの削除」を参照してください。このタスクは、ルートユーザーが実行する必要があります。IAM ユーザーまたはロールとしてこれらの手順を実行することはできません。

セキュリティグループで特定のポートへの無制限アクセス (0.0.0.0/0) を許可するルールを確認します。

無制限のアクセスでは、悪意のあるアクティビティ (ハッキング、サービス拒否攻撃、データ損失) の機会が増えます。リスクが最も高いポートには赤色のフラグが付けられ、リスクが低いポートには黄色のフラグが付けられます。緑色のフラグが付いたポートは、通常、HTTP や SMTP など、無制限のアクセスを必要とするアプリケーションで使用されます。

この方法でセキュリティグループを意図的に設定した場合は、追加のセキュリティ対策を使用してインフラストラクチャ (IP テーブルなど) を保護することをお勧めします。

HCP4007jGY

アクセスを必要とする IP アドレスのみに制限します。特定の IP アドレスにアクセスを制限するには、サフィックスを /32 に設定します (例: 192.0.2.10/32)。より制限の厳しいルールを作成した後は、必ず過度に許容的なルールを削除してください。

未使用のセキュリティグループを確認して削除します。を使用して AWS Firewall Manager 、 全体で大規模なセキュリティグループを一元的に設定および管理できます。詳細については AWS アカウント、 AWS Firewall Manager ドキュメントを参照してください。

EC2 インスタンスへの SSH (ポート 22) および RDP (ポート 3389) アクセスに Systems Manager Sessions Manager を使用することを検討してください。セッションマネージャーを使用すると、セキュリティグループでポート 22 と 3389 を有効にすることなく EC2 インスタンスにアクセスできます。

セキュリティグループでリソースへの無制限アクセスを許可するルールをチェックします。

無制限のアクセスでは、悪意のあるアクティビティ (ハッキング、サービス拒否攻撃、データ損失) の機会が増えます。

1iG5NDGVre

アクセスを必要とする IP アドレスのみに制限します。特定の IP アドレスにアクセスを制限するには、サフィックスを /32 に設定します (例: 192.0.2.10/32)。より制限の厳しいルールを作成した後は、必ず過度に許容的なルールを削除してください。

未使用のセキュリティグループを確認して削除します。を使用して AWS Firewall Manager 、 全体で大規模なセキュリティグループを一元的に設定および管理できます。詳細については AWS アカウント、 AWS Firewall Manager ドキュメントを参照してください。

EC2 インスタンスへの SSH (ポート 22) および RDP (ポート 3389) アクセスに Systems Manager Sessions Manager を使用することを検討してください。セッションマネージャーを使用すると、セキュリティグループでポート 22 と 3389 を有効にすることなく EC2 インスタンスにアクセスできます。