すべてのトラフィックを制限していない、デフォルトの VPC セキュリティグループ
Incident Management が一般に使用できるようになりました。 Incident Management が広範に使用できるようになりました。
<  Back to rules search

すべてのトラフィックを制限していない、デフォルトの VPC セキュリティグループ

ec2

Classification:

コンプライアンス

Set up the ec2 integration.

概要

説明

VPC には、デフォルトでセキュリティグループが設定されており、初期設定ですべてのインバウンドトラフィックを拒否し、セキュリティグループに割り当てられたインスタンス間のすべてのトラフィックを許可します。インスタンスの起動時にセキュリティグループを指定しない場合、インスタンスは自動的にこのデフォルトのセキュリティグループに割り当てられます。セキュリティグループは、AWS リソースへのネットワークトラフィックの送信/受信のステートフルフィルタリングを提供します。

すべてのトラフィックを制限するようデフォルトのセキュリティグループを設定します。すべてのリージョンのデフォルト VPC は、それぞれ従うべき最新のデフォルトのセキュリティグループにアップデートされています。新規作成された VPC には、この推奨事項に従うために修正が必要なデフォルトのセキュリティグループが自動的に含まれます。

: この推奨事項を実装する際、システムが要求する最小限の特権ポートアクセスを特定し、これが正常に動作するには、現在のセキュリティグループで発生したすべてのパケットの受容と拒否を記録できる VPC のフローロギングが有用です。これにより、最小特権エンジニアリング(その環境でシステムにより要求される最小限のポートの発見)において、主要な障害を劇的に削減することができます。このベンチマークにおける VPC フローロギングの推奨が、永続的なセキュリティ対策として採用されなくても、最小特権のセキュリティグループの発見およびエンジニアリング期間に使用することが可能です。

根拠

すべての VPC デフォルトセキュリティグループを構成してすべてのトラフィックを制限することは、最小特権セキュリティグループの開発および AWS リソースのセキュリティグループへの慎重な設置の促進につながり、これらのリソースの露出を削減できます。

修復

セキュリティグループメンバーは、既定の状態を実装するため以下を実施します。

  1. デフォルトのセキュリティグループ内に存在する AWS リソースを特定
  2. それらのリソースに、最小特権セキュリティグループを作成
  3. そのセキュリティグループにリソースを配置
  4. https://console.aws.amazon.com/vpc/home から AWS マネジメント コンソールにログインして #1 で特定したリソースをデフォルトの Security Group State から削除し、すべての VPC について同じ操作を繰り返します(各 AWS リージョンのデフォルト VPC を含む)。
  5. 左ペインの Security Groups をクリック
  6. デフォルトのセキュリティグループで、以下を実行します。
    1. デフォルトのセキュリティグループを選択
    2. Inbound Rules タブをクリック
    3. すべてのインバウンド規則を削除
    4. Outbound Rules タブをクリック
    5. すべてのインバウンド規則を削除
    6. 推奨: IAM グループでは、“name” フィールドを編集できます。すべてのリージョンですべての VPC に対するデフォルトのセキュリティグループを修正後、このフィールドを編集して “DO NOT USE. DO NOT ADD RULES” などのテキストを追加します。

影響

動作中のリソースを含む既存の VPC でこの推奨事項を実装する場合は、デフォルトのセキュリティグループが多くの不明のポートを有効にする場合があるため、移行計画には細心の注意が必要です。既存の環境で、安全への侵害のないことが明らかな VPC フローロギング(受容)を有効にすると、各インスタンスで使用されるポートの原稿パターンを明らかにし正常な通信が可能になります。

デフォルト値

なし

リファレンス

  1. CCE-79201-0
  2. http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html
  3. CIS CSC v6.0 #9.2

CIS Controls

14.6 アクセス制御リストを使用した情報保護 - ファイルシステム、ネットワーク共有、要求、アプリケーション、またはデータベースに固有のアクセス制御リストで、システムに保存されたすべての情報を保護します。この制御により、責任の範囲として情報にアクセスする必要性に応じて、権限のある個人のみに許可するという原則が実行されます。