すべてのプロダクト
Search
ドキュメントセンター

Cloud Firewall:セキュリティグループの確認

最終更新日:Aug 30, 2024

セキュリティグループは、Elastic Compute Service (ECS) インスタンスのインバウンドトラフィックとアウトバウンドトラフィックを制御できる仮想ファイアウォールとして機能します。 セキュリティグループルールの設定が不適切な場合、セキュリティリスクが発生する可能性があります。 Cloud Firewallが提供するセキュリティグループチェック機能を使用して、ECSの脆弱なセキュリティグループルールをチェックおよび修正できます。 これにより、セキュリティグループをより安全かつ効率的に管理できます。 セキュリティグループチェック機能は、基本セキュリティグループと高度セキュリティグループの両方をサポートします。

サポートされているエディション

Cloud FirewallのPremium Edition、Enterprise Edition、およびUltimate Editionは、セキュリティグループチェック機能をサポートしています。

Cloud FirewallのFree Editionを使用している場合は、[今すぐアップグレード] または [セキュリティグループの修正] をクリックします。

  • 今すぐアップグレード: Premium Edition以上のエディションを購入し、セキュリティグループチェック機能を使用して脆弱なセキュリティグループルールを修正できます。 Cloud Firewallを使用して、セキュリティグループとパブリックIPアドレスのアクセス制御ポリシーを一元管理できます。 これにより、資産エクスポージャーのリスクが軽減され、セキュリティ管理の効率が向上します。 この方法をお勧めします。

  • セキュリティグループの修正: 詳細については、「セキュリティグループルールの変更」をご参照ください。

サポートされているチェックアイテム

重要

次の表に、対応するチェック項目を示します。 ビジネス要件に基づいてチェック項目を有効にできます。 チェック項目のみを有効または無効にできます。 チェックアイテムは変更できません。

名前

リスク

取り扱いの提案

LinuxサーバーのリモートO&Mポートを開く

ポート22は、すべてのIPアドレスからの要求を許可します。 関連するLinuxサーバーがクラックされる可能性があります。

ECSコンソール[セキュリティグループ] ページで、ポート22へのパブリックIPアドレスのアクセスを拒否することを推奨します。 サービスがポート22へのアクセスを必要とする場合、特定のパブリックIPアドレスのみにポート22へのアクセスを許可するか、リモートO&MにBastionhostを使用することをお勧めします。詳細については、「」をご参照ください。BasicおよびEnterpriseエディションの概要. Cloud Firewallコンソール[保護設定] ページでも、脅威インテリジェンスと基本的な保護機能を有効にすることをお勧めします。

WindowsサーバーのリモートO&Mポートを開く

ポート3389は、すべてのIPアドレスからの要求を許可します。 関連するWindowsサーバーがクラックされる可能性があります。

ECSコンソール[セキュリティグループ] ページで、ポート3389へのパブリックIPアドレスのアクセスを拒否することを推奨します。 サービスがポート3389へのアクセスを必要とする場合、特定のパブリックIPアドレスのみにポート3389へのアクセスを許可するか、リモートO&MにBastionhostを使用することをお勧めします。詳細については、「」をご参照ください。BasicおよびEnterpriseエディションの概要. Cloud Firewallコンソール[保護設定] ページでも、脅威インテリジェンスと基本的な保護機能を有効にすることをお勧めします。

DB2データベースのリモートO&Mポートを開く

ポート50000は、すべてのIPアドレスからの要求を許可します。 関連するDB2データベースは、クラックされ得る。

ECSコンソール[セキュリティグループ] ページで、ポート50000へのパブリックIPアドレスのアクセスを拒否することを推奨します。 Cloud Firewallコンソール[保護設定] ページでも、脅威インテリジェンスと基本的な保護機能を有効にすることをお勧めします。

過剰なセキュリティグループ

ECSインスタンスが3つ以上のセキュリティグループに追加されます。 これにより、O&Mが難しくなり、設定が正しくないリスクが高まります。

ECSインスタンスを最大2つのセキュリティグループに追加することを推奨します。 詳細については、「概要」をご参照ください。 Cloud Firewallコンソール[保護設定] ページでも、脅威インテリジェンスと基本的な保護機能を有効にすることをお勧めします。

ElasticsearchのリモートO&Mポートを開く

ポート9200および9300は、すべてのIPアドレスからの要求を許可する。 関連するElasticsearchクラスターがクラックされる可能性があります。

ECSコンソール[セキュリティグループ] ページで、ポート9200および9300へのパブリックIPアドレスのアクセスを拒否することを推奨します。 Cloud Firewallコンソール[保護設定] ページでも、脅威インテリジェンスと基本的な保護機能を有効にすることをお勧めします。

Hadoop YARNのリモートO&Mポートを開く

ポート8088は、すべてのIPアドレスからの要求を許可します。 関連するHadoop YARNがクラックされる可能性があります。

ECSコンソール[セキュリティグループ] ページで、ポート8088へのパブリックIPアドレスのアクセスを拒否することを推奨します。 Cloud Firewallコンソール[保護設定] ページでも、脅威インテリジェンスと基本的な保護機能を有効にすることをお勧めします。

HadoopのリモートO&Mポートを開く

ポート50070および50030は、すべてのIPアドレスからの要求を許可する。 関連するHadoopがクラックされる可能性があります。

ECSコンソール[セキュリティグループ] ページで、ポート50070および50030へのパブリックIPアドレスのアクセスを拒否することを推奨します。 Cloud Firewallコンソール[保護設定] ページでも、脅威インテリジェンスと基本的な保護機能を有効にすることをお勧めします。

MongoDBデータベースのリモートO&Mポートを開く

ポート27017は、すべてのIPアドレスからの要求を許可します。 関連するMongoDBデータベースがクラックされる可能性があります。

ECSコンソール[セキュリティグループ] ページで、ポート27017へのパブリックIPアドレスのアクセスを拒否することを推奨します。 Cloud Firewallコンソール[保護設定] ページでも、脅威インテリジェンスと基本的な保護機能を有効にすることをお勧めします。

MySQLデータベースのリモートO&Mポートを開く

ポート3306は、すべてのIPアドレスからの要求を許可します。 関連するMySQLデータベースは、クラックされる可能性がある。

ECSコンソール[セキュリティグループ] ページで、ポート3306へのパブリックIPアドレスのアクセスを拒否することを推奨します。 Cloud Firewallコンソール[保護設定] ページでも、脅威インテリジェンスと基本的な保護機能を有効にすることをお勧めします。

OracleデータベースのリモートO&Mポートを開く

ポート1521は、すべてのIPアドレスからの要求を許可します。 関連するOracleデータベースがクラックされる可能性があります。

ECSコンソール[セキュリティグループ] ページで、ポート1521へのパブリックIPアドレスのアクセスを拒否することを推奨します。 Cloud Firewallコンソール[保護設定] ページでも、脅威インテリジェンスと基本的な保護機能を有効にすることをお勧めします。

PostgreSQLデータベースのリモートO&Mポートを開く

ポート5432は、すべてのIPアドレスからの要求を許可します。 関連するPostgreSQLデータベースがクラックされる可能性があります。

ECSコンソール[セキュリティグループ] ページで、ポート5432へのパブリックIPアドレスのアクセスを拒否することを推奨します。 Cloud Firewallコンソール[保護設定] ページでも、脅威インテリジェンスと基本的な保護機能を有効にすることをお勧めします。

RedisデータベースのリモートO&Mポートを開く

ポート6379は、すべてのIPアドレスからの要求を許可します。 関連付けられたRedisデータベースがクラックされる可能性があります。

ECSコンソール[セキュリティグループ] ページで、ポート6379へのパブリックIPアドレスのアクセスを拒否することを推奨します。 Cloud Firewallコンソール[保護設定] ページでも、脅威インテリジェンスと基本的な保護機能を有効にすることをお勧めします。

SQL ServerデータベースのリモートO&Mポートを開く

ポート1433は、すべてのIPアドレスからの要求を許可します。 関連するSQL Serverデータベースがクラックされる可能性があります。

ECSコンソール[セキュリティグループ] ページで、ポート1433へのパブリックIPアドレスのアクセスを拒否することを推奨します。 Cloud Firewallコンソール[保護設定] ページでも、脅威インテリジェンスと基本的な保護機能を有効にすることをお勧めします。

SparkクラスターのリモートO&Mポートを開く

ポート6066は、すべてのIPアドレスからの要求を許可します。 関連するSparkクラスタは、分解され得る。

ECSコンソール[セキュリティグループ] ページで、ポート6066へのパブリックIPアドレスのアクセスを拒否することを推奨します。 Cloud Firewallコンソール[保護設定] ページでも、脅威インテリジェンスと基本的な保護機能を有効にすることをお勧めします。

SplunkインスタンスのリモートO&Mポートを開く

ポート8089および8090は、すべてのIPアドレスからの要求を許可する。 関連するSplunkインスタンスは、クラックされ得る。

ECSコンソール[セキュリティグループ] ページで、ポート8089および8090へのパブリックIPアドレスのアクセスを拒否することを推奨します。 Cloud Firewallコンソール[保護設定] ページでも、脅威インテリジェンスと基本的な保護機能を有効にすることをお勧めします。

セキュリティグループのポートを開く

セキュリティグループは、すべてのIPアドレスが任意のポートにアクセスできるように設定されています。 関連するサーバがクラックされる可能性がある。

特定のIPアドレスからのリクエストを許可するようにセキュリティグループを設定することを推奨します。 Cloud Firewallコンソール[保護設定] ページでも、脅威インテリジェンスと基本的な保護機能を有効にすることをお勧めします。

セキュリティグループのリスクをチェック

  1. Cloud Firewallコンソールにログインします。

  2. 左側のナビゲーションウィンドウで、アクセス制御 > セキュリティグループチェック を選択します。

  3. [セキュリティグループチェック] ページで、[最新のチェック結果の取得] をクリックします。

    チェックには1〜5分かかります。

    説明

    最新の結果は、セキュリティグループルールの静的分析に基づいて取得され、すべてのポートリスクが含まれているわけではありません。 [インターネットの公開] ページで、ポートの公開に関する完全なチェック結果を表示できます。 詳細については、「インターネット公開」をご参照ください。

    image

チェック結果の表示

[チェック結果の詳細] セクションで、セキュリティリスクの検出に基づくチェック項目の詳細を表示します。 チェック項目に関する次の情報を表示できます。リスクレベルチェック項目リスクのあるセキュリティグループ /サーバー、およびチェック項目ステータス。 チェック項目の [リスクレベル] 列に [高リスク] と表示されている場合、すべてのIPアドレスからすべてのポートへのインバウンドトラフィックを許可するようにセキュリティグループルールが設定され、関連するサーバーがクラックされる可能性があります。

説明

ビジネス要件に基づいて、[アイテムステータスの確認] をオンまたはオフにできます。 チェック項目のチェック項目ステータスをオフにすると、チェック項目は使用されません。

image

アセットを危険にさらすセキュリティグループルールの変更

  1. 管理するチェック項目を見つけて、をクリックします。修正の詳細[アクション] 列に表示されます。

    [リスクのあるセキュリティグループ /サーバー] 列の番号をクリックして、[セキュリティグループチェック] ページに移動することもできます。 数値が0より大きい場合は、できるだけ早い機会にリスクを修正する必要があります。

  2. セキュリティグループチェックページで、ルールを変更するセキュリティグループを見つけて、セキュリティグループの修正[アクション] 列に表示されます。

    [リスクのあるセキュリティグループID /名前] 列のセキュリティグループIDをクリックして、ECSコンソール[セキュリティグループ] ページに移動し、脆弱なセキュリティグループルールを変更することもできます。

    警告

    セキュリティグループルールの設定が不適切な場合、セキュリティリスクが発生する可能性があります。 [セキュリティグループチェック] ページには、アセットを危険にさらすセキュリティグループルールを変更するための提案が表示されます。 できるだけ早い機会に提案に基づいて、資産を危険にさらすセキュリティグループルールを変更することを推奨します。

関連ドキュメント

内部ファイアウォールのアクセス制御ポリシーの作成

概要