前回の投稿では、Amplifyホスティングのセキュリティに関して評価しました。
その結果わかった課題は以下の通りです。
セキュリティヘッダについては、Amplifyホスティングの機能でも実装できるため、
それ以外について、GitHubのissueを確認してみました。
- セキュリティヘッダが不十分
- DV証明書のみであり、OV/EV証明書の導入ができない
- 暗号強度が低い
- IPアドレス制限ができない
- WAFの設定ができない
DV証明書のみであり、OV/EV証明書の導入ができない
こちらのissueは以下の内容となります。
以前から要望が上がっているようですが、現在もopenのステータスになっています。
内容はかなりネガティブな印象です。2023年も厳しそうなコメントです。
話はそれますが、issueを読んでいて、Amazon CodeCatalystというものがあることを知りました。
まだ、プレビュー版ですが、今後ウォッチしてみようと思います。
暗号強度が低い
以下のissueは、前回の診断で検知した以下の暗号化方式に関するものです。
ステータスはclosedになっていますが、直っていないように見えます。
- ECDHE-ECDSA-AES256-SHA384
- ECDHE-RSA-AES256-SHA384
Amplifyホスティングは、内部的にCloudFrontが使用されているようですが、最新の「TLSv1.2_2021」ではなく、「TLSv1.2_2019」が利用されているように見えます。
IPアドレス制限ができない
以下のissueにありますが、対応はまだのようです。
CloudFront + S3を使って回避している人が目立ちます。
WAFの設定ができない
こちらも要望があるようですが、なかなか実装されないように見えます。
CloudFrontを使って回避することを試みるもうまくいかないようです。
感想
Amplifyホスティングはすごく便利そうですが、プロジェクトがうまくいってなさそうな感じがしました。
issueにもあった、Amazon CodeCatalystに今後はシフトしていくのでしょうか。
CloudFormationやSAMを使った昔ながらのやり方をした方が無難なような気がしてきました。