AWS default セキュリティグループが全ての通信を許可しない設定方法 (CIS 4.3 対応)
- 2021 7/15
- カテゴリー : Amazon Web Services
- コメントを書く
AWS default セキュリティグループのインバウンド・アウトバウンドルールをすべて削除して、全ての通信を許可しない設定をした話をご紹介します。
背景 AWS default セキュリティグループを無効化したい
CIS 4.3 defaultセキュリティグループが全ての通信を許可していないこと
・アラート基準
・defaultセキュリティグループにルールが設定されている場合
・defaultセキュリティグループを利用しているEC2インスタンスがある場合
・defaultセキュリティグループは、VPC作成時に自動で作成され、インスタンスを起動するときにセキュリティグループを指定しないと、そのインスタンスはデフォルトのセキュリティグループに自動的に関連付けられます
・意図した設定を行うためdefaultセキュリティグループの利用を避けます
・defaultセキュリティグループ以外のセキュリティグループを用意し、EC2へアタッチしてください
・defaultセキュリティグループからアウトバウンド・インバウンドルールを削除し、インスタンスにアタッチしている場合はデタッチしてください
・対応手順はこちら:VPC のセキュリティグループ – Amazon Virtual Private Cloud
より、AWS のデフォルトセキュリティグループを通信できる状態にしておくことは推奨されていないので、削除することにしました。
手動で default セキュリティグループを無効化する
AWS default セキュリティグループの削除手順
- AWS Console にて [EC2] – [ネットワーク & セキュリティ] – [セキュリティグループ] を開く
- default セキュリティグループの [インバウンドルール], [アウトバウンドルール] を削除する
上記の手順を 米国東部 (バージニア北部) us-east-1 のセキュリティグループ設定ページ から Region を一つずつ切り替えて、すべて削除しました。
自動で default セキュリティグループを無効化する
自動で AWS default セキュリティグループを無効化する方法もあるようですが、自分は未実施です。
所感 AWS デフォルトでセキュアにして欲しい
以下、AWS に対する個人的な要望です。
- 利用しない Region がほとんどなのでデフォルトで Region 無効化しておいてほしい
- default セキュリティグループが脆弱な状態というの好ましくないのでデフォルトで用意してほしくない
以上、AWS デフォルトセキュリティグループのインバウンド・アウトバウンドルールをすべて削除して、全ての通信を許可しない設定をした、現場からお送りしました。