概要前提条件と制限アーキテクチャツールベストプラクティスエピックトラブルシューティング関連リソース

パブリック IP アドレスからのアクセスを許可する AWS セキュリティグループを自動的に監査する

Eugene Shifer と Stephen DiCato、Amazon Web Services

概要

セキュリティのベストプラクティスとして、絶対に必要なものだけに AWS リソースが公開されるのを最小限に抑えることが重要です。例えば、一般公開されているウェブサーバーはインターネットからのインバウンドアクセスを許可する必要がありますが、不要な露出を減らすために、他のワークロードへのアクセスを特定のネットワークに制限する必要があります。Amazon Virtual Private Cloud (Amazon VPC) のセキュリティグループは、リソースアクセスを制限するのに役立つ効果的なコントロールです。ただし、特にマルチアカウントアーキテクチャでは、セキュリティグループの評価は面倒な作業になる可能性があります。のAWS Config ルールとAWS Security Hub コントロールは、パブリックインターネット (0.0.0.0/0) から Secure Shell (SSH)、HTTP、HTTPS、Windows リモートデスクトッププロトコル (RDP) などの特定のネットワーク通信プロトコルへのアクセスを許可するセキュリティグループを特定するのに役立ちます。ただし、これらのルールとコントロールは、サービスが非標準ポートで実行されている場合や、アクセスが特定のパブリック IP アドレスに制限されている場合には適用されません。例えば、これは、ウェブサービスが標準の TCP ポート 443 ではなく TCP ポート 8443 に関連付けられている場合に発生する可能性があります。これは、テスト目的など、開発者がホームネットワークからサーバーにアクセスできる場合にも発生する可能性があります。

これに対処するには、このパターンで提供されているInfrastructure as Code (IaC) ソリューションを使用して、非プライベート (RFC 1918 非準拠) IP アドレスからユーザー AWS アカウントまたは AWS 組織内の任意のワークロードへのアクセスを許可するセキュリティグループを特定できます。AWS CloudFormation テンプレートは、カスタム AWS Config ルール、 AWS Lambda関数、および必要なアクセス許可をプロビジョニングします。単一のアカウントにスタックとしてデプロイすることも、組織全体にスタックセットとしてデプロイすることもできます AWS Organizations。

前提条件と制限

前提条件

アクティブな AWS アカウント
GitHub の使用経験
単一のにデプロイする場合 AWS アカウント：
- CloudFormation スタックを作成するアクセス許可
- ターゲットアカウントでAWS Config をセットアップする
- （オプション) ターゲットアカウントで設定された Security Hub
AWS 組織にデプロイする場合：
- CloudFormation スタックセットを作成するアクセス許可
- AWS Organizations 統合による Security Hub のセットアップ
- このソリューションをデプロイするアカウントでAWS Config をセットアップする
- AWS Config と Security Hub の委任管理者 AWS アカウントとしてを指定する

制約事項

Security Hub が有効になっていない個々のアカウントにデプロイする場合は、 AWS Config を使用して検出結果を評価できます。
AWS Config と Security Hub の委任管理者を持たない組織にデプロイする場合は、個々のメンバーアカウントにログインして結果を表示する必要があります。
AWS Control Tower を使用して組織内のアカウントを管理および管理する場合は、 AWS Control Tower (CfCT) のカスタマイズを使用して、このパターンで IaC をデプロイします。CloudFormation AWS Control Tower コンソールを使用すると、ガードレールから設定ドリフトが作成され、組織単位 (OUs) またはマネージドアカウントを再登録する必要があります。
一部の AWS のサービスはでは使用できません AWS リージョン。リージョンの可用性については、AWS のサービス「リージョン別」を参照してください。特定のエンドポイントについては、「サービスエンドポイントとクォータ」ページを参照して、サービスのリンクを選択します。

アーキテクチャ

個人へのデプロイ AWS アカウント

次のアーキテクチャ図は、単一の内の AWS リソースのデプロイを示しています AWS アカウント。CloudFormation コンソールから直接 CloudFormation テンプレートを使用してリソースをプロビジョニングします。Security Hub が有効になっている場合は、 AWS Config または Security Hub で結果を表示できます。Security Hub が有効になっていない場合は、の結果のみを表示できます AWS Config。

単一の AWS アカウントでの CloudFormation スタックとしての IaC テンプレートのデプロイ。

この図表は、次のワークフローを示しています：

CloudFormation スタックを作成します。これにより、Lambda 関数と AWS Config ルールがデプロイされます。ルールと関数の両方に、 AWS Config およびログでリソース評価を発行するために必要な AWS Identity and Access Management (IAM) アクセス許可が設定されます。
この AWS Config ルールは検出評価モードで動作し、24 時間ごとに Lambda 関数を呼び出します。
Lambda 関数はセキュリティグループを評価し、更新を送信します AWS Config。
Security Hub はすべての AWS Config 検出結果を受け取ります。
アカウントで設定したサービスに応じて AWS Config、Security Hub またはで検出結果を表示できます。

AWS 組織にデプロイする

次の図は、 AWS Organizations およびを通じて管理される複数のアカウントへのパターンのデプロイを示しています AWS Control Tower。CloudFormation テンプレートは CfCT を使用してデプロイします。評価結果は、委任管理者アカウントの Security Hub に一元化されます。図の AWS CodePipeline ワークフローセクションは、CfCT デプロイ中に発生するバックグラウンドステップを示しています。

AWS 組織内の CloudFormation スタックセットとしての IaC テンプレートのデプロイ。

この図表は、次のワークフローを示しています：

管理アカウントで、IaC テンプレートの圧縮 (ZIP) ファイルを、CfCT によってデプロイされた Amazon Simple Storage Service (Amazon S3) バケットにアップロードします。
CfCT パイプラインはファイルを解凍し、cfn-nag (GitHub) チェックを実行し、テンプレートを CloudFormation スタックセットとしてデプロイします。
CfCT マニフェストファイルで指定した設定に応じて、CloudFormation StackSets はスタックを個々のアカウントまたは指定された OUs。これにより、Lambda 関数と AWS Config ルールがターゲットアカウントにデプロイされます。ルールと関数の両方が、 AWS Config およびログでリソース評価を発行するために必要な IAM アクセス許可で設定されます。
この AWS Config ルールは検出評価モードで動作し、24 時間ごとに Lambda 関数を呼び出します。
Lambda 関数はセキュリティグループを評価し、更新を送信します AWS Config。
AWS Config は、すべての検出結果を Security Hub に転送します。
Security Hub の検出結果は、委任管理者アカウントに集約されます。
集約された検出結果は、委任管理者アカウントの Security Hub で表示できます。

ツール

AWS のサービス

AWS CloudFormation は、 AWS リソースをセットアップし、迅速かつ一貫してプロビジョニングし、 AWS アカウントおよび全体のライフサイクルを通じてリソースを管理するのに役立ちます AWS リージョン。
AWS Config は、のリソースの詳細ビュー AWS アカウントと設定方法を提供します。リソースがどのように相互に関連しているか、またそれらの構成が時間の経過とともにどのように変化したかを特定するのに役立ちます。An AWS Config rule は、リソースの理想的な構成設定を定義し、 AWS リソースがルールの条件に準拠しているかどうかを評価 AWS Config できます。
AWS Control Tower は、規範的なベストプラクティスに従って、 AWS マルチアカウント環境のセットアップと管理に役立ちます。AWS Control Tower (CfCT) のカスタマイズは、 AWS Control Tower ランディングゾーンをカスタマイズし、 AWS ベストプラクティスとの整合性を保つのに役立ちます。このソリューションのカスタマイズは、CloudFormation テンプレートと AWS Organizations サービスコントロールポリシー (SCPs。
AWS Lambda は、サーバーのプロビジョニングや管理を行うことなくコードを実行できるコンピューティングサービスです。必要に応じてコードを実行し、自動的にスケーリングするため、課金は実際に使用したコンピューティング時間に対してのみ発生します。
AWS Organizations は、作成して一元管理する AWS アカウント組織に複数のを統合するのに役立つアカウント管理サービスです。
AWS Security Hub は、のセキュリティ状態の包括的なビューを提供します AWS。また、セキュリティ業界標準とベストプラクティスに照らして AWS 環境を確認するのにも役立ちます。

その他のツール

「Python」は汎用のコンピュータープログラミング言語です。

コードリポジトリ

このパターンのコードは、GitHub Detect の脆弱なセキュリティグループリポジトリで入手できます。

ベストプラクティス

以下のリソースのベストプラクティスに従うことをお勧めします。

を使用した組織単位のベストプラクティス AWS Organizations (AWS クラウド運用と移行ブログ）
AWS Control Tower でを使用して初期基盤を確立するためのガイダンス AWS (AWS ソリューションライブラリ）
AWS Control Tower リソースの作成と変更に関するガイダンス (AWS Control Tower ドキュメント）
CfCT デプロイに関する考慮事項（AWS Control Tower ドキュメント）
最小特権のアクセス許可を適用する (IAM ドキュメント）

エピック

タスク説明必要なスキル

タスク	説明	必要なスキル
デプロイ戦略を決定します。	ソリューションとコードを確認して、 AWS 環境のデプロイ戦略を決定します。単一のアカウントまたは AWS 組織にデプロイするかどうかを決定します。	アプリ所有者、AWS 全般
リポジトリをクローン作成します。	次のコマンドを入力して、Detect vulnerable security groups リポジトリのクローンを作成します。 `git clone https://github.com/aws-samples/detect-public-security-groups.git`	アプリ開発者、アプリオーナー
Python バージョンを検証します。	クローンされたリポジトリの最上位ディレクトリに移動します。 `cd detect-public-security-groups` Security-Group-Public-Assessment.yaml を開きます。 `SgPublicAccessCheckLambdaFunction` リソースで、Python バージョンがターゲットと互換性があることを確認します AWS リージョン。デフォルトでは、この関数は Python 3.12 を使用します。詳細については、「で AWS Lambda Python 3.12 のサポートが追加されました」を参照してください。必要に応じて、Python バージョンを更新します。 Security-Group-Public-Assessment.yaml を保存して閉じます。	AWS 管理者、アプリ開発者

デプロイ戦略を決定します。

ソリューションとコードを確認して、 AWS 環境のデプロイ戦略を決定します。単一のアカウントまたは AWS 組織にデプロイするかどうかを決定します。

アプリ所有者、AWS 全般

リポジトリをクローン作成します。

次のコマンドを入力して、Detect vulnerable security groups リポジトリのクローンを作成します。


git clone https://github.com/aws-samples/detect-public-security-groups.git

アプリ開発者、アプリオーナー

Python バージョンを検証します。

クローンされたリポジトリの最上位ディレクトリに移動します。
```
cd detect-public-security-groups
```
Security-Group-Public-Assessment.yaml を開きます。
SgPublicAccessCheckLambdaFunction リソースで、Python バージョンがターゲットと互換性があることを確認します AWS リージョン。デフォルトでは、この関数は Python 3.12 を使用します。詳細については、「で AWS Lambda Python 3.12 のサポートが追加されました」を参照してください。必要に応じて、Python バージョンを更新します。
Security-Group-Public-Assessment.yaml を保存して閉じます。

AWS 管理者、アプリ開発者

タスク	説明	必要なスキル
CloudFormation のテンプレートをデプロイします。	CloudFormation テンプレートを AWS 環境にデプロイします。次のいずれかを行います：単一のにデプロイする場合は AWS アカウント、「スタックの作成」の手順に従います。によって管理されていない組織にデプロイする場合は AWS Control Tower、「スタックセットを作成する」の手順に従います。が管理する組織にデプロイする場合は AWS Control Tower、「独自のカスタマイズを構築する」の手順を参照してください。	アプリ開発者、AWS 管理者、AWS 全般
デプロイメントを確認する	CloudFormation コンソールで、スタックまたはスタックセットが正常にデプロイされていることを確認します。	AWS 管理者、アプリ所有者

タスク説明必要なスキル

タスク	説明	必要なスキル
AWS Config ルールの検出結果を表示します。	Security Hub で、以下を実行して個々の検出結果のリストを表示します。 Security Hub コンソールを開きます。ナビゲーションペインで調査結果を選択します。フィルターの追加ボックスに、次のフィルターを追加します。コンプライアンスステータスはです `FAILED` タイトル: `SgPublicAccessCheck` [Apply] (適用) を選択します。 Security Hub で、以下を実行して、グループ化された検出結果の合計のリストを表示します AWS アカウント。 Security Hub コンソールを開きます。ナビゲーションペインで、[Insights] (インサイト) を選択します。 [Create insight] (インサイトの作成) を選択します。インサイトのグループ化属性を選択するには: 検索ボックスを選択して、フィルターオプションを表示します。 [Group by] (グループ化の条件) を選択します。 AwsAccountId を選択します。 [Apply] (適用) を選択します。フィルターの追加ボックスに、次のフィルターを追加します。タイトル: `SgPublicAccessCheck` コンプライアンスステータスはです `FAILED` [Create insight] (インサイトの作成) を選択します。 [インサイトの名前] を入力し、[インサイトの作成] を選択します。検出結果のリスト AWS Configを表示するには、 AWS Config ドキュメントの「コンプライアンス情報と評価結果の表示」の手順に従います。	AWS 管理者、クラウド管理者、AWS システム管理者

AWS Config ルールの検出結果を表示します。

Security Hub で、以下を実行して個々の検出結果のリストを表示します。

Security Hub コンソールを開きます。
ナビゲーションペインで 調査結果を選択します。
フィルターの追加 ボックスに、次のフィルターを追加します。
- コンプライアンスステータスはです FAILED
- タイトル: SgPublicAccessCheck
[Apply] (適用) を選択します。

Security Hub で、以下を実行して、グループ化された検出結果の合計のリストを表示します AWS アカウント。

Security Hub コンソールを開きます。
ナビゲーションペインで、[Insights] (インサイト) を選択します。
[Create insight] (インサイトの作成) を選択します。
インサイトのグループ化属性を選択するには:
1. 検索ボックスを選択して、フィルターオプションを表示します。
2. [Group by] (グループ化の条件) を選択します。
3. AwsAccountId を選択します。
4. [Apply] (適用) を選択します。
フィルターの追加 ボックスに、次のフィルターを追加します。
- タイトル: SgPublicAccessCheck
- コンプライアンスステータスはです FAILED
[Create insight] (インサイトの作成) を選択します。
[インサイトの名前] を入力し、[インサイトの作成] を選択します。

検出結果のリスト AWS Configを表示するには、 AWS Config ドキュメントの「コンプライアンス情報と評価結果の表示」の手順に従います。

AWS 管理者、クラウド管理者、AWS システム管理者

トラブルシューティング

問題ソリューション

問題	ソリューション
CloudFormation スタックセットの作成または削除は失敗します。	AWS Control Tower がデプロイされると、必要なガードレールが適用され、 AWS Config アグリゲータとルールの制御が引き受けられます。これには、CloudFormation による直接的な変更の防止が含まれます。関連するすべてのリソースを含め、この CloudFormation テンプレートを適切にデプロイまたは削除するには、CfCT を使用する必要があります。
CfCT は CloudFormation テンプレートの削除に失敗します。	マニフェストファイルで必要な変更を行い、テンプレートファイルを削除した後も CloudFormation テンプレートが存続する場合は、マニフェストファイルに `enable_stack_set_deletion`パラメータが含まれ、値がに設定されていることを確認します`false`。詳細については、CfCT ドキュメントの「スタックセットの削除」を参照してください。

CloudFormation スタックセットの作成または削除は失敗します。

AWS Control Tower がデプロイされると、必要なガードレールが適用され、 AWS Config アグリゲータとルールの制御が引き受けられます。これには、CloudFormation による直接的な変更の防止が含まれます。関連するすべてのリソースを含め、この CloudFormation テンプレートを適切にデプロイまたは削除するには、CfCT を使用する必要があります。

CfCT は CloudFormation テンプレートの削除に失敗します。

マニフェストファイルで必要な変更を行い、テンプレートファイルを削除した後も CloudFormation テンプレートが存続する場合は、マニフェストファイルに enable_stack_set_deletionパラメータが含まれ、値がに設定されていることを確認しますfalse。詳細については、CfCT ドキュメントの「スタックセットの削除」を参照してください。