翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
の Security Hub コントロール CloudFront
これらの Security Hub コントロールは、Amazon CloudFront サービスとリソースを評価します。
これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
関連する要件: NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7(16)PCIDSS、v4.0.1/2.2.6
カテゴリ: 保護 > セキュアなアクセス管理 > パブリックアクセスが不可能なリソース
重要度: 高
リソースタイプ : AWS::CloudFront::Distribution
AWS Config ルール : cloudfront-default-root-object-configured
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon CloudFront ディストリビューションがデフォルトのルートオブジェクトである特定のオブジェクトを返すように設定されているかどうかを確認します。 CloudFront ディストリビューションにデフォルトのルートオブジェクトが設定されていない場合、コントロールは失敗します。
ユーザーは、ディストリビューション内のオブジェクトURLの代わりにディストリビューションのルートをリクエストすることがあります。この場合、デフォルトのルートオブジェクトを指定することで、ウェブディストリビューションのコンテンツの漏洩を防止できます。
修正
CloudFront ディストリビューションのデフォルトのルートオブジェクトを設定するには、「Amazon CloudFront デベロッパーガイド」の「デフォルトのルートオブジェクトを指定する方法」を参照してください。
〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です
関連する要件: NIST.800-53.r5 AC-1 7(2) NIST.800-53.r5 AC-4、 NIST.800-53.r5 IA-5(1)、 NIST.800-53.r5 SC-12(3)、 NIST.800-53.r5 SC-13、 NIST.800-53.r5 SC-23、 NIST.800-53.r5 SC-23(3)、 NIST.800-53.r5 SC-7(4) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8(1)、 NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)、PCIDSSv4.0.1/4.2.1
カテゴリ: 保護 > データ保護 > の暗号化 data-in-transit
重要度: 中
リソースタイプ : AWS::CloudFront::Distribution
AWS Config ルール : cloudfront-viewer-policy-https
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon CloudFront ディストリビューションでビューワーがHTTPS直接 を使用する必要があるかどうか、またはリダイレクトを使用するかどうかをチェックします。ViewerProtocolPolicy
が defaultCacheBehavior
または cacheBehaviors
の allow-all
に設定されている場合、コントロールは失敗します。
HTTPS (TLS) を使用すると、潜在的な攻撃者が や同様の攻撃を使用して person-in-the-middleネットワークトラフィックを傍受または操作するのを防ぐことができます。HTTPS (TLS) 経由の暗号化された接続のみを許可する必要があります。転送中のデータの暗号化は、パフォーマンスに影響する可能性があります。パフォーマンスプロファイルと の影響を理解するには、この機能を使用してアプリケーションをテストする必要がありますTLS。
修正
転送中の CloudFront ディストリビューションを暗号化するには、「Amazon デベロッパーガイドHTTPS」の「ビューワーと 間の通信を必須にする CloudFront」を参照してください。 CloudFront
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
関連する要件: NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)
カテゴリ: リカバリ > 耐障害性 > 高可用性
重要度: 低
リソースタイプ : AWS::CloudFront::Distribution
AWS Config ルール : cloudfront-origin-failover-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon CloudFront ディストリビューションに 2 つ以上のオリジンを持つオリジングループが設定されているかどうかを確認します。
CloudFront オリジンフェイルオーバーは可用性を高めることができます。オリジンフェイルオーバーは、プライマリオリジンが使用できない場合、または特定のHTTPレスポンスステータスコードを返す場合、トラフィックをセカンダリオリジンに自動的にリダイレクトします。
修正
CloudFront ディストリビューションのオリジンフェイルオーバーを設定するには、「Amazon CloudFront デベロッパーガイド」の「オリジングループの作成」を参照してください。
〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります
関連する要件: NIST.800-53.r5 AC-2 (4) NIST.800-53.r5 AC-4、(26)、 NIST.800-53.r5 AC-6(9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)、PCIDSSv4.0.1/10.4.2
カテゴリ: 識別 > ログ記録
重要度: 中
リソースタイプ : AWS::CloudFront::Distribution
AWS Config ルール : cloudfront-accesslogs-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、 CloudFront ディストリビューションでサーバーアクセスのログ記録が有効になっているかどうかをチェックします。ディストリビューションでアクセスのログ記録が有効でない場合、コントロールは失敗します。このコントロールは、ディストリビューションに対して標準ログ記録 (レガシー) が有効になっているかどうかのみを評価します。
CloudFront アクセスログは、 が CloudFront 受け取るすべてのユーザーリクエストに関する詳細情報を提供します。各ログには、リクエストが受信された日時、リクエストを行ったビューワーの IP アドレス、リクエストソース、ビューワーからのリクエストポート番号などの情報が含まれます。これらのログは、セキュリティ監査やアクセス監査、証拠調査などのアプリケーションに役立ちます。アクセスログの分析の詳細については、「Amazon Athena ユーザーガイド」の「Amazon CloudFront ログのクエリ」を参照してください。 Amazon Athena
修正
CloudFront ディストリビューションの標準ログ記録 (レガシー) を設定するには、「Amazon CloudFront デベロッパーガイド」の「標準ログ記録 (レガシー) の設定」を参照してください。
〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります
関連する要件: NIST.800-53.r5 AC-4 (21)PCIDSS、v4.0.1/6.4.2
カテゴリ: 保護 > 保護サービス
重要度: 中
リソースタイプ : AWS::CloudFront::Distribution
AWS Config ルール : cloudfront-associated-with-waf
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、 CloudFront ディストリビューションが AWS WAF Classic または AWS WAF ウェブ に関連付けられているかどうかをチェックしますACLs。ディストリビューションがウェブ に関連付けられていない場合、コントロールは失敗しますACL。
AWS WAF は、ウェブアプリケーションと を攻撃APIsから保護するのに役立つウェブアプリケーションファイアウォールです。これにより、定義したカスタマイズ可能なウェブセキュリティルールと条件に基づいてウェブリクエストを許可、ブロック、またはカウントする、ウェブアクセスコントロールリスト (ウェブ ACL) と呼ばれる一連のルールを設定できます。悪意のある攻撃から保護ACLするために、 CloudFront ディストリビューションが AWS WAF ウェブに関連付けられていることを確認します。
修正
AWS WAF ウェブをACL CloudFront ディストリビューションに関連付けるには、「Amazon CloudFront デベロッパーガイド」の「 AWS WAF を使用してコンテンツへのアクセスを制御する」を参照してください。
〔CloudFront.7] CloudFront ディストリビューションではカスタム SSL/TLS 証明書を使用する必要があります
関連する要件: NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4、 NIST.800-53.r5 IA-5(1)、 NIST.800-53.r5 SC-12 (3)、 NIST.800-53.r5 SC-13、 NIST.800-53.r5 SC-23、 NIST.800-53.r5 SC-23 (3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-8(1) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7 (6)
カテゴリ: 保護 > データ保護 > の暗号化 data-in-transit
重要度: 中
リソースタイプ : AWS::CloudFront::Distribution
AWS Config ルール : cloudfront-custom-ssl-certificate
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、 CloudFront ディストリビューションがデフォルトのSSL/TLS certificate CloudFront provides. This control passes if the CloudFront distribution uses a custom SSL/TLS certificate. This control fails if the CloudFront distribution uses the default SSL/TLS証明書を使用しているかどうかをチェックします。
カスタム SSL/TLS 代替ドメイン名を使用してコンテンツへのアクセスをユーザーに許可します。カスタム証明書は、 AWS Certificate Manager (推奨)、または に保存できますIAM。
修正
カスタム SSL/TLS 証明書を使用して CloudFront ディストリビューションの代替ドメイン名を追加するには、「Amazon CloudFront デベロッパーガイド」の「代替ドメイン名の追加」を参照してください。
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
関連する要件: NIST.800-53.r5 CA-9 (1)、NIST.800-53.r5 CM-2
カテゴリ: 保護 > セキュアなネットワーク設定
重要度: 低
リソースタイプ : AWS::CloudFront::Distribution
AWS Config ルール : cloudfront-sni-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon CloudFront ディストリビューションがカスタムSSL/TLS certificate and are configured to use SNI to serve HTTPS requests. This control fails if a custom SSL/TLS certificate is associated but the SSL/TLSサポート方法を使用しているかどうかをチェックします。
Server Name Indication (SNI) は、2010 年以降にリリースされたブラウザとクライアントでサポートされているTLSプロトコルの拡張機能です。を使用してHTTPSリクエストを処理する CloudFront ように を設定するとSNI、 は代替ドメイン名を各エッジロケーションの IP アドレスに CloudFront 関連付けます。ビューワーがコンテンツに対するHTTPSリクエストを送信すると、 はリクエストを IP アドレスにDNSルーティングして、正しいエッジロケーションを見つけます。ドメイン名の IP アドレスは、SSL/TLS ハンドシェイクネゴシエーション中に決定されます。IP アドレスはディストリビューション専用ではありません。
修正
HTTPS リクエストの処理SNIに使用するディス CloudFront トリビューションを設定するには、「 CloudFront デベロッパーガイド」の「 SNIを使用したHTTPSリクエストの処理 (ほとんどのクライアントで動作)」を参照してください。カスタムSSL証明書の詳細については、「 で SSL/TLS 証明書を使用するための要件 CloudFront」を参照してください。
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
関連する要件: NIST.800-53.r5 AC-1 7(2) NIST.800-53.r5 AC-4、 NIST.800-53.r5 IA-5(1)、 NIST.800-53.r5 SC-12(3)、 NIST.800-53.r5 SC-13、 NIST.800-53.r5 SC-23、 NIST.800-53.r5 SC-23(3)、 NIST.800-53.r5 SC-7(4) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8(1)、 NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)、PCIDSSv4.0.1/4.2.1
カテゴリ: 保護 > データ保護 > の暗号化 data-in-transit
重要度: 中
リソースタイプ : AWS::CloudFront::Distribution
AWS Config ルール : cloudfront-traffic-to-origin-encrypted
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon CloudFront ディストリビューションがカスタムオリジンへのトラフィックを暗号化しているかどうかをチェックします。このコントロールは、オリジンプロトコルポリシーが「http-only」を許可する CloudFront ディストリビューションでは失敗します。ディストリビューションのオリジンプロトコルポリシーが「match-viewer」で、ビューワープロトコルポリシーが「allow-all」である場合にも、このコントロールは失敗します。
HTTPS (TLS) を使用すると、ネットワークトラフィックの傍受や操作を防ぐことができます。HTTPS (TLS) 経由の暗号化された接続のみを許可する必要があります。
修正
オリジンプロトコルポリシーを更新して CloudFront 接続の暗号化を要求するには、「Amazon CloudFront デベロッパーガイド」の「 CloudFront とカスタムオリジン間の通信を必須にするHTTPS」を参照してください。
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で廃止されたSSLプロトコルを使用しないでください
関連する要件: NIST.800-53.r5 AC-1 7(2) NIST.800-53.r5 AC-4、 NIST.800-53.r5 IA-5(1)、 NIST.800-53.r5 SC-12(3)、 NIST.800-53.r5 SC-13、 NIST.800-53.r5 SC-23、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-8(1) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)、PCIDSSv4.0.1/4.2.1
カテゴリ: 保護 > データ保護 > の暗号化 data-in-transit
重要度: 中
リソースタイプ : AWS::CloudFront::Distribution
AWS Config ルール : cloudfront-no-deprecated-ssl-protocols
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon CloudFront ディストリビューションが CloudFront エッジロケーションとカスタムオリジン間のHTTPS通信に廃止されたSSLプロトコルを使用しているかどうかを確認します。 CloudFront ディストリビューションに があり、 CustomOriginConfig
に OriginSslProtocols
が含まれている場合、このコントロールは失敗しますSSLv3
。
2015 年、Internet Engineering Task Force (IETF) は、プロトコルの安全性が不十分であるために SSL 3.0 を廃止する必要があることを正式に発表しました。カスタムオリジンとのHTTPS通信には TLSv1.2 以降を使用することをお勧めします。
修正
CloudFront ディストリビューションのオリジンSSLプロトコルを更新するには、「Amazon CloudFront デベロッパーガイド」の「 CloudFront とカスタムオリジン間の通信を必須にするHTTPS」を参照してください。
〔CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンを指してはいけません
関連する要件: NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、PCIDSSv4.0.1/2.2.6
カテゴリ: 識別 > リソース設定
重要度: 高
リソースタイプ : AWS::CloudFront::Distribution
AWS Config ルール : cloudfront-s3-origin-non-existent-bucket
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、Amazon CloudFront ディストリビューションが存在しない Amazon S3 オリジンを指しているかどうかをチェックします。オリジンが存在しないバケットを指すように設定されている場合、ディス CloudFront トリビューションのコントロールは失敗します。このコントロールは、静的ウェブサイトホスティングのない S3 バケットが S3 オリジンである CloudFront ディストリビューションにのみ適用されます。
アカウント内の CloudFront ディストリビューションが存在しないバケットを指すように設定されている場合、悪意のあるサードパーティーが参照先のバケットを作成し、ディストリビューションを通じて独自のコンテンツを提供できます。ルーティング動作に関係なくすべてのオリジンをチェックして、ディストリビューションが適切なオリジンをポイントしていることを確認することをお勧めします。
修正
新しいオリジンを指すように CloudFront ディストリビューションを変更するには、「Amazon デベロッパーガイド」の「ディストリビューションの更新」を参照してください。 CloudFront
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
カテゴリ: 保護 > セキュアなアクセス管理 > パブリックアクセスが不可能なリソース
重要度: 中
リソースタイプ : AWS::CloudFront::Distribution
AWS Config ルール : cloudfront-s3-origin-access-control-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon S3 オリジンを持つ Amazon CloudFront ディストリビューションにオリジンアクセスコントロール (OAC) が設定されているかどうかを確認します。が CloudFront ディストリビューション用に設定されていない場合OAC、コントロールは失敗します。
S3 バケットを CloudFront ディストリビューションのオリジンとして使用する場合は、 を有効にできますOAC。これにより、指定された CloudFront ディストリビューションを介してのみバケット内のコンテンツへのアクセスが許可され、バケットまたは別のディストリビューションからの直接アクセスが禁止されます。はオリジンアクセスアイデンティティ (OAI) CloudFront をサポートしていますが、 OACは追加の機能を提供し、 を使用するディストリビューションは に移行OAIできますOAC。OAI は S3 オリジンに安全にアクセスする方法を提供しますが、きめ細かなポリシー設定のサポートがないことや、 AWS 署名バージョン 4 (SigV4) AWS リージョン を必要とする で POSTメソッドを使用する HTTP/HTTPS リクエストには制限があります。 は による暗号化OAIもサポートしていません AWS Key Management Service。 OACは、IAMサービスプリンシパルを使用して S3 オリジンで認証するという AWS ベストプラクティスに基づいています。
修正
S3 オリジンを持つ CloudFront ディストリビューションOACに対して を設定するには、Amazon S3オリジンへのアクセスの制限」を参照してください。 CloudFront
〔CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::CloudFront::Distribution
AWS Config ルール:tagged-cloudfront-distribution
(カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト | デフォルト値なし |
このコントロールは、Amazon CloudFront ディストリビューションにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys
。ディストリビューションにタグキーがない場合、またはパラメータ requiredTagKeys
で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys
が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ディストリビューションにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws:
で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) と AWS リソースにアタッチできます。プリンシIAMパルに対して 1 つのABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーは、プリンシパルの タグがリソースタグと一致するときにオペレーションを許可するように設計できます。詳細については、「 IAMユーザーガイドABAC」の「 とは AWS」を参照してください。
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
CloudFront ディストリビューションにタグを追加するには、「Amazon デベロッパーガイド」の「Amazon CloudFront ディストリビューションのタグ付け」を参照してください。 CloudFront