Amazon EC2 Auto Scaling コントロール - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EC2 Auto Scaling コントロール

これらのコントロールは Amazon EC2 Auto Scaling リソースに関連しています。

これらのコントロールは、すべての で利用できるとは限りません AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

〔AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループは ELB ヘルスチェックを使用する必要があります

関連する要件: PCI DSS v3.2.1/2.2、NIST.800-53.r5 CA-7、NIST.800-53.r5 CP-2(2)、NIST.800-53.r5 SI-2

カテゴリ: 識別 > インベントリ

重要度:

リソースタイプ: AWS::AutoScaling::AutoScalingGroup

AWS Config ルール : autoscaling-group-elb-healthcheck-required

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、ロードバランサーに関連付けられている Amazon EC2 Auto Scaling グループが Elastic Load Balancing (ELB) ヘルスチェックを使用しているかどうかをチェックします。Auto Scaling グループが ELB ヘルスチェックを使用しない場合、コントロールは失敗します。

ELB ヘルスチェックは、Auto Scaling グループがロードバランサーによって提供される追加のテストに基づいてインスタンスのヘルスを判断できるようにするのに役立ちます。Elastic Load Balancing ヘルスチェックを使用すると、EC2 Auto Scaling グループを使用するアプリケーションの可用性もサポートできます。

修正

Elastic Load Balancing ヘルスチェックを追加するには、「Amazon EC2 Auto Scaling ユーザーガイド」の「Elastic Load Balancing のヘルスチェックを追加する」を参照してください。

〔AutoScaling.2] Amazon EC2 Auto Scaling グループは複数のアベイラビリティーゾーンをカバーする必要があります

関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-2(2)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

カテゴリ: リカバリ > 耐障害性 > 高可用性

重要度:

リソースタイプ: AWS::AutoScaling::AutoScalingGroup

AWS Config ルール : autoscaling-multiple-az

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値

minAvailabilityZones

アベイラビリティーゾーンの最小数

列挙型

2, 3, 4, 5, 6

2

このコントロールは、Amazon EC2 Auto Scaling グループが少なくとも指定された数のアベイラビリティーゾーン (AZ) にまたがっているかどうかをチェックします。Auto Scaling グループが少なくとも指定された数の AZ にまたがっていない場合、コントロールは失敗します。AZ の最小数に対してカスタムパラメータ値を指定しない限り、Security Hub はデフォルト値の 2 つの AZ を使用します。

複数の AZ にまたがらない Auto Scaling グループは、設定された単一の AZ が使用できなくなった場合、埋め合わせとなる別の AZ ではインスタンスを起動できません。ただし、バッチジョブや AZ 内の転送コストを最小限に抑える必要がある場合など、一部のユースケースでは、単一のアベイラビリティーゾーンを持つ Auto Scaling グループが推奨されることがあります。このような場合は、このコントロールを無効にしたり、検出結果を抑制したりすることができます。

修正

既存の Auto Scaling グループに AZ を追加するには、「Amazon EC2 Auto Scaling ユーザーガイド」の「アベイラビリティーゾーンを追加および削除する」を参照してください。

〔AutoScaling.3] Auto Scaling グループの起動設定では、インスタンスメタデータサービスバージョン 2 (IMDSv2) を要求するように EC2 インスタンスを設定する必要がありますIMDSv2

関連する要件: NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

カテゴリ: 保護 > セキュアなネットワーク設定

重要度:

リソースタイプ: AWS::AutoScaling::LaunchConfiguration

AWS Config ルール : autoscaling-launchconfig-requires-imdsv2

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Amazon EC2 Auto Scaling グループが起動するすべてのインスタンスで IMDSv2 が有効になっているかどうかをチェックします。インスタンスメタデータサービス (IMDS) のバージョンが起動設定に含まれていない場合、または IMDSv1 と IMDSv2 の両方が有効になっている場合、コントロールは失敗します。

IMDS は、インスタンスに関するデータで、実行中のインスタンスを設定または管理するために使用します。

IMDS のバージョン 2 では、EC2 インスタンスの保護を強化するために、IMDSv1 では利用できなかった新しい保護が追加されています。

修正

Auto Scaling グループは、一度に 1 つの起動設定に関連付けられます。起動設定は、作成後に変更することはできません。Auto Scaling グループの起動設定を変更するには、新しい起動設定のベースとして、既存の起動設定を IMDSv2 を有効にした上で使用します。詳細については、「Amazon EC2 ユーザーガイド」の「新しいインスタンスのインスタンスメタデータオプションを設定する」を参照してください。 Amazon EC2

〔AutoScaling.4] Auto Scaling グループの起動設定には、メタデータレスポンスホップ制限が 1 より大きくないようにしてください

重要

Security Hub は 2024 年 4 月にこのコントロールを廃止しました。詳細については、「Security Hub コントロールの変更ログ」を参照してください。

関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

カテゴリ: 保護 > セキュアなネットワーク設定

重要度:

リソースタイプ: AWS::AutoScaling::LaunchConfiguration

AWS Config ルール : autoscaling-launch-config-hop-limit

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

これにより、メタデータトークンが移動できる、ネットワークホップの数をチェックします。メタデータの応答ホップ制限が 1 を越えるとコントロールは失敗します。

Instance Metadata Service (IMDS) は、Amazon EC2 インスタンスに関するメタデータ情報を提供するものであり、アプリケーションの設定に役立ちます。メタデータサービスの HTTP PUT 応答を EC2 インスタンスのみに制限することで、IMDS を不正使用から保護します。

IP パケットの Time To Live (TTL) フィールドは、ホップごとに 1 ずつ削減されます。この削減により、パケットを EC2 外に移動させないようにすることができます。IMDSv2 は、オープンルーター、レイヤー 3 ファイアウォール、VPN、トンネル、または NAT デバイスとして誤って構成された可能性のある EC2 インスタンスを保護し、権限のないユーザーがメタデータを取得できないようにします。IMDSv2 では、デフォルトのメタデータ応答ホップ制限が 1 に設定されているため、シークレットトークンを含む PUT 応答は、インスタンスの外に移動することができません。ただし、この値が 1 より大きい場合、トークンは EC2 インスタンスから移動することができます。

修正

既存の起動設定のメタデータレスポンスホップ制限を変更するには、「Amazon EC2 ユーザーガイド」の「既存のインスタンスのインスタンスメタデータオプションの変更」を参照してください。 Amazon EC2

[Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません

関連する要件: NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)

カテゴリ: 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

重要度:

リソースタイプ: AWS::AutoScaling::LaunchConfiguration

AWS Config ルール : autoscaling-launch-config-public-ip-disabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Auto Scaling グループに関連付けられた起動設定が、グループのインスタンスにパブリック IP アドレスを割り当てるかどうかをチェックします。関連付けられた起動設定が、パブリック IP アドレスを割り当てている場合に、このコントロールは失敗します。

Auto Scaling グループの起動設定の Amazon EC2 インスタンスには、限定されたエッジケースを除き、パブリック IP アドレスを関連付けないでください。Amazon EC2 インスタンスは、インターネットに直接公開されるのではなく、ロードバランサーを介した場合のみアクセスできるようにする必要があります。

修正

Auto Scaling グループは、一度に 1 つの起動設定に関連付けられます。起動設定は、作成後に変更することはできません。Auto Scaling グループの起動設定を変更するには、新しい起動設定のベースとして既存の起動設定を使用します。次に、Auto Scaling グループを新しい起動設定を使用するように更新します。 step-by-step 手順については、「Amazon EC2 Auto Scaling ユーザーガイド」の「Auto Scaling グループの起動設定を変更する」を参照してください。 Amazon EC2 Auto Scaling 新しい起動設定を作成する際、[追加設定] にある [高度な詳細] の [IP アドレスタイプ] で、[どのインスタンスにもパブリック IP アドレスを割り当てない] を選択します。

起動設定を変更すると、Auto Scaling は、新しいインスタンスを新しい設定オプションで起動します。既存のインスタンスは影響を受けません。既存のインスタンスを更新するには、インスタンスの更新を行うか、終了ポリシーに基づいて自動スケーリングで古いインスタンスを新しいインスタンスに徐々に置き換えるようにすることをお勧めします。Auto Scaling インスタンスの更新についての詳細は、「Amazon EC2 Auto Scaling ユーザーガイド」の「Auto Scaling インスタンスの更新」を参照してください。

〔AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります

関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-2(2)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

カテゴリ: リカバリ > 耐障害性 > 高可用性

重要度:

リソースタイプ: AWS::AutoScaling::AutoScalingGroup

AWS Config ルール : autoscaling-multiple-instance-types

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Amazon EC2 Auto Scaling グループが複数のインスタンスタイプを使用しているかどうかをチェックします。Auto Scaling グループで 1 つのインスタンスタイプしか定義されていない場合、そのコントロールは失敗します。

複数のアベイラビリティーゾーンで実行されている複数のインスタンスタイプ間でアプリケーションをデプロイすることで、可用性を向上させることができます。Security Hub では、選択したアベイラビリティーゾーンに十分なインスタンス容量がない場合に Auto Scaling グループが別のインスタンスタイプを起動できるよう、複数のインスタンスタイプを使用することが推奨されます。

修正

複数のインスタンスタイプで Auto Scaling グループを作成するには、「Amazon EC2 Auto Scaling ユーザーガイド」の「複数のインスタンスタイプと購入オプションを使用する Auto Scaling グループ」を参照してください。

〔AutoScaling.9] Amazon EC2 Auto Scaling グループは Amazon EC2 起動テンプレートを使用する必要があります

関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

カテゴリ: 識別 > リソース設定

重要度:

リソースタイプ: AWS::AutoScaling::AutoScalingGroup

AWS Config ルール : autoscaling-launch-template

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Amazon EC2 Auto Scaling グループが、EC2 起動テンプレートから作成されたものかどうかを確認します。Amazon EC2 Auto Scaling グループが起動テンプレートを使用して作成されていない場合、または混合インスタンスポリシーで起動テンプレートが指定されていない場合、このコントロールは失敗します。

EC2 Auto Scaling グループは、EC2 起動テンプレートまたは起動設定のいずれかから作成できます。ただし、起動テンプレートを使用して Auto Scaling グループを作成することで、最新の機能や改善点に確実にアクセスできます。

修正

EC2 起動テンプレートを使用して Auto Scaling グループを作成するには、「Amazon EC2 Auto Scalingユーザーガイド」の「起動テンプレートを使用して Auto Scaling グループを作成する」を参照してください。起動設定を起動テンプレートに置き換える方法については、「Amazon EC2 ユーザーガイド」の「起動設定を起動テンプレートに置き換える」を参照してください。 Amazon EC2

〔AutoScaling.10] EC2 Auto Scaling グループにタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ: AWS::AutoScaling::AutoScalingGroup

AWS Config ルール: tagged-autoscaling-autoscalinggroup (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト デフォルト値なし

このコントロールは、Amazon EC2 Auto Scaling グループにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。Auto Scaling グループにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、Auto Scaling グループにキーがタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。ABAC は、タグに基づいてアクセス許可を定義します。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一の ABAC ポリシーまたは個別のポリシーセットを作成できます。これらの ABAC ポリシーを設計して、プリンシパルの タグがリソースタグと一致するときにオペレーションを許可できます。詳細については、IAM ユーザーガイドの「 の ABAC とは AWS」を参照してください。

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

Auto Scaling グループにタグを追加するには、「Amazon EC2 Auto Scaling ユーザーガイド」の「Auto Scaling グループとインスタンスのタグ付け」を参照してください。 Amazon EC2 Auto Scaling