はじめに
2022/8/12 にリリースされた CIS AWS Foundations Benchmark が v1.5.0 について、v1.4.0 からの変更内容をまとめました。
過去バージョンの変更点については以前別の記事にまとめています。
CIS AWS Foundations Benchmark とは
米国の非営利団体である CIS (Center for Internet Secuirty) が公開している AWS アカウントの基本的なセキュリティを実装するための技術的なベストプラクティスです。
CIS は 各種 OS、サーバー、クラウド環境などを強化するためのガイドラインとして多数の CIS Benchmark を発行しており、PCI DSS などのコンプライアンス要件で業界標準のベストプラクティスとの記載があった場合などに参照されます。
CIS AWS Foundations Benchmark は CIS のサイトから PDF 形式でダウンロードできます。ライセンスは CC BY-NC-SA (Creative Commons Attribution-NonCommercial-ShareAlike) です。
以降の項目名を除く記載は私の私見や所感などを含むものですのでご注意ください。完全な内容は CIS AWS Foundations Benchmark v1.5.0 の PDF をご参照ください。
1 Identity and Access Management
変更があった項目
1.11 Do not setup access keys during initial user setup for all IAM users that have a console password (Automated)
参考訳: コンソールパスワードを持つすべてのIAMユーザーに対して初期設定中にアクセスキーを設定しない
Assessment Status (評価ステータス) が Manual から Automated に変更されました。
1.12 Ensure credentials unused for 45 days or greater are disabled (Automated)
参考訳: 45 日以上利用されていない認証情報が無効になっていることを確認する
CLI による監査手順で、ルートアカウントが除外されるよう変更されました。
aws iam get-credential-report --query 'Content' --output text | base64 -d | \
cut -d, -f1,4,5,6,9,10,11,14,15,16 | grep -v '^<root_account>'
2 Storage
新たに追加された項目
2.3.2 Ensure Auto Minor Version Upgrade feature is Enabled for RDS Instances (Automated)
参考訳: RDS インスタンスの自動マイナーバージョンアップグレード機能が有効であることを確認する
自動マイナーバージョンアップグレード機能を有効にすると、指定されたメンテナンスウィンドウの間に自動的にバージョンアップが行われます。これによりデータベースエンジンの新機能、バグ修正、およびセキュリティパッチを取得できます。
2.3.3 Ensure that public access is not given to RDS Instance (Automated)
参考訳: RDS インスタンスのパブリックアクセスが行われないことを確認する
RDS インスタンスの Publicly Accessible (パブリックアクセス可能) フラグを無効化し、不正なアクセスを制限します。インターネットからデータベースの接続の確立を許可すると、悪意のある行為の機会を増加させます。
2.4.1 Ensure that encryption is enabled for EFS file systems (Manual)
参考訳: EFS ファイルシステムで暗号化が有効になっていることを確認する
KMS を使用して保管時の暗号化を有効にします。EFS ではファイルシステムの新規作成時に保管時の暗号化を設定する必要があります。既存ファイルシステムの暗号化設定を変更することはできません。
変更があった項目
2.1.1 Ensure all S3 buckets employ encryption-at-rest (Automated)
参考訳: すべてのS3バケットに保存時の暗号化が採用されていることを確認する
Assessment Status (評価ステータス) が Manual から Automated に変更されました。
2.1.2 Ensure S3 Bucket Policy is set to deny HTTP requests (Automated)
参考訳: S3 バケットポリシーが HTTP リクエストを拒否していることを確認する
監査手順および修復手順に記載されているバケットポリシーが以下のように変更になりました。($.Action
が "s3:GetObject"
から "s3:*"
に変更)
{
"Sid": "<optional>",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*"
"Resource": "arn:aws:s3:::<bucket_name>/*",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
Assessment Status (評価ステータス) が Manual から Automated に変更されました。
2.2.1 Ensure EBS Volume Encryption is Enabled in all Regions (Automated)
参考訳: すべてのリージョンで EBS ボリュームの暗号化が有効になっていることを確認する
新しい EBS ボリュームの暗号化設定はリージョンレベルの設定であるため、タイトルが明示的に変更されました。監査手順及び修復手順には変更ありません。
Assessment Status (評価ステータス) が Manual から Automated に変更されました。
3 Loggging
変更があった項目
3.2 Ensure CloudTrail log file validation is enabled (Automated)
参考訳: CloudTrail のログファイル検証が有効であることを確認する
コンソールによる監査手順、修復手順について、UI 変更による文言の変更等が反映されました。
3.6 Ensure S3 bucket access logging is enabled on the CloudTrail S3 bucket (Automated)
参考訳: CloudTrail の S3 バケットで S3 バケットアクセスログが有効であることを確認する
CLI による修復手順が追加されました。
3.8 Ensure rotation for customer created symmetric CMKs is enabled (Automated)
参考訳: 顧客が作成した対称型 CMK のローテーションが有効であることを確認する
非対称 KMS キーはローテーションをサポートしていないため、対称 KMS キーが対象であることを明示するよう変更されました。
3.9 Ensure VPC flow logging is enabled in all VPCs (Automated)
参考訳: すべての VPC で VPC フローロギングが有効であることを確認する
CLI による監査手順および修復手順が追加されました。
3.10 Ensure that Object-level logging for write events is enabled for S3 bucket (Automated)
参考訳: S3 バケットで書き込みイベントのオブジェクトレベルロギングが有効になっていることを確認する
マルチリージョンの証跡に対して設定を行うよう、監査手順および修復手順に明記されています。
4 Monitoring
新たに追加された項目
4.16 Ensure AWS Security Hub is enabled (Automated)
参考訳: AWS Security Hub が有効になっていることを確認する
AWS Security Hub は AWS 内外で発生するセキュリティアラートの一元的な表示および管理を行うためのサービスです。CIS Benchmark などのベストプラクティスに照らして環境をチェックすることもできます。
すべてのリージョンでAWS Security Hub を有効にすることが推奨されます。Security Hub を使用するには AWS Configを有効にする必要があります。
変更があった項目
4.1 Ensure a log metric filter and alarm exist for unauthorized API calls (Automated)
参考訳: 不正な API 呼び出しに対してログメトリクスフィルタとアラームが存在することを確認する
メトリクスフィルタのフィルタパターンの記載誤りが修正されました。
5 Networking
新たに追加された項目
5.3 Ensure no security groups allow ingress from ::/0 to remote server administration ports (Automated)
参考訳: セキュリティグループが ::/0 からリモートサーバー管理ポートへの侵入を許可しないようにする
22番ポート (SSH) や 3389 番ポート (RDP) などのリモートサーバ管理ポートへのパブリックアクセスは Attack Surface (攻撃対象領域) を不必要に増加させます。IPv6 アドレスにおいても 無制限アクセスを許可しないよう項目が追加されました。
以上です。
参考になれば幸いです。