AWS default セキュリティグループが全ての通信を許可しない設定方法 (CIS 4.3 対応)

Tadashi Shigeoka ·  Thu, July 15, 2021

AWS default セキュリティグループのインバウンド・アウトバウンドルールをすべて削除して、全ての通信を許可しない設定をした話をご紹介します。

AWS

背景 AWS default セキュリティグループを無効化したい

CIS 4.3 defaultセキュリティグループが全ての通信を許可していないこと

・アラート基準  ・defaultセキュリティグループにルールが設定されている場合  ・defaultセキュリティグループを利用しているEC2インスタンスがある場合 ・defaultセキュリティグループは、VPC作成時に自動で作成され、インスタンスを起動するときにセキュリティグループを指定しないと、そのインスタンスはデフォルトのセキュリティグループに自動的に関連付けられます ・意図した設定を行うためdefaultセキュリティグループの利用を避けます ・defaultセキュリティグループ以外のセキュリティグループを用意し、EC2へアタッチしてください ・defaultセキュリティグループからアウトバウンド・インバウンドルールを削除し、インスタンスにアタッチしている場合はデタッチしてください ・対応手順はこちら:VPC のセキュリティグループ - Amazon Virtual Private Cloud

引用元: CIS 4.3 defaultセキュリティグループが全ての通信を許可していないこと

より、AWS のデフォルトセキュリティグループを通信できる状態にしておくことは推奨されていないので、削除することにしました。

手動で default セキュリティグループを無効化する

AWS default セキュリティグループの削除手順

  1. AWS Console にて [EC2] - [ネットワーク & セキュリティ] - [セキュリティグループ] を開く
  2. default セキュリティグループの [インバウンドルール], [アウトバウンドルール] を削除する

上記の手順を 米国東部 (バージニア北部) us-east-1 のセキュリティグループ設定ページ から Region を一つずつ切り替えて、すべて削除しました。

自動で default セキュリティグループを無効化する

自動で AWS default セキュリティグループを無効化する方法もあるようですが、自分は未実施です。

所感 AWS デフォルトでセキュアにして欲しい

以下、AWS に対する個人的な要望です。

  • 利用しない Region がほとんどなのでデフォルトで Region 無効化しておいてほしい
  • default セキュリティグループが脆弱な状態というの好ましくないのでデフォルトで用意してほしくない

以上、AWS デフォルトセキュリティグループのインバウンド・アウトバウンドルールをすべて削除して、全ての通信を許可しない設定をした、現場からお送りしました。