Amazon Elastic Compute Cloud コントロール - AWS Security Hub
[EC2.1] Amazon EBS スナップショットはパブリックに復元できないようにすることをお勧めします[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします[EC2.3] アタッチされた Amazon EBS ボリュームは、保管時に暗号化することをお勧めします[EC2.4] 停止した EC2 インスタンスは、指定した期間後に削除する必要があります[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします[EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします[EC2.9] Amazon EC2 インスタンスは、パブリック IPv4 アドレスを未設定にすることをお勧めします [EC2.10] Amazon EC2 サービス用に作成された VPC エンドポイントを使用するようにAmazon EC2 を設定することをお勧めします[EC2.12] 未使用の Amazon EC2 EIP を削除することをお勧めします[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります[EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります[EC2.15] Amazon EC2 サブネットは、パブリック IP アドレスを自動的に割り当てないことをお勧めします[EC2.16] 未使用のネットワークアクセスコントロールリストを削除することをお勧めします[EC2.17] Amazon EC2 インスタンスが複数の ENI を使用しないようにすることをお勧めします [EC2.18] セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可することをお勧めします[EC2.19] セキュリティグループは、リスクの高いポートへの無制限アクセスを許可してはいけません[EC2.20] AWS サイト間VPN接続の両方のVPNトンネルが稼働している必要があります [EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります[EC2.22] 未使用の Amazon EC2 セキュリティグループを削除することをお勧めします[EC2.23] Amazon EC2 Transit Gateway が VPC アタッチメントリクエストを自動的に受け付けないようにすることをお勧めします[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします[EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします [EC2.28] EBS ボリュームをバックアッププランの対象にすることをお勧めします[EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Elastic Compute Cloud コントロール

これらのコントロールは Amazon EC2 リソースに関連しています。

これらの統制は、一部では利用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[EC2.1] Amazon EBS スナップショットはパブリックに復元できないようにすることをお勧めします

関連する要件: PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/7.2.1、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)

カテゴリ: 保護 > セキュアなネットワーク設定

重要度: 非常事態

リソースタイプ: AWS::::Account

AWS Config ルール: ebs-snapshot-public-restorable-check

スケジュールタイプ: 定期的

パラメータ: なし

このコントロールは、Amazon Elastic Block Store スナップショットがパブリックではないかどうかをチェックします。Amazon EBS スナップショットを誰でも復元できる場合、コントロールは失敗します。

EBS スナップショットは、特定の時点の EBS ボリュームのデータを Amazon S3 にバックアップするために使用されます。スナップショットを使用して、EBS ボリュームを以前の状態に復元できます。スナップショットのパブリックへの共有は滅多に認められていません。一般的に、スナップショットを公開する決定は、誤って行われたか、影響を完全に理解せずに行われています。このチェックは、そのような共有がすべて完全に計画され、意図的であったことを確認するのに役立ちます。

パブリック EBS スナップショットをプライベートにするには、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「スナップショットの共有」を参照してください。[アクション、権限の変更] で、[非公開] を選択します。

[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします

関連要件:PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/2.1、CIS Foundations Benchmark v1.2.0/4.3、CIS AWS Foundations Benchmark v1.4.0/5.3、NIST.800-53.r5 AC-4 (21)、NIST.800-53.r5 SC-7、nist.800-53.r5 SC-7 (11)、nist.800-53.r5 SC-7 (16)、nist.800-53.r5 SC-7 (21)、nist.800-53.r5 SC-7 (4)、nist.800-53.r5 SC-7 (5) AWS

カテゴリ: 保護 > セキュアなネットワーク設定

重要度:

リソースタイプ: AWS::EC2::SecurityGroup

AWS Config ルール : vpc-default-security-group-closed

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、VPC のデフォルトのセキュリティグループがインバウンドとアウトバウンドのいずれかのトラフィックを許可しているかをチェックします。セキュリティグループがインバウンドまたはアウトバウンドのトラフィックを許可している場合、このコントロールは失敗します。

デフォルトのセキュリティグループのルールでは、同じセキュリティグループに割り当てられているネットワークインターフェイス (および関連するインスタンス) からのすべてのアウトバウンドトラフィックとインバウンドトラフィックを許可します。デフォルトのセキュリティグループを使用しないことをお勧めします。デフォルトのセキュリティグループは削除できないため、デフォルトのセキュリティグループルール設定を変更して、インバウンドトラフィックとアウトバウンドトラフィックを制限する必要があります。これにより、デフォルトのセキュリティグループが EC2 インスタンスなどのリソースに対して誤って設定されている場合に、意図しないトラフィックが防止されます。

修正

この問題を解決するには、まず新しい最小特権のセキュリティグループを作成することから始めます。手順については、「Amazon VPC ユーザーガイド」の「セキュリティグループの作成」を参照してください。次に、新しいセキュリティグループを EC2 インスタンスに割り当てます。手順については、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「インスタンスのセキュリティグループの変更」を参照してください。

新しいセキュリティグループをリソースに割り当てた後、デフォルトのセキュリティグループからすべてのインバウンドルールとアウトバウンドルールを削除します。手順については、「Amazon VPC ユーザーガイド」の「セキュリティグループのルールの削除」を参照してください。

[EC2.3] アタッチされた Amazon EBS ボリュームは、保管時に暗号化することをお勧めします

関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

カテゴリ: 保護 > データ保護 > 保管中のデータの暗号化

重要度:

リソースタイプ: AWS::EC2::Volume

AWS Config ルール : encrypted-volumes

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、添付済みの EBS ボリュームが暗号化されているかどうかをチェックします。このチェックに合格するには、EBS ボリュームが使用中であり、暗号化されている必要があります。EBS ボリュームが添付済みでない場合、このチェックは対象外です。

EBS ボリュームの機密データのセキュリティを強化するには、保管中の EBS 暗号化を有効にする必要があります。Amazon EBS 暗号化は、EBS リソースに対して、独自のキー管理インフラストラクチャの構築、保守、および保護を必要としない、簡単な暗号化ソリューションを提供します。暗号化されたボリュームとスナップショットを作成する際に、KMS キー を使用します。

Amazon EBS 暗号化の詳細については、「Amazon EC2 Linux インスタンス用ユーザーガイド」の「Amazon EBS 暗号化」を参照してください。

修正

暗号化されていない既存のボリュームまたはスナップショットを暗号化する直接的な方法はありません。新しいボリュームまたはスナップショットは、作成時にのみ暗号化できます。

暗号化をデフォルトで有効にした場合、Amazon EBS は Amazon EBS 暗号化のデフォルトキーを使用して、作成された新しいボリュームまたはスナップショットを暗号化します。デフォルトで暗号化を有効にしていない場合でも、個々のボリュームまたはスナップショットを作成するときに暗号化を有効にすることができます。どちらの場合も、Amazon EBS 暗号化のデフォルトキーを上書きし、対称カスタマーマネージドキーを選択できます。

詳細については、「Amazon EC2 Linux インスタンス用ユーザーガイド」の「Amazon EBS ボリュームの作成」および「Amazon EBS スナップショットのコピー」を参照してください。

[EC2.4] 停止した EC2 インスタンスは、指定した期間後に削除する必要があります

関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

カテゴリ: 識別 > インベントリ

重要度:

リソースタイプ: AWS::EC2::Instance

AWS Config ルール: ec2-stopped-instance

スケジュールタイプ: 定期的

パラメータ:

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値

AllowedDays

失敗の検出結果が生成される前に、EC2 インスタンスが停止状態になっても許容される日数。

整数

1365

30

このコントロールは、許可されている日数よりも長く停止している Amazon EC2 インスタンスがあるかどうかをチェックします。EC2 インスタンスが最大許容期間よりも長く停止すると、コントロールは失敗します。最大許容期間に対してカスタムパラメータ値を指定しない限り、Security Hub はデフォルト値の 30 日を使用します。

EC2 インスタンスが長期間実行されていないと、インスタンスがアクティブに保守 (分析、パッチ適用、更新) されていないため、セキュリティリスクが発生します。後で起動した場合、適切なメンテナンスを行わないと、 AWS 環境で予期しない問題が発生する可能性があります。EC2 インスタンスを非アクティブ状態で長期間安全に維持するには、メンテナンスのために定期的に起動し、メンテナンス後に停止します。これは自動化されたプロセスであるべきです。

修正

非アクティブの EC2 インスタンスを終了するには、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「インスタンスの終了」を参照してください。

[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします

関連要件:CIS AWS Foundations Benchmark v1.2.0/2.9、PCI DSS v3.2.1/10.3.3、PCI DSS v3.2.1/10.3.4、PCI DSS v3.2.1/10.3.5、PCI DSS v3.2.1/10.3.5、PCI DSS v3.2.1/10.3.6、CIS Foundations Benchmark v1.4.0/3.9、 AWS NIST.800-53.r5 AC-4 (26)、NIST.800-800-800 53.r5 AU-12、nist.800-53.r5 AU-2、nist.800-53.r5 AU-3、nist.800-53.r5 AU-6 (3)、nist.800-53.r5 AU-6 (4)、nist.800-53.r5 CA-7、nist.800-53.r5 SI-7 (8)

カテゴリ: 識別 > ログ記録

重要度:

リソースタイプ: AWS::EC2::VPC

AWS Config ルール: vpc-flow-logs-enabled

スケジュールタイプ: 定期的

パラメータ:

  • trafficType: REJECT (カスタマイズ不可)

このコントロールは、Amazon VPC フローログが見つかり、VPC に対して有効になっているかどうかをチェックします。トラフィックタイプは Reject に設定されています。

VPC フローログ機能を使用して、VPC のネットワークインターフェイスとの間で行き来する IP アドレストラフィックに関する情報をキャプチャします。フローログを作成したら、 CloudWatch ログでそのデータを表示および取得できます。コストを削減するために、フローログを Amazon S3 に送信することもできます。

Security Hub では、VPC のパケット拒否のフローログ記録を有効にすることを推奨します。フローログは、VPC を通過するネットワークトラフィックを可視化し、セキュリティワークフロー中の異常なトラフィックを検出したりインサイトを提供できます。

デフォルトでは、レコードには送信元、送信先、プロトコルなど、IP アドレスフローのさまざまなコンポーネントの値が含まれています。ログフィールドの詳細と説明については、「Amazon VPC ユーザーガイド」の「VPC フローログ」を参照してください。

修正

VPC フローログを作成するには、「Amazon VPC ユーザーガイド」の「VPC フローログを作成する」を参照してください。Amazon VPC コンソールを開いたら、[お客様の VPC] を選択します。[フィルター] で、[拒否] または [すべて] を選択します。

[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします

関連要件:CIS AWS Foundations Benchmark v1.4.0/2.2.1、NIST.800-53.r5 CA-9 (1)、NIST.800-53.R5 CM-3 (6)、NIST.800-53.R5 SC-3 (6)、NIST.800-53.R5 SC-28 (1)、nist.800-53.r5 SC-7 (10)、Nist.800-53.r5 SI-7 (6)

カテゴリ: 保護 > データ保護 > 保管中のデータの暗号化

重要度:

リソースタイプ: AWS::::Account

AWS Config ルール: ec2-ebs-encryption-by-default

スケジュールタイプ: 定期的

パラメータ: なし

このコントロールは、Amazon Elastic Block Store (Amazon EBS) でアカウントレベルの暗号化がデフォルトで有効になっているかどうかをチェックします。アカウントレベルの暗号化が有効になっていない場合、コントロールは失敗します。

アカウントで暗号化が有効になっている場合、Amazon EBS ボリュームとスナップショットのコピーは保管中に暗号化されます。これにより、データの保護レイヤーが追加されます。詳細については、「Amazon EC2 Linux インスタンス用ユーザーガイド」の「デフォルトで暗号化」を参照してください。

次のインスタンスタイプでは暗号化がサポートされないことに注意してください: R1、C1、および M1。

修正

Amazon EBS ボリュームのデフォルト暗号化の設定については、「Amazon EC2 Linux インスタンス用ユーザーガイド」の「Amazon EBS 暗号化」および「デフォルトでの暗号化」を参照してください。

[EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします

関連する要件: NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6

カテゴリ: 保護 > ネットワークセキュリティ

重要度:

リソースタイプ: AWS::EC2::Instance

AWS Config ルール : ec2-imdsv2-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、EC2 インスタンスメタデータバージョンが、インスタンスメタデータサービスバージョン 2 (IMDSv2) で設定されているかどうかをチェックします。IMDSv2 で HttpTokens が必須に設定されている場合、コントロールは成功します。HttpTokensoptional に設定されている場合、コントロールは失敗します。

インスタンスメタデータは、実行中のインスタンスを設定または管理するために使用します。IMDS は、一時的で頻繁にローテーションされる認証情報へのアクセスを提供します。これらの認証情報を使用すると、機密認証情報を手動でまたはプログラムでインスタンスにハードコーディングや、配信する必要がなくなります。IMDS は、すべての EC2 インスタンスにローカルに添付されます。これは、特別な「リンクローカル」IP アドレス 169.254.169.254 で実行されます。この IP アドレスは、インスタンスで実行されるソフトウェアによってのみアクセスできます。

IMDS のバージョン 2 では、次の種類の脆弱性に対する新しい保護が追加されています。これらの脆弱性は IMDS へのアクセスに利用される可能性があります。

  • ウェブサイトアプリケーションのファイアウォールを開く

  • リバースプロキシを開く

  • サーバー側リクエスト偽造 (SSRF) の脆弱性

  • レイヤー 3 ファイアウォールおよびネットワークアドレス変換 (NAT) を開く

Security Hub では、EC2 インスタンスを IMDSv2 で設定することを推奨します。

修正

EC2 インスタンスを IMDSv2 で構成するには、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「IMDSv2 を必要とする場合の推奨方法」を参照してください。

[EC2.9] Amazon EC2 インスタンスは、パブリック IPv4 アドレスを未設定にすることをお勧めします

関連する要件: NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)

カテゴリ: 保護 > セキュアなネットワーク設定 > パブリック IP アドレス

重要度:

リソースタイプ: AWS::EC2::Instance

AWS Config ルール : ec2-instance-no-public-ip

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、EC2 インスタンスにパブリック IP アドレスがあるかどうかをチェックします。EC2 インスタンスの設定項目に publicIp フィールドが存在する場合、コントロールは失敗します。このコントロールは、IPv4 アドレスにのみ適用されます。

パブリック IPv4 アドレスは、インターネットから到達可能な IP アドレスです。パブリック IP アドレスを使用してインスタンスを起動すると、EC2 インスタンスはインターネットから到達可能です。プライベート IPv4 アドレスは、インターネットから到達できない IP アドレスです。プライベート IPv4 アドレスは、同じ VPC 内の EC2 インスタンス間または接続されたプライベートネットワークの通信に使用できます。

IPv6 アドレスはグローバルに一意であるため、インターネットから到達できます。ただし、デフォルトではすべてのサブネットで IPv6 アドレス指定属性が false に設定されています。VPC での IPv6 の詳細については、「Amazon VPC ユーザーガイド」の「VPC での IP アドレス指定」を参照してください。

パブリック IP アドレスで EC2 インスタンスを維持する正当なユースケースがある場合は、このコントロールの結果を抑制できます。フロントエンドアーキテクチャオプションの詳細については、「AWS アーキテクチャのブログ」または「This Is My Architecture series (マイアーキテクチャシリーズ)」を参照してください。

修正

デフォルト以外の VPC を使用し、デフォルトでインスタンスがパブリック IP アドレスに割り当てられないようにします。

デフォルトの VPC で EC2 インスタンスを起動すると、パブリック IP アドレスが割り当てられます。EC2 インスタンスをデフォルト以外の VPC で起動すると、サブネット設定によって、パブリック IP アドレスを受信するかどうかが決まります。サブネットには、サブネット内の新しい EC2 インスタンスがパブリック IPv4 アドレスプールからパブリック IP アドレスを受け取るかどうかを判断する属性があります。

EC2 インスタンスから自動で割り当てられたパブリック IP アドレスを手動でインスタンスに関連付ける、または、関連付け解除することはできません。EC2 インスタンスがパブリック IP アドレスを受信するかどうかをコントロールするには、以下のいずれかのの方法を使用します。

詳細については、「Amazon EC2 Linux インスタンス用ユーザーガイド」の「パブリック IPv4 アドレスと外部 DNS ホスト名」を参照してください。

EC2 インスタンスが Elastic IP アドレスに関連付けられている場合、EC2 インスタンスはインターネットからアクセスできます。インスタンスまたはネットワークインターフェイスから Elastic IP アドレスの関連付けをいつでも解除できます。Elastic IP アドレスの関連付けを解除するには、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「Elastic IP アドレスの関連付けを解除する」を参照してください。

[EC2.10] Amazon EC2 サービス用に作成された VPC エンドポイントを使用するようにAmazon EC2 を設定することをお勧めします

関連する要件: NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)

カテゴリ: 保護 > セキュアなネットワーク設定 > API プライベートアクセス

重要度:

リソースタイプ: AWS::EC2::VPC

AWS Config ルール: service-vpc-endpoint-enabled

スケジュールタイプ: 定期的

パラメータ:

  • serviceName: ec2 (カスタマイズ不可)

このコントロールは、Amazon EC2 のサービスエンドポイントが各 VPC に対して作成しているかどうかをチェックします。VPC に Amazon EC2 サービス用に作成した VPC エンドポイントがない場合、コントロールは失敗します。

このコントロールは、単一のアカウントのリソースを評価します。アカウント外のリソースは記述できません。 AWS Config と Security Hub はクロスアカウントチェックを行わないため、アカウント間で共有されている VPC FAILED の結果が表示されます。Security Hub では、これらの FAILED 結果を抑制することを推奨します。

VPC のセキュリティ体制を強化するために、インターフェイス VPC エンドポイントを使用するように Amazon EC2 を設定できます。インターフェイスエンドポイントは AWS PrivateLink、Amazon EC2 API オペレーションにプライベートにアクセスできるようにするテクノロジーを利用しています。これは、VPC と Amazon EC2 間のすべてのネットワークトラフィックを Amazon ネットワークに限定します。エンドポイントは同じリージョンでのみサポートされるため、別のリージョンの VPC とサービス間にエンドポイントを作成することはできません。これにより、他のリージョンへの意図しない Amazon EC2 API コールを防ぐことができます。

Amazon EC2 の VPC エンドポイントの作成の詳細については、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「Amazon EC2 とインターフェイス VPC エンドポイント」を参照してください。

修正

Amazon VPC コンソールから Amazon EC2 へのインターフェイスエンドポイントを作成するには、「AWS PrivateLink  ガイド」の「VPC エンドポイントを作成する」を参照してください。[サービス名] で [com.amazonaws.region.ec2] を選択します。

また、エンドポイントポリシーを作成し、VPC エンドポイントにアタッチして Amazon EC2 API へのアクセスを制御することもできます。VPC エンドポイントポリシーを作成する手順については、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「エンドポイントポリシーの作成」を参照してください。

[EC2.12] 未使用の Amazon EC2 EIP を削除することをお勧めします

関連する要件: PCI DSS v3.2.1/2.4、NIST.800-53.r5 CM-8(1)

カテゴリ: 保護 > セキュアなネットワーク設定

重要度:

リソースタイプ: AWS::EC2::EIP

AWS Config ルール : eip-attached

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、VPC に割り当てられた Elastic IP (EIP) アドレスが、 EC2 インスタンスまたは使用中の Elastic Network Interface (ENI) にアタッチされているかどうかを確認します。

検出に失敗した場合は、未使用の EC2 EIP がある可能性があります。

これにより、カード所有者データ環境 (CDE) 内の EIP のアセットインベントリを正確な状態に維持できます。

未使用の EIP をリリースするには、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「Elastic IP アドレスを解放する」を参照してください。

[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります

関連要件:CIS AWS Foundations Benchmark v1.2.0/4.1、PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/2.2.2、nist.800-53.r5 AC-4、nist.800-53.r5 AC-4 (21)、nist.800-53.r5 CM-7、nist.800-53.r5 SC-7、NIST.800-53.R5 SC-7、nist.800-53.r5 SC-7 (11)、nist.800-53.r5 SC-7 (16)、nist.800-53.r5 SC-7 (21)、nist.800-53.r5 SC-7 (4)、nist.800-53.r5 SC-7 (5)

カテゴリ: 保護 > セキュアなネットワーク設定

重要度:

リソースタイプ: AWS::EC2::SecurityGroup

AWS Config ルール : restricted-ssh

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Amazon EC2 セキュリティグループが 0.0.0.0/0 または ::/0 からポート 22 への入力を許可しているかどうかをチェックします。セキュリティグループが 0.0.0.0/0 または ::/0 からポート 22 への入力を許可している場合、コントロールは失敗します。

セキュリティグループは、 AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを提供します。セキュリティグループはポート 22 への無制限の入力を許可しません。SSH などのリモートコンソールサービスへの自由な接続を制限することにより、サーバーがリスクにさらされることを軽減できます。

修正

ポート 22 への進入を禁止するには、VPC に関連付けられている各セキュリティグループにそのようなアクセスを許可するルールを削除します。手順については、「Amazon VPC ユーザーガイド」の「セキュリティグループのルールの更新」を参照してください。Amazon VPC コンソールでセキュリティグループを選択したら、[アクション、インバウンドルールの編集] を選択します。ポート 22 へのアクセスを許可するルールを削除します。

[EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります

関連要件:CIS AWS ファンデーションベンチマーク v1.2.0/4.2

カテゴリ: 保護 > セキュアなネットワーク設定

重要度:

リソースタイプ: AWS::EC2::SecurityGroup

AWS Config ルールrestricted-common-ports:(restricted-rdp作成されたルールは)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Amazon EC2 セキュリティグループが 0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しているかどうかをチェックします。セキュリティグループが 0.0.0.0/0 または ::/0 からポート 3389 への入力を許可している場合、コントロールは失敗します。

セキュリティグループは、 AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを提供します。セキュリティグループはポート 3389 への無制限の入力を許可しません。RDP などのリモートコンソールサービスへの自由な接続を制限することにより、サーバーがリスクにさらされることを軽減できます。

修正

ポート 3389 への進入を禁止するには、VPC に関連付けられている各セキュリティグループにそのようなアクセスを許可するルールを削除します。手順については、「Amazon VPC ユーザーガイド」の「セキュリティグループのルールの更新」を参照してください。Amazon VPC コンソールでセキュリティグループを選択したら、[アクション、インバウンドルールの編集] を選択します。ポート 3389 へのアクセスを許可するルールを削除します。

[EC2.15] Amazon EC2 サブネットは、パブリック IP アドレスを自動的に割り当てないことをお勧めします

関連する要件: NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)

カテゴリ: 保護 > ネットワークセキュリティ

重要度:

リソースタイプ: AWS::EC2::Subnet

AWS Config ルール : subnet-auto-assign-public-ip-disabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Amazon Virtual Private Cloud (Amazon VPC) サブネット内のパブリック IP の割り当ての MapPublicIpOnLaunchFALSE に設定されているかチェックします。フラグが FALSE に設定されている場合、コントロールは成功します。

すべてのサブネットには、サブネット内に作成されたネットワークインターフェイスが自動的にパブリック IPv4 アドレスを受信するかどうかを判断する属性があります。この属性が有効になっているサブネットで起動されるインスタンスには、プライマリアネットワークインターフェイスに割り当てられるパブリック IP アドレスが割り当てられます。

修正

パブリック IP アドレスを割り当てないようにサブネットを設定するには、「Amazon VPC ユーザーガイド」の「サブネットのパブリック IPv4 アドレス指定属性の変更」を参照してください。[パブリック IPv4 アドレスの自動割り当てを有効にする] チェックボックスをオフにします。

[EC2.16] 未使用のネットワークアクセスコントロールリストを削除することをお勧めします

関連する要件: NIST.800-53.r5 CM-8(1)

カテゴリ: 防止 > ネットワークセキュリティ

重要度:

リソースタイプ: AWS::EC2::NetworkAcl

AWS Config ルール : vpc-network-acl-unused-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、未使用のネットワークアクセスコントロールリスト (ACL) があるかどうかをチェックします。

コントロールは、リソース AWS::EC2::NetworkAcl の項目設定をチェックして、ネットワーク ACL の関係を判断します。

ネットワーク ACL の VPC のみの関係の場合、コントロールは失敗します。

他の関係がリスト済みの場合、コントロールは成功します。

修正

未使用のネットワーク ACL を削除する方法については、「Amazon VPC ユーザーガイド」の「ネットワーク ACL の削除」を参照してください。デフォルトのネットワーク ACL またはサブネットに関連付けられた ACL は削除できません。

[EC2.17] Amazon EC2 インスタンスが複数の ENI を使用しないようにすることをお勧めします

関連する要件: NIST.800-53.r5 AC-4(21)

カテゴリ: ネットワークセキュリティ

重要度:

リソースタイプ: AWS::EC2::Instance

AWS Config ルール : ec2-instance-multiple-eni-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

  • Adapterids - EC2 インスタンスに添付済みのネットワークインターフェイス ID のリスト (カスタマイズ不可)

このコントロールは、EC2 インスタンスが複数の Elastic Network Interface (ENI) または Elastic Fabric Adapter (EFA) を使用しているかどうかをチェックします。このコントロールは、単一のネットワークアダプタが使用されている場合に成功します。コントロールには、許可された ENI を識別するためのオプションのパラメータリストが含まれています。Amazon EKS クラスターに属する EC2 インスタンスが複数の ENI を使用している場合も、このコントロールは失敗します。EC2 インスタンスに Amazon EKS クラスターの一部として複数の ENI が必要な場合は、これらのコントロールの検出結果を抑制できます。

複数の ENI の使用は、デュアルホームインスタンス (複数のサブネットを持つインスタンス) を引き起こす可能性があります。これにより、ネットワークセキュリティの複雑性が増し、意図しないネットワークパスとアクセスが導入する可能性があります。

修正

EC2 インスタンスからネットワークインターフェイスをデタッチするには、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「インスタンスからネットワークインターフェイスをデタッチする」を参照してください。

[EC2.18] セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可することをお勧めします

関連する要件: NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(5)

カテゴリ: 保護 > セキュアなネットワーク設定 > セキュリティグループの設定

重要度:

リソースタイプ: AWS::EC2::SecurityGroup

AWS Config ルール : vpc-sg-open-only-to-authorized-ports

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値

authorizedTcpPorts

許可されている TCP ポートのリスト

IntegerList (最大 32 アイテム)

165535

[80,443]

authorizedUdpPorts

許可されている UDP ポートのリスト

IntegerList (最大 32 アイテム)

165535

デフォルト値なし

このコントロールは、Amazon EC2 セキュリティグループが、許可されていないポートからの無制限の着信トラフィックを許可しているかどうかをチェックします。コントロールのステータスは次のように決定されます。

  • authorizedTcpPorts のデフォルト値を使用する場合、セキュリティグループがポート 80 およびポート 443 以外のポートからの無制限の着信トラフィックを許可すると、コントロールは失敗します。

  • authorizedTcpPorts または authorizedUdpPorts にカスタム値を指定した場合、セキュリティグループがリストにないポートからの無制限の着信トラフィックを許可すると、コントロールは失敗します。

  • パラメータを使用しない場合、無制限のインバウンドトラフィックルールを持つセキュリティグループに対してコントロールが失敗します。

セキュリティグループは、 AWSへの入力および出力ネットワークトラフィックのステートフルフィルタリングを提供します。セキュリティグループのルールは、最小特権アクセスのプリンシパルに従う必要があります。無制限アクセス (サフィックスが /0 の付いた IP アドレス) は、ハッキング、 denial-of-service 攻撃、データ損失などの悪意のあるアクティビティの可能性を高めます。ポートが特別に許可されていない限り、ポートは無制限アクセスを拒否する必要があります。

修正

セキュリティグループを変更するには、「Amazon VPC ユーザーガイド」の「セキュリティグループの操作」を参照してください。

[EC2.19] セキュリティグループは、リスクの高いポートへの無制限アクセスを許可してはいけません

関連する要件: NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-7、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(5)

カテゴリ: 保護 > 制限付きネットワークアクセス

重要度: 非常事態

リソースタイプ: AWS::EC2::SecurityGroup

AWS Config ルール:restricted-common-ports(作成されたルールは) vpc-sg-restricted-common-ports

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: "blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300" (カスタマイズ不可)

このコントロールは、指定した高リスクと見なされるポートに Amazon EC2 セキュリティグループの無制限の受信トラフィックがアクセス可能かどうかをチェックします。セキュリティグループ内のルールがこれらのポートへの「0.0.0.0/0」または「::/0」からの入力トラフィックを許可している場合、このコントロールは失敗します。

セキュリティグループは、 AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを提供します。無制限アクセス (0.0.0.0/0) は、ハッキング、 denial-of-service 攻撃、データ損失などの悪意のあるアクティビティの可能性を高めます。どのセキュリティグループでも、以下のポートへの無制限の入力アクセスを許可してはいけません。

  • 20、21 (FTP)

  • 22 (SSH)

  • 23 (Telnet)

  • 25 (SMTP)

  • 110 (POP3)

  • 135 (RPC)

  • 143 (IMAP)

  • 445 (CIFS)

  • 1433、1434 (MSSQL)

  • 3000 (Go、Node.js、および Ruby のウェブ開発フレームワーク)

  • 3306 (mySQL)

  • 3389 (RDP)

  • 4333 (ahsp)

  • 5000 (Python ウェブ開発フレームワーク)

  • 5432 (postgresql)

  • 5500 fcp-addr-srvr (1)

  • 5601 (ダッシュボード) OpenSearch

  • 8080 (proxy)

  • 8088 (レガシー HTTP ポート)

  • 8888 (代替 HTTP ポート)

  • 9200 または 9300 (OpenSearch)

修正

セキュリティグループからルールを削除するには、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「セキュリティグループからのルールの削除」を参照してください。

[EC2.20] AWS サイト間VPN接続の両方のVPNトンネルが稼働している必要があります

関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

カテゴリ: 耐障害性 > リカバリ > 高可用性

重要度:

リソースタイプ :AWS::EC2::VPNConnection

AWS Config ルール : vpc-vpn-2-tunnels-up

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

VPN トンネルは、 AWS データが顧客ネットワークとSite-to-Site VPN AWS 接続の間を行き来できる暗号化されたリンクです。各 VPN 接続には、高可用性のために同時に使用できる 2 つの VPN トンネルが含まれています。 AWS VPC とリモートネットワーク間の安全で可用性の高い接続を確認するには、両方の VPN トンネルが VPN 接続に対応していることを確認することが重要です。

このコントロールは、 AWS Site-to-Site VPN によって提供される VPN トンネルが両方とも UP 状態であることを確認します。一方または両方のトンネルのステータスが DOWN の場合、コントロールは失敗します。

修正

VPN トンネルオプションを変更するには、『Site-to-Site VPN ユーザーガイド』の「AWS Site-to-Site VPN トンネルオプションの変更」を参照してください。

[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります

関連要件:CIS AWS Foundations Benchmark v1.4.0/5.1、NIST.800-53.r5 AC-4 (21)、NIST.800-53.r5 CA-9 (1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2 (2)、nist.800-53.r5 CM-7、nist.800-53.r5 SC-7、nist.800-53.r5 -53.r5 SC-7 (21)、nist.800-53.r5 SC-7 (5)

カテゴリ: 保護 > セキュアなネットワーク設定

重要度:

リソースタイプ :AWS::EC2::NetworkAcl

AWS Config ルール : nacl-no-unrestricted-ssh-rdp

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、ネットワークアクセスコントロールリスト (NACL) が、 SSH/RDP 侵入トラフィックのデフォルト TCP ポートへのアクセスを無制限に許可しているかどうかをチェックします。NACL インバウンドエントリが TCP ポート 22 または 3389 に対して「0.0.0.0/0」または「::/0」の送信元 CIDR ブロックを許可する場合、ルールは失敗します。

ポート 22 (SSH) やポート 3389 (RDP) などのリモートサーバー管理ポートへのアクセスは、VPC 内のリソースへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。

修正

NACL の詳細については、「VPC ユーザーガイド」の「ネットワーク ACL」を参照してください。

[EC2.22] 未使用の Amazon EC2 セキュリティグループを削除することをお勧めします

重要

特定規格からの廃止 — Security Hub は、2023 年 9 月 20 AWS 日にこの統制を基礎セキュリティベストプラクティス標準と NIST SP 800-53 Rev. 5 から削除しました。このコントロールは引き続きサービス管理標準の一部です。 AWS Control Towerこの コントロールでは、セキュリティグループが EC2 インスタンス、または Elastic Network Interface にアタッチされている場合に、合格の検出結果を生成します。ただし、特定のユースケースでは、セキュリティグループがアタッチされていなくてもセキュリティ上のリスクはありません。他の EC2 コントロール (EC2.2、EC2.13、EC2.14、EC2.18、EC2.19 など) を使用すると、セキュリティグループをモニタリングできます。

カテゴリ: 識別 > インベントリ

重要度:

リソースタイプ:AWS::EC2::NetworkInterfaceAWS::EC2::SecurityGroup

AWS Config ルール: ec2-security-group-attached-to-eni-periodic

スケジュールタイプ: 定期的

パラメータ: なし

AWS このコントロールは、セキュリティグループが Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたはエラスティックネットワークインターフェイスにアタッチされていることを確認します。セキュリティグループが Amazon EC2 インスタンスまたは Elastic Network Interface に関連付けられていない場合、コントロールは失敗します。

修正

セキュリティグループを作成、割り当て、削除するには、「Amazon EC2 ユーザーガイド」の「セキュリティグループ」を参照してください。

[EC2.23] Amazon EC2 Transit Gateway が VPC アタッチメントリクエストを自動的に受け付けないようにすることをお勧めします

関連する要件: NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

カテゴリ: 保護 > セキュアなネットワーク設定

重要度:

リソースタイプ :AWS::EC2::TransitGateway

AWS Config ルール : ec2-transit-gateway-auto-vpc-attach-disabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、EC2 中継ゲートウェイが共有 VPC アタッチメントを自動的に受け入れているかどうかをチェックします。中継ゲートウェイが共有 VPC アタッチメントリクエストを自動的に受け入れていると、このコントロールは失敗します。

AutoAcceptSharedAttachments をオンにすると、中継ゲートウェイは、リクエストまたはアタッチメントの発信元であるアカウントを確認せずに、クロスアカウント VPC アタッチメントリクエストを自動的に受け入れるように設定されます。認可および認証のベストプラクティスに従うため、この機能はオフにして、認証された VPC アタッチメントリクエストのみを受け入れることが推奨されます。

修正

中継ゲートウェイを変更するには、「Amazon VPC デベロッパーガイド」の「中継ゲートウェイの変更」を参照してください。

[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします

関連する要件: NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

カテゴリ: 特定 > 脆弱性、パッチ、バージョン管理

重要度:

リソースタイプ :AWS::EC2::Instance

AWS Config ルール : ec2-paravirtual-instance-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、EC2 インスタンスの仮想化タイプが準仮想化かどうかをチェックします。EC2 インスタンスの virtualizationTypeparavirtual に設定されている場合、このコントロールは失敗します。

Linux Amazon マシンイメージ (AMI)では、2 つの仮想化タイプ、準仮想化 (PV) とハードウェア仮想化 (HVM) のうち、いずれかを使用します。PV AMI と HVM AMI の主な違いは、起動の方法と、パフォーマンス向上のための特別なハードウェア拡張機能 (CPU、ネットワーク、ストレージ) を利用できるかどうかという点です。

従来、PV のゲストは HVM のゲストよりも多くの場合にパフォーマンスが向上しました。ただし、HVM 仮想化の機能強化や HVM AMI で PV ドライバが利用可能になったことにより、このようなパフォーマンスの向上はなくなりました。詳細については、「Amazon EC2 Linux インスタンス用ユーザーガイド」の「Linux AMI 仮想化タイプ」を参照してください。

修正

EC2 インスタンスを新しいインスタンスタイプに更新するには、「Amazon EC2 Linux インスタンス用ユーザーガイド」の「インスタンスタイプを変更する」を参照してください。

[EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします

関連する要件: NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)

カテゴリ: 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

重要度:

リソースタイプ :AWS::EC2::LaunchTemplate

AWS Config ルール : ec2-launch-template-public-ip-disabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Amazon EC2 起動テンプレートが起動の際にネットワークインターフェイスにパブリック IP アドレスを割り当てる設定になっていないかをチェックします。EC2 起動テンプレートがネットワークインターフェイスにパブリック IP アドレスを割り当てる設定になっている場合、またはパブリック IP アドレスを持つネットワークインターフェイスが 1 つ以上ある場合、コントロールは失敗します。

パブリック IP アドレスは、インターネットから到達可能な IP アドレスです。パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースは、インターネットからアクセスできる可能性があります。EC2 リソースへのパブリックアクセスを可能にすべきではありません。ワークロードへの意図しないアクセスが可能になるおそれがあるためです。

修正

EC2 起動テンプレートを更新するには、「Amazon EC2 Auto Scaling ユーザーガイド」の「デフォルトのネットワークインターフェイス設定を変更する」を参照してください。

[EC2.28] EBS ボリュームをバックアッププランの対象にすることをお勧めします

カテゴリ: リカバリ > 耐障害性 > バックアップの有効化

関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)

重要度:

リソースタイプ: AWS::EC2::Volume

AWS Config ルール:ebs-resources-protected-by-backup-plan

スケジュールタイプ: 定期的

パラメータ:

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値

backupVaultLockCheck

trueパラメータがに設定されていてリソースが AWS Backup Vault Lock を使用している場合、PASSEDコントロールは結果を生成します。

ブール値

true 、、または false

デフォルト値なし

このコントロールは、in-use 状態の Amazon EBS ボリュームがバックアッププランの対象になっているかどうかを評価します。EBS ボリュームがバックアッププランの対象でない場合、コントロールは失敗します。backupVaultLockCheckパラメータをに等しく設定した場合true、EBS AWS Backup ボリュームがロックされたボールトにバックアップされている場合にのみ制御が渡されます。

バックアップは、セキュリティインシデントからより迅速に復元するために役立ちます。また、システムの耐障害性を強化します。バックアッププランに Amazon EBS ボリュームを含めると、意図しない損失や削除からデータを保護できます。

修正

Amazon EBS AWS Backup ボリュームをバックアッププランに追加するには、AWS Backup 開発者ガイドのバックアッププランへのリソースの割り当て」を参照してください。

[EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります

関連する要件: NIST.800-53.r5 AC-2(12)、NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 AU-9(7)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)

カテゴリ: 識別 > ログ記録

重要度:

リソースタイプ: AWS::EC2::ClientVpnEndpoint

AWS Config ルール:ec2-client-vpn-connection-log-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、 AWS Client VPN エンドポイントのクライアント接続ロギングが有効になっているかどうかをチェックします。エンドポイントでクライアント接続ログ記録が有効になっていない場合、コントロールは失敗します。

Client VPN エンドポイントにより、リモートクライアントは AWSの仮想プライベートクラウド (VPC) 内のリソースに安全に接続できます。接続ログにより、VPN エンドポイントでのユーザーアクティビティを追跡し、可視化することができます。接続ログを有効にすると、ロググループ内のログストリームの名前を指定できます。ログストリームを指定しない場合、クライアント VPN サービスによって自動的に作成されます。

修正

接続ログ記録を有効にするには、「AWS Client VPN 管理者ガイド」の「既存のクライアント VPN エンドポイントの接続ログを有効にする」を参照してください。