View a markdown version of this page

Accelerate の他の Security Hub コントロール - AMS Accelerate ユーザーガイド
Lambda.3 - Lambda 関数は VPC 内にある必要がありますS3.17 - S3 汎用バケットは保管時に で暗号化する必要があります AWS KMS keysKMS.2 - IAM プリンシパルには、すべての KMS キーで復号アクションを許可する IAM インラインポリシーがあってはなりませんS3.9 - S3 汎用バケットでは、サーバーアクセスのログ記録を有効にする必要がありますEC2.6 - VPC フローログ記録はすべての VPCsで有効にする必要があります

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Accelerate の他の Security Hub コントロール

Accelerate では、次の補償コントロールを使用できます。

Lambda.3 - Lambda 関数は VPC 内にある必要があります

リソース:

  • AMSAlarmManagerDeploymentHandler

  • AMSAlarmManagerOrphanedAlarmCleanup

  • AMSAlarmManagerRemediation

  • AMSAlarmManagerReporting

  • AMSAlarmManagerTriggerEvaluation

  • AMSAlarmManagerValidation

  • AMSConfigExtensionDeploymentHandler

  • AMSConfigFSXExtension

  • AMSConfigOutpostExtension

  • AMSConfigSyntheticCanaryExtension

AMS によってデプロイされた AWS Lambda 関数は、アカウントのリソースと通信しません。したがって、専用の Elastic Network Interface (ENIs) や VPC 配置は必要ありません。これらの関数を VPC の外部にデプロイすると、コストを削減し、デプロイ速度が向上します。このアプローチでは、リソース内通信のセキュリティ上の懸念は生じません。これらの Lambda 関数は独立して動作し、VPC ベースのリソースにアクセスしないため、VPC デプロイでは、セキュリティ上の利点を追加することなく、不要な複雑さとコストが増大します。

S3.17 - S3 汎用バケットは保管時に で暗号化する必要があります AWS KMS keys

リソース:

  • arn:aws:s3:::ams-a<account_id>-alarmmanager-<region>

AMS Alarm Manager システムによって使用される Amazon Simple Storage Service バケットは、カスタマーマネージド KMS キー (SSE-KMS) の代わりに Amazon マネージド暗号化キー (SSE-S3) を使用します。カスタマーマネージドキーを実装するには、キーポリシーを通じて KMS キーを使用するための明示的なアクセス許可を AMS に付与する必要があります。これにより、運用の複雑さとリスクが増大します。このコントロールを使用すると、追加のコストや運用の複雑さを回避しながら、保管時の強力な暗号化が可能になります。

キーポリシーを変更したり、キーを不適切にローテーションしたり、誤ってキーを削除または無効にしたりすると、AMS モニタリングはすぐに失敗します。このカスタマーマネージドキーの可用性への依存により、AMS の重要なモニタリングおよびアラートインフラストラクチャが侵害されます。リアルタイムモニタリング機能、アラート配信、インシデント対応、サービスヘルスの可視性が中断される可能性があります。Amazon が管理する暗号化キーは、キーポリシー、ローテーションスケジュール、アクセス許可を管理することなく、保管中のデータを自動的に暗号化します。この実装は、マネージドインフラストラクチャのコスト効率と運用の簡素化を維持しながら、暗号化要件を満た AMSします。

リソース:

  • arn:aws:s3:::ams-a<account_id>-cloudtrail-log-<region>-audit

AWS CloudTrail 監査ログ記録バケットは、 AWS サービスの制限により AWS KMS 暗号化を使用できません。サーバーアクセスのログ記録先として機能する S3 バケットでは、KMS キー暗号化を有効にしないでください。詳細については、「Amazon Simple Storage Service ユーザーガイド」の「デフォルトの暗号化の設定」および「サーバーアクセスログのトラブルシューティング」を参照してください。ログ記録先バケットで AWS KMS 暗号化を有効にすると、ログ記録が失敗し、運用上の問題が発生する可能性があります。このバケットは、代わりに Amazon S3-managed暗号化 (SSE-S3) を使用します。これにより、S3 サーバーアクセスログ記録機能との互換性を維持しながら、保管時の暗号化が可能になります。

KMS.2 - IAM プリンシパルには、すべての KMS キーで復号アクションを許可する IAM インラインポリシーがあってはなりません

リソース:

  • KMS キー: alias/ams/patchreporting

インラインポリシーには、特定の KMS キー (ams_ssm_inventory_bucket_kms_key) にアタッチされたリソースベースのポリシーである KMS キーポリシーに「リソース」: ["*"] が含まれています。キーポリシーは本質的に個々のキーに限定され、ポリシーの範囲はキー自体によって既に制約されているため、リソース要素で * を使用することが標準的な AWS 方法です。詳細については、「 デベロッパーガイド」の「キーポリシーの作成」および「デフォルトキーポリシー」を参照してください。 AWS KMS keys アクセスはアカウントのすべてのキーではなく、単一の KMS キーに制限されるため、この設定ではセキュリティ上のリスクはありません。

S3.9 - S3 汎用バケットでは、サーバーアクセスのログ記録を有効にする必要があります

リソース:

  • ams-config-recorder-bucket-<account_id>-audit

これらの S3 バケットは AWS Config 、レコーダーバケットのアクセスログ記録先バケットです。S3 は、これらのバケットでアクセスログを設定することを推奨しています。これにより、ログ記録の無限ループが生成され、コストが不必要に増加するためです。 AWS Security Hub 代わりに、このシナリオのリソースで検出結果を抑制することをお勧めします。

修正:

検出結果は役に立たないため、これらの影響を受けるバケットではこの検出結果を抑制する必要があります。検出結果を抑制しない場合は、オプションでバケットにセルフログを設定できます。自己ログ記録には、AMS がバケットを更新するとログ記録が削除されるリスクが伴います。

EC2.6 - VPC フローログ記録はすべての VPCsで有効にする必要があります

リソース:

  • アカウント作成時のデフォルト vpc

デフォルトでは、AMS はデフォルト VPC の VPC フローログを有効にしません。

修正:

タグams:managed=trueキー/値を追加し、設定ルールの状態をクリアして、ルールの評価を再実行することで、コントロールを自己修復できます。AMS の自動修復コンポーネントは、vpc で VPC フローログを有効にします。