Security Hubの検出項目の解説
[RDS.2] RDS DB インスタンスは、PubliclyAccessible AWS Config 設定によって判断される、パブリックアクセスを禁止する必要があります
標準
リソース
カテゴリ
重要度
AWS Foundational Security Best Practices
Amazon RDS
保護 > セキュアなネットワーク設定
クリティカル
概要
RDS インスタンスへのアクセスは、以下の 2 つのどちらかによって行えます:
RDS インスタンスを VPC に所属させ、VPC 内からアクセスする。
RDS インスタンスにパブリック IP を持たせ、VPC 外からアクセスする。
どちらの方針であっても、インスタンスへの接続元は VPC のセキュリティグループにより制限できるようになっています。 RDS インスタンスへのアクセス元は、攻撃経路を限定するため、以下のどちらかの方針で可能な限り制限しましょう。
パブリック IP を持たせず、VPC 内からのみ アクセスできるように設定する。
パブリック IP を持たせるが、限られた IP アドレスからのみ接続できるように VPC セキュリティグループを設定する。
問題がある場合の修正方法
マネジメントコンソール上での設定
VPC 内からのアクセスのみが必要な場合は、以下の手順で設定できます:
データベース をクリックする。
RDS インスタンスを選択する。
変更 をクリックする。
接続 セクションの 追加設定 パネルを開き、パブリックアクセス不可 を選択する。
続行 をクリックする。
変更を適用するタイミングを選択する。
コマンドラインによる設定
以下のコマンドで直ちにインターネットからのアクセスを無効にできます:
aws rds modify-db-instance --region <REGION_NAME> \
--db-instance-identifier <DB_INSTANCE_IDENTIFIER> \
--no-publicly-accessible \
--apply-immediately
ダウンタイムが許容できない場合は、以下のコマンドで次回のメンテナンスウインドウで設定を適用できます:
aws rds modify-db-instance --region <REGION_NAME> \
--db-instance-identifier <DB_INSTANCE_IDENTIFIER> \
--no-publicly-accessible \
--no-apply-immediately
関連する CloudFormation リソース/パラメータ
対応しない場合のリスク
インターネットから RDS インスタンスにアクセスできる場合、インターネットの種々の攻撃者を脅威として想定する必要があります。 例えば以下のような脆弱性が存在しうる場合、インスタンス内部のデータが漏洩...
Amazon RDSについてのよくある質問
Amazon RDSで他に推奨される設定はありますか?
AWS Foundational Security Best PracticesやCIS AWS Foundations Benchmarkでは、以下のような設定が推奨されます。これらは本Webサイトでも概要を解説しているので、必要に応じて参照してください。