アマゾンウェブサービス (AWS) リソースのセキュリティに関する推奨事項

[アーティクル]
03/13/2024

この記事では、[環境設定] ページを使用してアマゾンウェブサービス (AWS) アカウントを接続する場合に、Microsoft Defender for Cloud に表示されるすべての推奨事項を示します。環境に表示される推奨事項は、保護するリソースとカスタマイズした構成に基づいています。

これらの推奨事項に応じて実行できるアクションについては、「Defender for Cloud での推奨事項の修復」を参照してください。

説明: セキュリティグループは、Amazon EC2 インスタンスまたは ENI にアタッチする必要があります。正常な結果は、未使用の Amazon EC2 セキュリティグループがあることを示している可能性があります。

重大度: 低

AWS Container の推奨事項

[プレビュー]AWS レジストリ内のコンテナーイメージに脆弱性の検出結果が解決されている必要がある

説明: Defender for Cloud は、レジストリイメージで既知の脆弱性 (CVE) をスキャンし、スキャンされた各イメージの詳細な結果を提供します。レジストリ内のコンテナーイメージの脆弱性のスキャンと修復は、セキュリティで保護された信頼性の高いソフトウェアサプライチェーンメイン維持し、セキュリティインシデントのリスクを軽減し、業界標準に準拠するのに役立ちます。

重大度: 高

種類: 脆弱性評価

[プレビュー]AWS で実行されているコンテナーの脆弱性の結果が解決されている必要がある

説明: Defender for Cloud は、現在 Kubernetes クラスターで実行されているすべてのコンテナーワークロードのインベントリを作成し、使用されているイメージとレジストリイメージ用に作成された脆弱性レポートを照合することで、それらのワークロードの脆弱性レポートを提供します。コンテナーワークロードの脆弱性のスキャンと修復は、堅牢で安全なソフトウェアサプライチェーンを確保し、セキュリティインシデントのリスクを軽減し、業界標準への準拠を確保するために不可欠です。

重大度: 高

種類: 脆弱性評価

EKS クラスターでは、必要な AWS アクセス許可を Microsoft Defender for Cloud に付与する必要がある

説明: Microsoft Defender for Containers は、EKS クラスターの保護を提供します。セキュリティの脆弱性と脅威についてクラスターを監視するには、Defender for Containers に AWS アカウントのアクセス許可が必要です。これらのアクセス許可は、クラスターで Kubernetes コントロールプレーンのログ記録を有効にし、クラスターとクラウド内の Defender for Cloud のバックエンドの間に信頼性の高いパイプラインを確立するために使用されます。詳細については、コンテナー化された環境に対する Microsoft Defender for Cloud のセキュリティ機能に関する記事を参照してください。

重大度: 高

EKS クラスターには、Azure Arc 用の Microsoft Defender の拡張機能をインストールする必要がある

説明: Microsoft Defender のクラスター拡張機能は、EKS クラスターのセキュリティ機能を提供します。この拡張機能を使用すると、クラスターとそのノードからデータが収集され、セキュリティの脆弱性と脅威が特定されます。この拡張機能は、Azure Arc 対応 Kubernetes で動作します。詳細については、コンテナー化された環境に対する Microsoft Defender for Cloud のセキュリティ機能に関する記事を参照してください。

重大度: 高

AWS コネクタで Microsoft Defender for Containers を有効にする必要がある

説明: Microsoft Defender for Containers は、コンテナー化された環境に対してリアルタイムの脅威保護を提供し、疑わしいアクティビティに関するアラートを生成します。この情報を使用して、Kubernetes クラスターのセキュリティを強化し、セキュリティの問題を修復します。

説明: このコントロールは、ローテーションスケジュールに基づいて AWS Secrets Manager シークレットが正常にローテーションされたかどうかをチェックします。このコントロールは、RotationOccurringAsScheduled が false の場合に失敗します。このコントロールでは、ローテーションが構成されていないシークレットを評価しません。 Secrets Manager は、組織のセキュリティ体制の改善に役立ちます。シークレットには、データベースの資格情報、パスワード、サードパーティの API キーが含まれます。 Secrets Manager を使用すると、シークレットを中心に格納したり、シークレットを自動的に暗号化したりすることに加え、シークレットへのアクセスを制御したり、シークレットを安全かつ自動的にローテーションしたりすることができます。 Secrets Manager では、シークレットのローテーションが可能です。ローテーションを使用すると、長期シークレットを短期シークレットに置き換えることができます。シークレットをローテーションすることで、侵害されたシークレットを未承認ユーザーが使用できる期間が制限されます。このような理由により、シークレットを頻繁にローテーションする必要があります。シークレットの自動ローテーションを構成するだけでなく、ローテーションスケジュールに基づいた、これらのシークレットの正常なローテーションを保証する必要があります。ローテーションの詳細については、AWS Secrets Manager ユーザーガイドの「Rotating your AWS Secrets Manager secrets」 (AWS Secrets Manager シークレットのローテーション) を参照してください。

重大度: 中

Secrets Manager シークレットは、指定した日数以内にローテーションする必要がある

説明: このコントロールは、シークレットが 90 日以内に少なくとも 1 回ローテーションされたかどうかをチェックします。シークレットをローテーションすることで、AWS アカウントのシークレットが不正使用されるリスクを軽減できます。例として、データベースの資格情報、パスワード、サードパーティ API キー、さらには任意のテキストなどを挙げることができます。シークレットを長期間変更しない場合、シークレットが侵害される可能性が高くなります。より多くのユーザーがシークレットにアクセスできるようになると、ユーザーによる誤処理または未承認エンティティへの漏えいの可能性が高まります。シークレットは、ログやキャッシュデータで漏えいさせることができます。デバッグを目的に共有することができるうえに、デバッグが完了すれば、変更や呼び出しを行うことができません。これらのすべての理由から、シークレットのローテーションは頻繁に行う必要があります。 AWS Secrets Manager では、シークレットの自動ローテーションを構成することができます。自動ローテーションを使用すると、長期シークレットを短期シークレットに置き換えることができるため、侵害のリスクが大幅に軽減されます。 Security Hub では、Secrets Manager のシークレットに対して、ローテーションを有効にすることをお勧めしています。ローテーションの詳細については、AWS Secrets Manager ユーザーガイドの「Rotating your AWS Secrets Manager secrets」 (AWS Secrets Manager シークレットのローテーション) を参照してください。

重大度: 中

説明: このコントロールは、AWS KMS を使用して保存時に SNS トピックを暗号化するかどうかをチェックします。保存データを暗号化すると、AWS で認証されていないユーザーがアクセスしているディスクにデータが格納されるリスクが軽減されます。また、アクセス制御が強化され、未承認ユーザーによるデータへのアクセスが制限されます。たとえば、データの暗号化を解除して読み取り可能にするには、API のアクセス許可が必要となります。セキュリティを強化するには、保存時に SNS トピックを暗号化する必要があります。詳細については、Amazon Simple Notification Service 開発者ガイドの「Encryption at rest」 (保管時の暗号化) を参照してください。

重大度: 中

VPC フローのログ記録は、すべての VPC で有効にする必要がある

説明: VPC フローログは、VPC を通過するネットワークトラフィックを可視化し、セキュリティイベント中に異常なトラフィックや分析情報を検出するために使用できます。

説明: 長期的な分析のために、指定された S3 バケット内の CloudTrail ログをキャプチャするだけでなく、CloudWatch ログにログを送信するように CloudTrail を構成することで、リアルタイム分析を実行できます。アカウント内のすべてのリージョンで有効になっている証跡の場合、CloudTrail によって、それらのすべてのリージョンから CloudWatch Logs のロググループにログファイルが送信されます。 AWS アカウントのアクティビティがキャプチャ、監視、および適切に警告表示されるようにするため、CloudTrail ログが CloudWatch Logs へ送信されるようにすることをお勧めします。 CloudTrail ログを CloudWatch Logs に送信すると、ユーザー、API、リソース、および IP アドレスに基づく、リアルタイムおよび履歴のアクティビティログ記録が促進され、異常な、または機密のアカウントアクティビティに対する警告や通知が行われます。

重大度: 低

データベースのログ記録は、有効にする必要がある

説明: このコントロールは、Amazon RDS の次のログが有効になっていて CloudWatch ログに送信されるかどうかをチェックします。

Oracle: (アラート、監査、トレース、リスナー)
PostgreSQL: (Postgresql、アップグレード)
MySQL: (Audit、Error、General、SlowQuery)
MariaDB: (Audit、Error、General、SlowQuery)
SQL Server: (エラー、エージェント)
Aurora: (Audit、Error、General、SlowQuery)
Aurora-MySQL: (Audit、Error、General、SlowQuery)
Aurora-PostgreSQL: (Postgresql、アップグレード)。 RDS データベースでは、関連するログが有効になっている必要があります。データベースのログ記録は、RDS に対して行われた要求の詳細なレコードを提供します。データベースログは、セキュリティとアクセスの監査に役立ち、可用性の問題を診断するのに便利です。

重大度: 中

Amazon SageMaker ノートブックインスタンスに対して、インターネットへの直接アクセスを無効にする

説明: SageMaker ノートブックインスタンスでは、直接インターネットアクセスを無効にする必要があります。これにより、ノートブックインスタンスで 'DirectInternetAccess' フィールドが無効になっているかどうかをチェックできます。インスタンスには、VPC を構成する必要があります。既定では、VPC 経由のインターネットアクセスが [無効] になっているはずです。インターネットアクセスを有効にして、ノートブックからモデルをトレーニングまたはホスティングするには、VPC に NAT ゲートウェイが存在し、セキュリティグループで送信接続が許可されていることを確認してください。 SageMaker 構成へのアクセスが、承認されたユーザーに限定されており、ユーザーの IAM アクセス許可を、SageMaker の設定とリソースの変更に制限してください。

重大度: 高

コンソールパスワードを持つすべての IAM ユーザーの初期ユーザー設定中は、アクセスキーを設定してはいけない

説明: AWS コンソールでは、アクセスキーを作成するためのチェックボックスが既定で有効になります。これにより、不必要なアクセスキーが多数生成されます。不必要な資格情報に加え、これらのキーの監査やローテーションにかかる不必要な管理作業も発生します。プロファイルの作成後にユーザーが追加の手順を実行する必要があると、アクセスキーが作業に必要であることを示す意図が強くなり、アカウントでアクセスキーが確立されると、そのキーが組織内のどこかで使用される可能性があることを示します。

重大度: 中

AWS Support でインシデントを管理するためのサポートロールが作成されていることを確認する

説明: AWS には、インシデントの通知と対応に使用できるサポートセンターと、テクニカルサポートとカスタマーサービスが用意されています。 IAM ロールを作成して、承認されたユーザーに対し、AWS Support でのインシデントの管理を許可します。アクセス制御のための最小限の特権を実装することで、IAM ロールでは、AWS サポートでインシデントを管理するために、サポートセンターへのアクセスを許可するための適切な IAM ポリシーが必要になります。

重大度: 低

アクセスキーが 90 日以下の頻度でローテーションされることを確認する

説明: アクセスキーは、アクセスキー ID とシークレットアクセスキーで構成されます。これは、AWS に対して行ったプログラムによる要求に署名するために使用されます。 AWS ユーザーが AWS Command Line Interface (AWS CLI)、Tools for Windows PowerShell、AWS SDK から AWS へのプログラムによる呼び出し、または各 AWS サービスの API を使用した直接の HTTP 呼び出しを行うには、独自のアクセスキーが必要です。すべてのアクセスキーを定期的にローテーションすることをお勧めします。アクセスキーをローテーションすると、侵害されたアカウントまたは終了したアカウントに関連付けられているアクセスキーを使用する機会の期間が短縮されます。古いキーを使用してデータにアクセスできないようにするには、アクセスキーをローテーションする必要があります。このキーは、紛失、割れ、盗難にあった可能性があります。

重大度: 中

AWS Config がすべてのリージョンで有効になっていることを確認する

説明: AWS Config は、アカウント内でサポートされている AWS リソースの構成管理を実行し、ログファイルを配信する Web サービスです。記録される情報には、構成アイテム (AWS リソース)、構成アイテム間のリレーションシップ (AWS リソース)、リソース間の構成の変更が含まれます。すべてのリージョンで AWS Config を有効にすることをお勧めします。

AWS Config によってキャプチャされた AWS 構成アイテムの履歴を参照することで、セキュリティ分析、リソース変更追跡、コンプライアンス監査を実行することができます。

重大度: 中

すべてのリージョンで CloudTrail が有効になっていることを確認する

説明: AWS CloudTrail は、アカウントの AWS API 呼び出しを記録し、ログファイルを配信する Web サービスです。記録された情報には、API 呼び出し元の ID、API 呼び出しの時刻、API 呼び出し元の発信元 IP アドレス、要求パラメーター、AWS サービスによって返される応答要素が含まれます。 CloudTrail は、アカウントでの AWS API 呼び出しの履歴を提供します。これには、Management Console, SDK 経由で行われた API 呼び出し、およびより高レベルな AWS サービス (CloudFormation など) が含まれます。 CloudTrail によって生成される AWS API 呼び出し履歴を参照することで、セキュリティ分析、リソース変更追跡、コンプライアンス監査を実行することができます。さらに、

複数リージョンの証跡が存在することを確認すると、それ以外の場合は未使用のリージョンで発生する予期しないアクティビティが検出されます
複数リージョンの証跡が存在することを確認すると、AWS グローバルサービスで生成されたイベントの記録をキャプチャするために、証跡に対して "グローバルサービスログ" が既定で有効になります
複数リージョンの証跡の場合は、すべての種類の読み取り/書き込みに対して構成された管理イベントによって、AWS アカウント内のすべてのリソースに対して実行される管理操作の記録が保証されます

重大度: 高

90 日以上使用されていない資格情報が無効になっていることを確認する

説明: AWS IAM ユーザーは、パスワードやアクセスキーなど、さまざまな種類の資格情報を使用して AWS リソースにアクセスできます。 90 日以上で使用されていないすべての資格情報を削除または非アクティブ化することをお勧めします。不要な資格情報を無効または削除すると、侵害されたアカウントまたは破棄されたアカウントに関連付けられている資格情報を使用する機会の期間が短縮されます。

重大度: 中

IAM パスワードポリシーでのパスワードの有効期間が 90 日以下であることを確認する

説明: IAM パスワードポリシーでは、特定の日数が経過した後にパスワードをローテーションまたは期限切れにする必要があります。パスワードポリシーは、90 日以内にパスワードの有効期限を切らすことをお勧めします。パスワードの有効期間を短縮すると、ブルートフォースのログイン試行に対して、アカウント回復性が向上します。また、定期的なパスワード変更を必須にすると、次のシナリオで役立ちます。

パスワードは、知らないうちに盗まれたり、侵害されたりすることがあります。これは、システムのセキュリティ侵害、ソフトウェアの脆弱性、または内部の脅威によって起こることがあります。
特定の企業および政府機関の Web フィルターまたはプロキシサーバーでは、暗号化されている場合でもトラフィックをインターセプトして記録できます。
多くのユーザーは、仕事、電子メール、個人用など、多くのシステムで同じパスワードを使用します。
侵害されたエンドユーザーワークステーションには、キーストロークロガーが含まれています。

重大度: 中

作成する IAM カスタマーマネージドポリシーでは、サービスに対するワイルドカードアクションを許可しないようにする必要がある

説明: このコントロールチェック、作成する IAM ID ベースのポリシーに、* wildカードを使用して任意のサービスのすべてのアクションに対するアクセス許可を付与する Allow ステートメントがあるかどうかを示します。ポリシーステートメントに 'Effect': 'Allow' と 'Action': 'Service:*' が含まれている場合、コントロールは失敗します。たとえば、ポリシー内に次のポリシーステートメントがある場合、結果は失敗となります。

'Statement': [
{
  'Sid': 'EC2-Wildcard',
  'Effect': 'Allow',
  'Action': 'ec2:*',
  'Resource': '*'
}

'Effect': 'Allow' と 'NotAction': 'service:' を使用すると、コントロールも失敗します。その場合、NotAction 要素は、NotAction で指定されたアクションを除き、AWS サービス内のすべてのアクションへのアクセスを提供します。このコントロールは、カスタマーマネージド IAM ポリシーにのみ適用されます。AWS によって管理される IAM ポリシーには適用されません。AWS サービスにアクセス許可を割り当てるときは、IAM ポリシーで許可されている IAM アクションのスコープを設定することが重要です。IAM アクションは、必要なアクションのみに制限する必要があります。これにより、最小限の特権のアクセス許可をプロビジョニングできます。ポリシーがアクセス許可を必要としない IAM プリンシパルにアタッチされている場合、過度に制限されたポリシーが特権エスカレーションにつながる可能性があります。場合によっては、DescribeFlowLogs や DescribeAvailabilityZones など、似たプレフィックスを持つ IAM アクションを許可することが必要になる場合があります。これらの承認されたケースでは、サフィックス付きのワイルドカードを共通プレフィックスに追加できます。たとえば、ec2:Describe です。

このコントロールは、プレフィックス付き IAM アクションとサフィックス付きワイルドカードを使用する場合に成功します。たとえば、ポリシー内に次のステートメントがある場合、結果は成功となります。

 'Statement': [
{
  'Sid': 'EC2-Wildcard',
  'Effect': 'Allow',
  'Action': 'ec2:Describe*',
  'Resource': '*'
}

この方法で関連する IAM アクションをグループ化すると、IAM ポリシーのサイズ制限を超過しないようにすることができます。

重大度: 低

IAM ポリシーは、グループまたはロールのみにアタッチする必要がある

説明: 既定では、IAM ユーザー、グループ、ロールは AWS リソースにアクセスできなくなります。 IAM ポリシーは、ユーザー、グループ、またはロールに特権を付与するための手段です。 IAM ポリシーは、ユーザーではなくグループとロールに直接適用することをお勧めします。グループまたはロールレベルで特権を割り当てると、ユーザー数が増えるにつれて、アクセス管理の複雑さが軽減されます。アクセス管理の複雑さを減らすと、プリンシパルが誤って過剰な特権を受け取ったり保持したりする機会が減る可能性があります。

重大度: 低

完全な ":" 管理特権を許可する IAM ポリシーが作成されないようにする必要がある

説明: IAM ポリシーは、ユーザー、グループ、またはロールに権限を付与する手段です。最小限の特権を付与し、タスクの実行に必要なアクセス許可のみを付与することが推奨され、標準的なセキュリティのアドバイスと見なされます。ユーザーが実行する必要がある操作を決定し、完全な管理特権を許可するのではなく、ユーザーがそれらのタスクのみを実行できるようにするポリシーを作成します。最初に寛大すぎるアクセス許可を付与して、後で厳格化するよりも、最小限のアクセス許可から始めて、必要に応じて追加のアクセス許可を付与していく方が安全です。ユーザーが実行する必要がある最低限のアクセス許可に制限するのではなく、完全な管理特権を付与する場合は、望ましくない可能性のあるアクションにリソースが公開されてしまいます。 "Effect": "Allow" および "Action": "" over "Resource": "" が含まれる IAM ポリシーは、削除する必要があります。

重大度: 高

すべての KMS キーに暗号化解除アクションを許可する IAM インラインポリシーを IAM プリンシパルに指定しないようにする必要がある

説明: IAM ID (ロール、ユーザー、またはグループ) に埋め込まれているインラインポリシーが、すべての KMS キーに対する AWS KMS 復号化アクションを許可するかどうかを確認します。このコントロールでは、自動化された推論エンジンである Zelkova を使用して、AWS アカウント全体のシークレットへの広範なアクセスを許可する可能性のあるポリシーを検証し、警告します。このコントロールは、"kms:Decrypt" または "kms:ReEncryptFrom" のアクションが、インラインポリシー内のすべての KMS キーに対して許可される場合に失敗します。 AWS KMS では、KMS キーを使用できるユーザーを制御し、暗号化されたデータにアクセスすることができます。 IAM ポリシーでは、ID (ユーザー、グループ、またはロール) によって、どのアクションが、どのリソースに対して実行されるかが定義されます。セキュリティのベストプラクティスに従い、AWS では、最小限の特権を許可することをお勧めします。つまり、必要なアクセス許可のみを、タスクの実行に必要なキーについてのみ、ID に付与する必要があります。それ以外の場合、ユーザーはデータに適さないキーを使用する可能性があります。すべてのキーについてアクセス許可を付与する代わりに、暗号化されたデータにアクセスするためにユーザーが必要とするキーの最小限のセットを決定します。次に、ユーザーに対し、それらのキーのみの使用を許可するポリシーを作成します。たとえば、すべての KMS キーに対して "kms:Decrypt" アクセス許可を許可しないでください。代わりに、アカウントでは、特定のリージョン内のキーに対してのみ許可します。最小限の特権を採用することで、データが意図せずに公開されるリスクを軽減することができます。

重大度: 中

Lambda 関数は、パブリックアクセスを制限する必要がある

説明: このコントロールは、EC2 インスタンスメタデータバージョンがインスタンスメタデータサービスバージョン 2 (IMDSv2) で構成されているかどうかをチェックします。このコントロールは、'HttpTokens' が IMDSv2 に対して 'required' に設定されている場合に合格します。このコントロールは、'HttpTokens' が 'optional' に設定されている場合に失敗します。実行中のインスタンスを構成または管理するには、インスタンスのメタデータを使用します。 IMDS を使用すると、頻繁にローテーションされる一時的な資格情報にアクセスできます。このような資格情報により、機密である資格情報を、ハードコーディングしたり、手動またはプログラムによってインスタンスに配布したりする必要がなくなります。 IMDS は、すべての EC2 インスタンスにローカルにアタッチされます。特別な 'リンクローカル' IP アドレスである 169.254.169.254 で実行されます。この IP アドレスへは、インスタンスで実行されているソフトウェアによってのみアクセスできます。 IMDS のバージョン 2 では、次の種類の脆弱性に対する新たな保護が追加されています。これらの脆弱性は、IMDS へのアクセスを試みるために使用される場合があります。

Web サイトアプリケーションファイアウォールを開く
リバースプロキシを開く
サーバー側要求フォージェリ (SSRF) の脆弱性
レイヤー 3 のファイアウォールとネットワークアドレス変換 (NAT) Security Hub を開くには、IMDSv2 を使用して EC2 インスタンスを構成することをお勧めします。

CloudTrail の構成に対する変更を監視することで、AWS アカウントで実行されたアクティビティを継続的に可視化できます。

重大度: 低

顧客が作成した CMK の無効化またはスケジュールされた削除に対して、ログメトリックフィルターとアラームが設定されていることを確認する

説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリックフィルターとアラームを確立します。状態が無効またはスケジュールされた削除に変更された、顧客が作成した CMK に対してメトリックフィルターとアラームを確立することをお勧めします。無効化または削除されたキーで暗号化されたデータには、アクセスできなくなります。

重大度: 低

IAM ポリシーの変更に対して、ログメトリックフィルターとアラームが設定されていることを確認する

説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリックフィルターとアラームを確立します。 ID およびアクセス管理 (IAM) ポリシーに対するメトリックフィルターとアラームの変更を確立することをお勧めします。 IAM ポリシーの変更を監視すると、認証と承認の制御がメインそのまま維持されます。

重大度: 低

セキュリティグループでは、リスクの高いポートに対して無制限のアクセスを許可しないようにする必要がある

説明: この制御チェック、セキュリティグループの無制限の着信トラフィックに、リスクが最も高い指定されたポートからアクセスできるかどうかを示します。このコントロールは、セキュリティグループ内に、このようなポートに対して 0.0.0.0/0 からのイングレストラフィックを許可する規則が存在しない場合に合格します。無制限のアクセス (0.0.0.0/0) を設定すると、ハッキング、サービス拒否攻撃、データ損失などの悪意のあるアクティビティが発生する可能性が高まります。セキュリティグループでは、AWS リソースへのイングレスおよびエグレスネットワークトラフィックのステートフルフィルタリングを実行することができます。いかなるセキュリティグループにおいても、次のポートへの無制限のイングレスアクセスは許可されていません。

3389 (RDP)
20、21 (FTP)
22 (SSH)
23 (Telnet)
110 (POP3)
143 (IMAP)
3306 (MySQL)
8080 (プロキシ)
1433、1434 (MSSQL)
9200 または 9300 (Elasticsearch)
5601 (Kibana)
25 (SMTP)
445 (CIFS)
135 (RPC)
4333 (ahsp)
5432 (postgresql)
5500 (fcp-addr-srvr1)

重大度: 中

セキュリティグループでは、承認済みポートに対する無制限の受信トラフィックのみを許可する必要がある

説明: このコントロールは、使用中のセキュリティグループが無制限の着信トラフィックを許可するかどうかをチェックします。必要に応じて、この規則に従い、"authorizedTcpPorts" パラメーターにポート番号が表示されているかどうかをチェックします。

セキュリティグループ規則のポート番号で無制限の着信トラフィックが許可されているが、ポート番号が "authorizedTcpPorts" で指定されている場合、コントロールは渡されます。 "authorizedTcpPorts" の既定値は、80、443 です。
セキュリティグループ規則のポート番号で無制限の受信トラフィックが許可されているが、ポート番号が authorizedTcpPorts 入力パラメーターに指定されていない場合、コントロールは失敗します。
パラメーターが使用されていない場合、無制限の受信規則を持つセキュリティグループのコントロールは失敗します。セキュリティグループでは、AWS へのイングレスおよびエグレスネットワークトラフィックのステートフルフィルタリングを実行することができます。セキュリティグループの規則は、最小限の特権アクセスの原則に従う必要があります。無制限のアクセス (サフィックスが a /0 の IP アドレス) を設定すると、ハッキング、サービス拒否攻撃、データ損失などの悪意のあるアクティビティが発生する可能性が高まります。ポートが明示的に許可されていない限り、そのポートに対しては、無制限のアクセスを拒否する必要があります。

重大度: 高

アマゾン ウェブ サービス (AWS) リソースのセキュリティに関する推奨事項

AWS コンピューティングの推奨事項

AWS Container の推奨事項

データ プレーンの推奨事項

AWS データに関する推奨事項

AWS IdentityAndAccess の推奨事項

AWS ネットワークに関する推奨事項

アマゾンウェブサービス (AWS) リソースのセキュリティに関する推奨事項

データプレーンの推奨事項