Auto Scaling の Security Hub コントロール

これらの Security Hub コントロールは、Amazon EC2 Auto Scaling サービスとリソースを評価します。

これらのコントロールは、すべてので利用できるとは限りません。 AWS リージョン。詳細については、「」を参照してくださいリージョン別のコントロールの可用性。

〔AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループはELBヘルスチェックを使用する必要があります

関連する要件： PCI DSS v3.2.1/2.2 NIST.800-53.r5 CA-7、NIST.800-53.r5 CP-2(2)、NIST.800-53.r5 SI-2

カテゴリ: 識別 > インベントリ

重要度: 低

リソースタイプ : AWS::AutoScaling::AutoScalingGroup

AWS Config ルール： autoscaling-group-elb-healthcheck-required

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、ロードバランサーに関連付けられている Amazon EC2 Auto Scaling グループが Elastic Load Balancing (ELB) ヘルスチェックを使用しているかどうかをチェックします。Auto Scaling グループがELBヘルスチェックを使用しない場合、コントロールは失敗します。

ELB ヘルスチェックは、Auto Scaling グループがロードバランサーによって提供される追加のテストに基づいてインスタンスのヘルスを判断できるようにするのに役立ちます。Elastic Load Balancing ヘルスチェックを使用すると、EC2Auto Scaling グループを使用するアプリケーションの可用性もサポートされます。

修正

Elastic Load Balancing ヘルスチェックを追加するには、「Amazon Auto Scaling ユーザーガイドElastic Load Balancing ヘルスチェックの追加」を参照してください。 EC2 Auto Scaling

〔AutoScaling.2] Amazon EC2 Auto Scaling グループは複数のアベイラビリティーゾーンをカバーする必要があります

関連する要件： NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

カテゴリ: リカバリ > 耐障害性 > 高可用性

重要度: 中

リソースタイプ : AWS::AutoScaling::AutoScalingGroup

AWS Config ルール： autoscaling-multiple-az

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ	説明	[Type] (タイプ)	許可されているカスタム値	Security Hub のデフォルト値
`minAvailabilityZones`	アベイラビリティーゾーンの最小数	列挙型	`2, 3, 4, 5, 6`	`2`

このコントロールは、Amazon EC2 Auto Scaling グループが少なくとも指定された数のアベイラビリティーゾーン () にまたがっているかどうかをチェックしますAZs。Auto Scaling グループが少なくとも指定された数のにまたがっていない場合、コントロールは失敗しますAZs。の最小数にカスタムパラメータ値を指定しない限りAZs、Security Hub はデフォルト値の 2 つのを使用しますAZs。

複数のにまたがらない Auto Scaling グループはAZs、設定された単一の AZ が使用できなくなった場合に補うために、別の AZ でインスタンスを起動できません。ただし、バッチジョブや AZ 内の転送コストを最小限に抑える必要がある場合など、一部のユースケースでは、単一のアベイラビリティーゾーンを持つ Auto Scaling グループが推奨されることがあります。このような場合は、このコントロールを無効にしたり、検出結果を抑制したりすることができます。

修正

既存の Auto Scaling グループAZsに追加するには、Amazon Auto Scaling ユーザーガイドの「アベイラビリティーゾーンの追加と削除」を参照してください。 EC2 Auto Scaling

〔AutoScaling.3] Auto Scaling グループの起動設定では、EC2インスタンスメタデータサービスバージョン 2 (IMDSv2) を要求するようにインスタンスを設定する必要があります

関連する要件： NIST.800-53.r5 AC-3， NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-6， NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2

カテゴリ: 保護 > セキュアなネットワーク設定

重要度: 高

リソースタイプ : AWS::AutoScaling::LaunchConfiguration

AWS Config ルール： autoscaling-launchconfig-requires-imdsv2

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールIMDSv2は、Amazon EC2 Auto Scaling グループによって起動されるすべてのインスタンスでが有効になっているかどうかをチェックします。インスタンスメタデータサービス (IMDS) バージョンが起動設定に含まれていない場合、または IMDSv1またはを許可する設定であるとして設定されている場合token optional、コントロールは失敗しますIMDSv2。

IMDS は、実行中のインスタンスを設定または管理するために使用できるインスタンスに関するデータを提供します。

のバージョン 2 では、EC2インスタンスをさらに保護IMDSv1するためにでは使用できなかった新しい保護IMDSが追加されました。

修正

Auto Scaling グループは、一度に 1 つの起動設定に関連付けられます。起動設定は、作成後に変更することはできません。Auto Scaling グループの起動設定を変更するには、既存の起動設定を IMDSv2が有効になっている新しい起動設定の基礎として使用します。詳細については、「Amazon ユーザーガイド」の「新しいインスタンスのインスタンスメタデータオプションを設定する」を参照してください。 EC2

〔AutoScaling.4] Auto Scaling グループの起動設定では、メタデータレスポンスホップ制限を 1 より大きくすることはできません

重要

Security Hub は 2024 年 4 月にこのコントロールを廃止しました。詳細については、「Security Hub コントロールの変更ログ」を参照してください。

関連する要件： NIST.800-53.r5 CA-9 (1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

カテゴリ: 保護 > セキュアなネットワーク設定

重要度: 高

リソースタイプ : AWS::AutoScaling::LaunchConfiguration

AWS Config ルール： autoscaling-launch-config-hop-limit

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

これにより、メタデータトークンが移動できる、ネットワークホップの数をチェックします。メタデータの応答ホップ制限が 1 を越えるとコントロールは失敗します。

インスタンスメタデータサービス (IMDS) は、Amazon EC2インスタンスに関するメタデータ情報を提供し、アプリケーション設定に役立ちます。メタデータサービスのHTTPPUTレスポンスをEC2インスタンスのみに制限すると、が不正使用IMDSから保護されます。

IP パケットの Time to Live (TTL) フィールドは、ホップごとに 1 つ削減されます。この削減は、パケットがの外に移動しないようにするために使用できますEC2。IMDSv2 は、オープンルーター、レイヤー 3 ファイアウォール、、VPNsトンネル、またはNATデバイスとして誤って設定されている可能性のあるEC2インスタンスを保護し、権限のないユーザーがメタデータを取得できないようにします。ではIMDSv2、デフォルトのメタデータPUTレスポンスホップ制限がに設定されているため、シークレットトークンを含むレスポンスはインスタンスの外に移動できません1。ただし、この値がより大きい場合1、トークンはEC2インスタンスを離れることができます。

修正

既存の起動設定のメタデータレスポンスホップ制限を変更するには、「Amazon EC2 ユーザーガイド」の「既存のインスタンスのインスタンスメタデータオプションの変更」を参照してください。

[Autoscaling.5] Auto Scaling グループの起動設定を使用して起動される Amazon EC2インスタンスには、パブリック IP アドレスを指定しないでください

関連する要件： NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16) NIST.800-53.r5 SC-7、(20) NIST.800-53.r5 SC-7、(21) NIST.800-53.r5 SC-7、(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(9)

カテゴリ: 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

重要度: 高

リソースタイプ : AWS::AutoScaling::LaunchConfiguration

AWS Config ルール： autoscaling-launch-config-public-ip-disabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Auto Scaling グループに関連付けられた起動設定が、グループのインスタンスにパブリック IP アドレスを割り当てるかどうかをチェックします。関連付けられた起動設定が、パブリック IP アドレスを割り当てている場合に、このコントロールは失敗します。

Auto Scaling グループ起動設定の Amazon EC2インスタンスには、エッジケースが限られている場合を除き、パブリック IP アドレスを関連付けないでください。Amazon EC2インスタンスは、インターネットに直接公開されるのではなく、ロードバランサーの背後からのみアクセスできるようにする必要があります。

修正

Auto Scaling グループは、一度に 1 つの起動設定に関連付けられます。起動設定は、作成後に変更することはできません。Auto Scaling グループの起動設定を変更するには、新しい起動設定のベースとして既存の起動設定を使用します。次に、Auto Scaling グループを新しい起動設定を使用するように更新します。 step-by-step 手順については、「Amazon Auto Scaling ユーザーガイド」の「Auto Scaling グループの起動設定を変更する」を参照してください。 EC2 Auto Scaling 新しい起動設定を作成する際、[追加設定] にある [高度な詳細] の [IP アドレスタイプ] で、[どのインスタンスにもパブリック IP アドレスを割り当てない] を選択します。

起動設定を変更すると、Auto Scaling は、新しいインスタンスを新しい設定オプションで起動します。既存のインスタンスは影響を受けません。既存のインスタンスを更新するには、インスタンスの更新を行うか、終了ポリシーに基づいて自動スケーリングで古いインスタンスを新しいインスタンスに徐々に置き換えるようにすることをお勧めします。Auto Scaling インスタンスの更新の詳細については、「Amazon Auto Scaling ユーザーガイド」の「Auto Scaling インスタンスの更新」を参照してください。 EC2 Auto Scaling

〔AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります

関連する要件： NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

カテゴリ: リカバリ > 耐障害性 > 高可用性

重要度: 中

リソースタイプ : AWS::AutoScaling::AutoScalingGroup

AWS Config ルール： autoscaling-multiple-instance-types

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon EC2 Auto Scaling グループが複数のインスタンスタイプを使用しているかどうかをチェックします。Auto Scaling グループで 1 つのインスタンスタイプしか定義されていない場合、そのコントロールは失敗します。

複数のアベイラビリティーゾーンで実行されている複数のインスタンスタイプ間でアプリケーションをデプロイすることで、可用性を向上させることができます。Security Hub では、選択したアベイラビリティーゾーンに十分なインスタンス容量がない場合に Auto Scaling グループが別のインスタンスタイプを起動できるよう、複数のインスタンスタイプを使用することが推奨されます。

修正

複数のインスタンスタイプを持つ Auto Scaling グループを作成するには、「Amazon Auto Scaling ユーザーガイド」の「複数のインスタンスタイプと購入オプションを持つ Auto Scaling グループ」を参照してください。 EC2 Auto Scaling

〔AutoScaling.9] Amazon EC2 Auto Scaling グループは Amazon EC2起動テンプレートを使用する必要があります

関連する要件： NIST.800-53.r5 CA-9 (1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

カテゴリ: 識別 > リソース設定

重要度: 中

リソースタイプ : AWS::AutoScaling::AutoScalingGroup

AWS Config ルール： autoscaling-launch-template

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon EC2 Auto Scaling グループがEC2起動テンプレートから作成されているかどうかをチェックします。Amazon EC2 Auto Scaling グループが起動テンプレートで作成されていない場合、または混合インスタンスポリシーで起動テンプレートが指定されていない場合、このコントロールは失敗します。

EC2 Auto Scaling グループは、EC2起動テンプレートまたは起動設定から作成できます。ただし、起動テンプレートを使用して Auto Scaling グループを作成することで、最新の機能や改善点に確実にアクセスできます。

修正

EC2 起動テンプレートを使用して Auto Scaling グループを作成するには、「Amazon Auto Scaling ユーザーガイド」の「起動テンプレートを使用して Auto Scaling グループを作成する」を参照してください。 EC2 Auto Scaling 起動設定を起動テンプレートに置き換える方法については、「Amazon ユーザーガイド」の「起動設定を起動テンプレートに置き換える」を参照してください。 EC2

〔AutoScaling.10] EC2 Auto Scaling グループにタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ : AWS::AutoScaling::AutoScalingGroup

AWS Config ルール： tagged-autoscaling-autoscalinggroup (カスタム Security Hub ルール）

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ	説明	[Type] (タイプ)	許可されているカスタム値	Security Hub のデフォルト値
`requiredTagKeys`	評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。	StringList	を満たすタグのリスト AWS の要件	デフォルト値なし

このコントロールは、Amazon EC2 Auto Scaling グループにパラメータで定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。Auto Scaling グループにタグキーがない場合、またはパラメータで指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、Auto Scaling グループにキーがタグ付けされていない場合は失敗します。自動的に適用され、で始まるシステムタグaws:は無視されます。

タグは、に割り当てるラベルです。 AWS リソースは、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。IAM エンティティ (ユーザーまたはロール) とにタグをアタッチできます。 AWS リソースの使用料金を見積もることができます。IAM プリンシパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「とはABAC」を参照してください。 AWSユーザーガイドの「」。 IAM

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには多くのがアクセスできます AWS のサービスを含む AWS Billing。タグ付けのベストプラクティスの詳細については、「のタグ付け」を参照してください。 AWS のリソース AWS 全般のリファレンス.

修正

Auto Scaling グループにタグを追加するには、「Amazon Auto Scaling ユーザーガイド」の「Auto Scaling グループとインスタンスのタグ付け」を参照してください。 EC2 Auto Scaling

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Amazon EC2コントロール

Amazon ECRコントロール