はじめに
2021/5/28 にリリースされた CIS AWS Foundations Benchmark が v1.4.0 について、v1.3.0 からの変更内容をまとめました。
v1.2.0 → v1.3.0 の変更点については以前別の記事にまとめています。
CIS AWS Foundations Benchmark とは
米国の非営利団体である CIS (Center for Internet Secuirty) が公開している AWS アカウントの基本的なセキュリティを実装するための技術的なベストプラクティスです。
CIS は 各種 OS、サーバー、クラウド環境などを強化するためのガイドラインとして多数の CIS Benchmark を発行しており、PCI DSS などのコンプライアンス要件で業界標準のベストプラクティスとの記載があった場合などに参照されます。
CIS AWS Foundations Benchmark は CIS のサイトから PDF 形式でダウンロードできます。ライセンスは CC BY-NC-SA (Creative Commons Attribution-NonCommercial-ShareAlike) です。
以降の項目名を除く記載は私の私見や所感などを含むものですのでご注意ください。完全な内容は CIS AWS Foundations Benchmark v1.4.0 の PDF をご参照ください。
1 Identity and Access Management
変更があった項目
1.10 Ensure multi-factor authentication (MFA) is enabled for all IAM users that have a console password (Automated)
参考訳: コンソールパスワードを持つすべての IAM ユーザーに対して Multi-Factor authentication (MFA) が有効であることを確認する
監査、修復手順が最新化されました。また SMS による MFA は近日中にサポート終了が予定されている点について追記されました。
1.12 Ensure credentials unused for 45 days or greater are disabled (Automated)
参考訳: 45 日以上利用されていない認証情報が無効になっていることを確認する
v1.3.0 以前の 90 日以上から 45 日以上に変更されました。
1.20 Ensure that IAM Access analyzer is enabled for all regions (Automated)
参考訳: すべてのリージョンで IAM Access analyzer が有効になっていることを確認する
IAM Access analyzer がリージョナルサービスであることが明記されました。監査手順および修復手順も最新化され、リージョンごとに実施するように記載されています。
2 Storage
新たに追加された項目
2.1.3 Ensure MFA Delete is enable on S3 buckets (Automated)
参考訳: S3 バケットで MFA Delete を有効にしていることを確認する
S3バケットにMFA Deleteを追加すると、バケットのバージョン状態を変更するとき、またはオブジェクトのバージョンを削除するときに追加の認証が必要になり、セキュリティを強化できます。
2.1.4 Ensure all data in Amazon S3 has been discovered, classified and secured when required. (Manual)
参考訳: Amazon S3 内の全データが、分類され、必要なときに安全が確保されていることを確認する。
S3 バケットには機密データが含まれていることがあります。Amazon Macie やサードパーティソフトウェアを使用して、機械学習とパターンマッチングを使用した S3 バケットのデータ検出と分類のプロセスを継続的に監視し自動化することは、情報を保護するための強力な防衛策となります。
2.3.1 Ensure that encryption is enabled for RDS Instances (Automated)
参考訳: RDS インスタンスの暗号化が有効であることを確認する
データベースは機密性の高い重要なデータを保持する可能性が高いため、暗号化を実装することが強く推奨されます。
変更があった項目
2.1.2 Ensure S3 Bucket Policy is set to deny HTTP requests (Manual)
参考訳: S3バケットポリシーがHTTPリクエストを拒否していることを確認する
項目名が Ensure S3 Bucket Policy allows HTTPS requests から変更されました。監査手順および修復手順に変更はありません。
2.1.5 Ensure that S3 Buckets are configured with 'Block public access (bucket settings)' (Automated)
参考訳: S3 バケットにパブリックアクセスブロック (バケットレベル) が設定されていることを確認する
1 Identity and Access Management セクションから 2 Storage セクションに項番が変わりました。(v1.3.0 では 1.20)
3 Logging
変更があった項目
3.5 Ensure AWS Config is enabled in all regions (Automated)
参考訳: AWS Config がすべてのリージョンで有効であることを確認する
Profile Applicability が Level 1 から Level 2 に変更されました。
4 Monitoring
変更があった項目
4.1 Ensure a log metric filter and alarm exist for unauthorized API calls (Automated)
参考訳: 不正な API 呼び出しに対してログメトリクスフィルタとアラームが存在することを確認する
メトリクスフィルタのフィルタパターンが以下のように変更されています。
{ ($.errorCode = *UnauthorizedOperation) || ($.errorCode = AccessDenied*) ||
($.sourceIPAddress!=delivery.logs.amazonaws.com) || ($.eventName!=HeadBucket) }
AWS の対応状況
CIS AWS Foundations Benchmark が v1.4.0 は AWS Config の適合パック (Conformance Packs) および AWS Audit Manager でサポートされています。
以上です。
参考になれば幸いです。