CIS(Center for Internet Security)は、Amazon Web Services(AWS)Foundationsベンチマーク2.0バージョンをリリースしました。新しいセキュリティの推奨事項や古い項目の削除など、いくつかの重要な変更が含まれています。
Center for Internet Securityは、サイバーセキュリティを向上させるための非営利組織です。CISはさまざまなステークホルダーと協力し、進化するセキュリティの脅威に対応するために、ベンチマークを継続的に更新しています。
v2.0.0の変更点
CISベンチマークの更新には通常、検出および修復の改善といくつかの新しいセキュリティの推奨事項が含まれます。しかし、新しい2.0リリースは、驚くべき新しい11個の推奨事項を導入し、古い2つを削除しました。
削除された項目
既存のコントロール「Ensure all S3 buckets employ encryption-at-rest」は、ベンチマークから削除されました。2023年1月、AmazonはすべてのS3バケットが、デフォルトで安全に暗号化されることを発表しました。これはS3データセキュリティにとって素晴らしい進展であり、管理者によって修正される必要があった一般的なセキュリティの誤設定を完全に防ぎます。
追加項目:AWS CloudShellの使用制限
新しく追加された「AWS CloudShellの使用制限」は、リモートシェルの潜在的なリスクを制限することを目的としています。私のような方も心臓が一瞬止まるかもしれませんが、心配しないでください。CISはCloudShellへのアクセスを完全に無効にすることは提案していません。新しい推奨事項は、IAMポリシー「AWSCloudShellFullAccess」を無効にするだけです。
「AWSCloudShellFullAccess」権限は、CloudShellインスタンスを介してローカルシステムにファイルをアップロードおよびダウンロードするなど、AWSアカウントへの無制限のアクセスを提供します。このアクセスレベルを削除することにより、AWSアカウント内での重要なデータの流出リスクを防ぎます。
追加項目:EC2 Metadata ServiceによるIMDSv2の利用
大きな変更のもう一つは、「EC2 Metadata ServiceによるIMDSv2の利用」です。新しくより安全なインスタンスMetadata Serviceの使用を強制します。
IMDSv2は2019年に導入され、既存のインスタンスMetadata Serviceにおけるいくつかの主要な脆弱性を排除するために開発されました。
これらの脆弱性は、大規模なセキュリティ侵害を引き起こす原因となっていました。IMDSv2はセッション認証、低レベルTTL、およびHTTP PUTリクエストを使用しており、誤りのあるアプリケーションファイアウォール、ロードバランサー、またはNATアプライアンスを使用した場合に、インフラストラクチャ外のユーザーがインスタンスメタデータを要求するのを防ぎます。
これは明らかなセキュリティの向上のように思えるかもしれませんが、インスタンスを新しいバージョンにアップデートすることは時間がかかるうえ、構成管理システムなどのソフトウェアの更新が必要となるかもしれません。しかし、この新しい項目だけでも、CISベンチマークのバージョンアップの価値があります。
その他の重要変更事項
Amazon Web Services Foundations 2.0ベンチマークの大部分の変更は、既存の項目の内容を更新する形で行われています。リスクの説明が向上したほか、監査および修復手順が更新された11のベンチマークが含まれています。これらの変更の一部は、AWSの変更に対応するための微調整ですが、他の項目は、ユーザーがより迅速に解決するのに役立つ重要な改良です。
Chef InSpecでAWSアカウントのCSPM:アカウントセキュリティ確保
Progress Chef 社が提供するInSpecで、インスタンス、VM、コンテナとホストOSのセキュリティ監査に加えて、AWS、GCP、Azure のアカウントをセキュアに保ち、監視することができます。詳細は;
インフラセキュリティ–テスト自動化 #STIG #CISベンチマーク #serverspec (chef-sec.com)
InSpec の技術サポートやライセンスの取得についてお問い合わせください。
AWS CISベンチマークの使い方
最新のAWS CISベンチマークに準拠したテストコードが用意されています。
https://github.com/mitre/aws-foundations-cis-baselinemitreリポジトリ は、脆弱性で有名なCVEの管理をしている組織MITRE Corporationがメンテナンスしています。
今回使用するもの以外にも、CISやSTIGに準拠した無料のテストコードを多数公開しています。フルリストはこちらで確認できます。
上記テストコードの具体的な使い方については、以下の記事で説明されています。
