CIS Amazon Web Services Foundations Benchmarkのv1.4が出ていたので、v1.3との変更点を確認しました。
1 Identity and Access Management
1.12 Ensure credentials unused for 45 days or greater are disabled (Automated)
変更前)
1.12 Ensure credentials unused for 90 days or greater are disabled (Automated)
説明)
AWS IAM users can access AWS resources using different types of credentials, such as passwords or access keys. It is recommended that all credentials that have been unused in 45 or greater days be deactivated or removed.
和訳)
AWS IAMユーザーは、パスワードやアクセスキーなど、さまざまな種類のクレデンシャルを使用してAWSリソースにアクセスできます。45日以上使用されていないクレデンシャルは、すべて無効化または削除することをお勧めします。
使用していないIAMユーザーを無効化、削除する期間の目安が90日から45日に短縮されました。
2 Storage
2.1.5 Ensure that S3 Buckets are configured with 'Block public access (bucket settings)
変更前)
1.20 Ensure that S3 Buckets are configured with 'Block public access (bucket settings)
記載位置の変更です。
内容の変更はありません。
2.1.2 Ensure S3 Bucket Policy is set to deny HTTP requests (Manual)
変更前)
2.1.2 Ensure S3 Bucket Policy allows HTTPS requests (Manual)
説明)
At the Amazon S3 bucket level, you can configure permissions through a bucket policy making the objects accessible only through HTTPS.
和訳)
Amazon S3のバケットレベルでは、バケットポリシーを使って、HTTPSでしかオブジェクトにアクセスできないようなパーミッションを設定することができます。
文言は変わりましたが、設定方法は変わっていません。
S3はデフォルトでHTTPとHTTPSどちらのリクエストでもアクセスできますが、HTTPは拒否してHTTPSのリクエストのみを受け付けるようにバケットポリシーを設定します。
2.1.3 Ensure MFA Delete is enable on S3 buckets
追加されました。
説明)
Once MFA Delete is enabled on your sensitive and classified S3 bucket it requires the user to have two forms of authentication.
和訳)
センシティブでクラシファイドなS3バケットでMFA Deleteを有効にすると、ユーザーに2つの認証手段が必要になる。
S3バケットのバージョニングとMFA Deleteを有効にします。
2.1.4 Ensure all data in Amazon S3 has been discovered, classified and secured when required. (Manual)
追加されました。
説明)
Amazon S3 buckets can contain sensitive data, that for security purposes should be discovered, monitored, classified and protected. Macie along with other 3rd party tools can automatically provide an inventory of Amazon S3 buckets.
和訳)
Amazon S3バケットには機密データが含まれている可能性があり、セキュリティ目的で発見、監視、分類、保護する必要があります。Macieは、他のサードパーティ製ツールとともに、Amazon S3バケットのインベントリを自動的に提供することができます。
Amazon Macie(メイシー)を有効化します。
Amazon MacieはS3バケットをスキャンしてバケット内の機密データの情報やリスクを可視化し、適切に管理できるようにします。
2.3.1 Ensure that encryption is enabled for RDS Instances (Automated)
追加されました。
説明)
Amazon RDS encrypted DB instances use the industry standard AES-256 encryption algorithm to encrypt your data on the server that hosts your Amazon RDS DB instances. After your data is encrypted, Amazon RDS handles authentication of access and decryption of your data transparently with a minimal impact on performance.
和訳)
Amazon RDS 暗号化 DB インスタンスは、業界標準の AES-256 暗号化アルゴリズムを使用して、Amazon RDS DB インスタンスをホストするサーバー上のデータを暗号化します。データが暗号化された後、Amazon RDSは、パフォーマンスへの影響を最小限に抑えながら、アクセスの認証とデータの復号化を透過的に処理します。
RDSインスタンスの暗号化を有効にする。
まとめ
Amazon Macieのことは知らなかったので勉強になりました。
システムの要件に合わせつつも推奨設定に近づけていきましょう。