環境に高い、または非常に高いセキュリティリスクをもたらす変更 - AMS Advanced ユーザーガイド

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

環境に高い、または非常に高いセキュリティリスクをもたらす変更

以下の変更により、 環境のセキュリティリスクが高くなるか、非常に高くなります。

AWS Identity and Access Management

  • High_Risk-IAM-001: ルートアカウントのアクセスキーを作成する

  • High_Risk-IAM-002: 追加アクセスを許可する SCP ポリシーの変更

  • High_Risk-IAM-003: AMS インフラストラクチャを破損する可能性のある SCP ポリシーの変更

  • High_Risk-IAM-004: 顧客アカウントのインフラストラクチャ変更アクセス許可 (書き込み、アクセス許可管理、またはタグ付け) を持つロール/ユーザーの作成

  • High_Risk-IAM-005: AMS アカウントとサードパーティーアカウント (顧客が所有していない) 間の IAM ロール信頼ポリシー

  • High_Risk-IAM-006: サードパーティーアカウントによって AMS アカウントから任意の KMS キーにアクセスするためのクロスアカウントポリシー)

  • High_Risk-IAM-007: データを保存できる AMS カスタマー S3 バケットまたはリソース (Amazon RDS、Amazon DynamoDB、Amazon Redshift など) にアクセスするためのサードパーティーアカウントのクロスアカウントポリシー

  • High_Risk-IAM-008: ユーザーアカウントのインフラストラクチャ変更アクセス許可を持つ IAM アクセス許可を割り当てる

  • High_Risk-IAM-009: アカウント内のすべての S3 バケットの一覧表示と読み取りを許可する

  • High_Risk-IAM-010: 読み取り/書き込みアクセス許可を持つ自動 IAM プロビジョニング

ネットワークセキュリティ

  • High_Risk-NET-001: インターネットからの Open OS 管理ポート SSH/22 または SSH/2222 (SFTP/2222 ではない)、TELNET/23、RDP/3389、WinRM/5985-5986、VNC/5900-5901 TS/CITRIX/1494 または 1604、LDAP/389 または 636、NETBIOS/137-139

  • High_Risk-NET-002: データベース管理ポート MySQL/3306、PostgreSQL/5432、Oracle/1521、MSSQL/1433、またはインターネットからの管理カスタマーポートを開く

  • High_Risk-NET-003: 任意のコンピューティングリソースでアプリケーションポート HTTP/80、HTTPS/8443、HTTPS/443 を直接開きます。例えば、インターネットからの EC2 インスタンス、ECS/EKS/Fargate コンテナなど

  • High_Risk-NET-004: AMS インフラストラクチャへのアクセスを制御するセキュリティグループへの変更

  • High_Risk-NET-006: サードパーティーアカウントとの VPC ピアリング (顧客が所有していない)

  • High_Risk-NET-007: カスタマーファイアウォールをすべての AMS トラフィックの出力ポイントとして追加する

  • High_Risk-NET-008: サードパーティーアカウントとの Transit Gateway アタッチメントは許可されていません

  • High_Risk-S3-001: S3 バケットでパブリックアクセスをプロビジョニングまたは有効にする

ログ記録

  • High_Risk-LOG-001: CloudTrail を無効にします。(Ops Site Manager の承認が必要)

  • High_Risk-LOG-002: VPC フローログを無効にします。(Ops Site Manager の承認が必要)

  • High_Risk-LOG-003: AMS マネージドアカウントからサードパーティーアカウント (お客様が所有していない) への任意の方法 (S3 イベント通知、SIEM エージェントプル、SIEM エージェントプッシュなど) によるログ転送

  • High_Risk-LOG-004: CloudTrail に非 AMS 証跡を使用する

ホストセキュリティ

  • High_Risk-HOST-001: 何らかの理由でアカウントのエンドポイントセキュリティを無効にします。(Ops Site Manager の承認が必要)

  • High_Risk-HOST-002: リソースまたはアカウントレベルでパッチ適用を無効にします。

  • High_Risk-HOST-003: アカウントにアンマネージド EC2 インスタンスをデプロイします。

  • High_Risk-HOST-004: 顧客が提供するカスタムスクリプトを実行する。

  • High_Risk-HOST-005: インスタンスでのローカル管理者アカウントの作成。

  • High_Risk-HOST-006: Trend Micro EPS ファイルタイプ/拡張スキャンの除外、またはエンドポイントでのマルウェア保護の無効化。

    注記

    リスクの承諾は、侵入テスト、脆弱性スキャン、またはプロアクティブアクションを必要とするイベント/既知のパフォーマンス問題に影響を与えるサービスに関連する EPS マルウェア対策の除外または GuardDuty 抑制ルールには必要ありません。このような状況では、リスク通知で十分です。

  • High_Risk-HOST-007: EC2 の KeyPair を作成する

  • High_Risk-HOST-008: EC2 でエンドポイントセキュリティを無効にする

  • High_Risk-HOST-009: End of Life (EOL) OS を使用するアカウント

Miscellaneous

  • High_Risk-ENC-001: 有効な場合、任意のリソースで暗号化を無効にする

マネージド Active Directory

  • High_Risk-AD-001: アクティブなディレクターユーザーまたはグループに管理者権限を付与する

  • High_Risk-AD-002: アカウントのセキュリティ体制を軽減できる GPO ポリシー