翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
の Security Hub コントロール CloudFront
これらの Security Hub コントロールは、Amazon CloudFront サービスとリソースを評価します。
これらのコントロールは、すべての で利用できるとは限りません。 AWS リージョン。 詳細については、「」を参照してくださいリージョン別のコントロールの可用性。
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
関連する要件: NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7(16)
カテゴリ: 保護 > セキュアなアクセス管理 > パブリックアクセスが不可能なリソース
重要度: 高
リソースタイプ : AWS::CloudFront::Distribution
AWS Config ルール: cloudfront-default-root-object-configured
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon CloudFront ディストリビューションがデフォルトのルートオブジェクトである特定のオブジェクトを返すように設定されているかどうかをチェックします。 CloudFront ディストリビューションにデフォルトのルートオブジェクトが設定されていない場合、コントロールは失敗します。
ユーザーは、ディストリビューション内のオブジェクトURLではなく、ディストリビューションのルートをリクエストすることがあります。この場合、デフォルトのルートオブジェクトを指定することで、ウェブディストリビューションのコンテンツの漏洩を防止できます。
修正
CloudFront ディストリビューションのデフォルトのルートオブジェクトを設定するには、「Amazon CloudFront デベロッパーガイド」の「デフォルトのルートオブジェクトを指定する方法」を参照してください。
〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です
関連する要件: NIST.800-53.r5 AC-17(2) NIST.800-53.r5 AC-4、 NIST.800-53.r5 IA-5(1)、 NIST.800-53.r5 SC-12(3)、 NIST.800-53.r5 SC-13、 NIST.800-53.r5 SC-23、 NIST.800-53.r5 SC-23(3)、 NIST.800-53.r5 SC-7(4) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8、(1)、 NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)
カテゴリ: 保護 > データ保護 > の暗号化 data-in-transit
重要度: 中
リソースタイプ : AWS::CloudFront::Distribution
AWS Config ルール: cloudfront-viewer-policy-https
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon CloudFront ディストリビューションでビューワーがHTTPS直接 を使用する必要があるかどうか、またはリダイレクトを使用するかどうかをチェックします。ViewerProtocolPolicy が defaultCacheBehavior または cacheBehaviors の allow-all に設定されている場合、コントロールは失敗します。
HTTPS (TLS) を使用すると、潜在的な攻撃者がネットワークトラフィックを傍受または操作するために または同様の攻撃を使用すること person-in-the-middleを防ぐことができます。HTTPS (TLS) 経由の暗号化された接続のみを許可する必要があります。転送中のデータの暗号化は、パフォーマンスに影響する可能性があります。パフォーマンスプロファイルと の影響を理解するには、この機能を使用してアプリケーションをテストする必要がありますTLS。
修正
転送中の CloudFront ディストリビューションを暗号化するには、「Amazon CloudFront デベロッパーガイドHTTPS」の「ビューワーと 間の通信を必須 CloudFrontにする」を参照してください。
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
関連する要件: NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)
カテゴリ: リカバリ > 耐障害性 > 高可用性
重要度: 低
リソースタイプ : AWS::CloudFront::Distribution
AWS Config ルール: cloudfront-origin-failover-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon CloudFront ディストリビューションに 2 つ以上のオリジンを持つオリジングループが設定されているかどうかをチェックします。
CloudFront オリジンフェイルオーバーは可用性を高める可能性があります。オリジンフェイルオーバーは、プライマリオリジンが使用できない場合、または特定のHTTPレスポンスステータスコードを返す場合、トラフィックをセカンダリオリジンに自動的にリダイレクトします。
修正
CloudFront ディストリビューションのオリジンフェイルオーバーを設定するには、「Amazon CloudFront デベロッパーガイド」の「オリジングループの作成」を参照してください。
〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります
関連する要件: NIST.800-53.r5 AC-2 (4) NIST.800-53.r5 AC-4、(26)、 NIST.800-53.r5 AC-6(9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)
カテゴリ: 識別 > ログ記録
重要度: 中
リソースタイプ : AWS::CloudFront::Distribution
AWS Config ルール: cloudfront-accesslogs-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、ディス CloudFront トリビューションでサーバーアクセスのログ記録が有効になっているかどうかをチェックします。ディストリビューションでアクセスのログ記録が有効でない場合、コントロールは失敗します。
CloudFront アクセスログは、 が CloudFront 受け取るすべてのユーザーリクエストに関する詳細情報を提供します。各ログには、リクエストが受信された日時、リクエストを行ったビューワーの IP アドレス、リクエストソース、ビューワーからのリクエストポート番号などの情報が含まれます。
これらのログは、セキュリティ監査やアクセス監査、証拠調査などのアプリケーションに役立ちます。アクセスログの分析方法に関するその他のガイダンスについては、「Amazon Athena ユーザーガイド」の「Amazon CloudFront ログのクエリ」を参照してください。 Amazon Athena
修正
CloudFront ディストリビューションのアクセスログを設定するには、「Amazon CloudFront デベロッパーガイド」の「標準ログ (アクセスログ) の設定と使用」を参照してください。
〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります
関連する要件: NIST.800-53.r5 AC-4 (21)
カテゴリ: 保護 > 保護サービス
重要度: 中
リソースタイプ : AWS::CloudFront::Distribution
AWS Config ルール: cloudfront-associated-with-waf
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、 CloudFront ディストリビューションがいずれかの に関連付けられているかどうかをチェックします。 AWS WAF Classic または AWS WAF ウェブ ACLs。ディストリビューションがウェブ に関連付けられていない場合、コントロールは失敗しますACL。
AWS WAF は、ウェブアプリケーションと を攻撃APIsから保護するウェブアプリケーションファイアウォールです。これにより、定義したカスタマイズ可能なウェブセキュリティルールと条件に基づいてウェブリクエストを許可、ブロック、またはカウントするウェブアクセスコントロールリスト (ウェブ ACL) と呼ばれる一連のルールを設定できます。 CloudFront ディストリビューションが に関連付けられていることを確認します。 AWS WAF 悪意のある攻撃から保護ACLするのに役立つ ウェブ。
修正
を関連付けるには AWS WAF CloudFront ディストリビューションACLを含む ウェブ、「 の使用」を参照してください。 AWS WAF Amazon デベロッパーガイドのコンテンツへのアクセスを制御するには、 を使用します。 CloudFront
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
関連する要件: NIST.800-53.r5 AC-17(2) NIST.800-53.r5 AC-4、 NIST.800-53.r5 IA-5(1)、 NIST.800-53.r5 SC-12(3)、 NIST.800-53.r5 SC-13、 NIST.800-53.r5 SC-23、 NIST.800-53.r5 SC-23(3)、 NIST.800-53.r5 SC-7(4) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8(1)、 NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)
カテゴリ: 保護 > データ保護 > の暗号化 data-in-transit
重要度: 中
リソースタイプ : AWS::CloudFront::Distribution
AWS Config ルール: cloudfront-custom-ssl-certificate
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、 CloudFront ディストリビューションが CloudFront が提供するデフォルトの SSL/TLS 証明書を使用しているかどうかをチェックします。 CloudFront ディストリビューションがカスタム SSL/TLS 証明書を使用している場合、このコントロールは成功します。 CloudFront ディストリビューションがデフォルトの SSL/TLS 証明書を使用している場合、このコントロールは失敗します。
カスタム SSL/TLS は、ユーザーが代替ドメイン名を使用してコンテンツにアクセスできるようにします。カスタム証明書は に保存できます。 AWS Certificate Manager (推奨)、または 。 IAM
修正
カスタム SSL/TLS 証明書を使用して CloudFront ディストリビューションの代替ドメイン名を追加するには、「Amazon CloudFront デベロッパーガイド」の「代替ドメイン名の追加」を参照してください。
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
関連する要件: NIST.800-53.r5 CA-9 (1)、NIST.800-53.r5 CM-2
カテゴリ: 保護 > セキュアなネットワーク設定
重要度: 低
リソースタイプ : AWS::CloudFront::Distribution
AWS Config ルール: cloudfront-sni-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon CloudFront ディストリビューションがカスタム SSL/TLS 証明書を使用していて、 SNIを使用してHTTPSリクエストを処理するように設定されているかどうかを確認します。カスタム SSL/TLS 証明書が関連付けられているが、SSL/TLS サポート方法が専用 IP アドレスである場合、このコントロールは失敗します。
Server Name Indication (SNI) は、2010 年以降にリリースされたブラウザとクライアントでサポートされているTLSプロトコルの拡張機能です。を使用してHTTPSリクエストを処理する CloudFront ように を設定するとSNI、 は代替ドメイン名を各エッジロケーションの IP アドレスに CloudFront 関連付けます。ビューワーがコンテンツのHTTPSリクエストを送信すると、 はリクエストを IP アドレスにDNSルーティングして、正しいエッジロケーションにします。ドメイン名への IP アドレスは、SSL/TLS ハンドシェイクネゴシエーション中に決定されます。IP アドレスはディストリビューション専用ではありません。
修正
HTTPS リクエストSNIの処理に使用する CloudFront ディストリビューションを設定するには、「 デベロッパーガイド」の「 SNIを使用したHTTPSリクエストの処理 (ほとんどのクライアントで動作)」を参照してください。 CloudFront カスタムSSL証明書の詳細については、「 で SSL/TLS 証明書を使用するための要件 CloudFront」を参照してください。
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
関連する要件: NIST.800-53.r5 AC-17(2) NIST.800-53.r5 AC-4、 NIST.800-53.r5 IA-5(1)、 NIST.800-53.r5 SC-12(3)、 NIST.800-53.r5 SC-13、 NIST.800-53.r5 SC-23、 NIST.800-53.r5 SC-23(3)、 NIST.800-53.r5 SC-7(4) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8(1)、 NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)
カテゴリ: 保護 > データ保護 > の暗号化 data-in-transit
重要度: 中
リソースタイプ : AWS::CloudFront::Distribution
AWS Config ルール: cloudfront-traffic-to-origin-encrypted
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon CloudFront ディストリビューションがカスタムオリジンへのトラフィックを暗号化しているかどうかをチェックします。このコントロールは、オリジンプロトコルポリシーで「http-only」が許可されている CloudFront ディストリビューションでは失敗します。ディストリビューションのオリジンプロトコルポリシーが「match-viewer」で、ビューワープロトコルポリシーが「allow-all」である場合にも、このコントロールは失敗します。
HTTPS (TLS) を使用すると、ネットワークトラフィックの傍受や操作を防ぐことができます。HTTPS (TLS) 経由の暗号化された接続のみを許可する必要があります。
修正
CloudFront 接続の暗号化を要求するようにオリジンプロトコルポリシーを更新するには、「Amazon CloudFront デベロッパーガイドHTTPS」の「 CloudFront とカスタムオリジン間の通信を必須にする」を参照してください。
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
関連する要件: NIST.800-53.r5 AC-17(2) NIST.800-53.r5 AC-4、 NIST.800-53.r5 IA-5(1)、 NIST.800-53.r5 SC-12(3)、 NIST.800-53.r5 SC-13、 NIST.800-53.r5 SC-23、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-8、(1) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)
カテゴリ: 保護 > データ保護 > の暗号化 data-in-transit
重要度: 中
リソースタイプ : AWS::CloudFront::Distribution
AWS Config ルール: cloudfront-no-deprecated-ssl-protocols
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon CloudFront ディストリビューションが CloudFront エッジロケーションとカスタムオリジン間のHTTPS通信に非推奨のSSLプロトコルを使用しているかどうかを確認します。 CloudFront ディストリビューションに が含まれている場合、このコントロールOriginSslProtocolsは失敗CustomOriginConfigしますSSLv3。
2015 年、Internet Engineering Task Force (IETF) は、プロトコルのセキュリティが不十分であるためSSL、3.0 を廃止する必要があることを正式に発表しました。カスタムオリジンとのHTTPS通信には TLSv1.2 以降を使用することをお勧めします。
修正
CloudFront ディストリビューションのオリジンSSLプロトコルを更新するには、「Amazon CloudFront デベロッパーガイドHTTPS」の CloudFront 「 とカスタムオリジン間の通信を必須にする」を参照してください。
〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません
関連する要件: NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)
カテゴリ: 識別 > リソース設定
重要度: 高
リソースタイプ : AWS::CloudFront::Distribution
AWS Config ルール: cloudfront-s3-origin-non-existent-bucket
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、Amazon CloudFront ディストリビューションが存在しない Amazon S3 オリジンを指しているかどうかをチェックします。オリジンが存在しないバケットを指すように設定されている場合、ディス CloudFront トリビューションのコントロールは失敗します。このコントロールは、静的ウェブサイトホスティングのない S3 バケットが S3 オリジンである CloudFront ディストリビューションにのみ適用されます。
アカウント内の CloudFront ディストリビューションが、存在しないバケットを指すように設定されている場合、悪意のある第三者は、参照されるバケットを作成し、ディストリビューションを通じて独自のコンテンツを提供できます。ルーティング動作に関係なくすべてのオリジンをチェックして、ディストリビューションが適切なオリジンをポイントしていることを確認することをお勧めします。
修正
新しいオリジンを指すように CloudFront ディストリビューションを変更するには、「Amazon CloudFront デベロッパーガイド」の「ディストリビューションの更新」を参照してください。
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
カテゴリ: 保護 > セキュアなアクセス管理 > パブリックアクセスが不可能なリソース
重要度: 中
リソースタイプ : AWS::CloudFront::Distribution
AWS Config ルール: cloudfront-s3-origin-access-control-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon S3 オリジンを持つ Amazon CloudFront ディストリビューションにオリジンアクセスコントロール (OAC) が設定されているかどうかをチェックします。ディス CloudFront トリビューションに が設定されていない場合OAC、コントロールは失敗します。
S3 バケットを CloudFront ディストリビューションのオリジンとして使用する場合は、 を有効にできますOAC。これにより、指定された CloudFront ディストリビューションを介してのみバケット内のコンテンツへのアクセスが許可され、バケットまたは別のディストリビューションからの直接アクセスが禁止されます。はオリジンアクセスアイデンティティ (OAI) CloudFront をサポートしていますが、 OACは追加の機能を提供し、 を使用するディストリビューションは に移行OAIできますOAC。OAI は S3 オリジンに安全にアクセスする方法を提供しますが、きめ細かなポリシー設定や、 で POSTメソッドを使用する HTTP/HTTPS リクエストのサポートがないなどの制限があります。 AWS リージョン を必要とする AWS 署名バージョン 4 (SigV4)。OAI は での暗号化もサポートしていません AWS Key Management Service。 OACは に基づいています。 AWS IAM サービスプリンシパルを使用して S3 オリジンで認証するベストプラクティス。
修正
S3 オリジンを持つ CloudFront ディストリビューションOAC用に を設定するには、Amazon S3 オリジンへのアクセスの制限」を参照してください。 CloudFront
〔CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::CloudFront::Distribution
AWS Config ルール:tagged-cloudfront-distribution (カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | を満たすタグのリスト AWS の要件 | デフォルト値なし |
このコントロールは、Amazon CloudFront ディストリビューションにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。ディストリビューションにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、ディストリビューションがどのキーでもタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。
タグは、 に割り当てるラベルです。 AWS リソースは、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。IAM エンティティ (ユーザーまたはロール) と にタグをアタッチできます。 AWS リソースの使用料金を見積もることができます。IAM プリンシパルには、1 つのABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 とはABAC」を参照してください。 AWSユーザーガイドの「」。 IAM
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには多くの がアクセスできます AWS のサービスを含む AWS Billing。 タグ付けのベストプラクティスの詳細については、「 のタグ付け」を参照してください。 AWS の リソース AWS 全般のリファレンス.
修正
CloudFront ディストリビューションにタグを追加するには、「Amazon デベロッパーガイド」の「Amazon CloudFront ディストリビューションのタグ付け」を参照してください。 CloudFront
