セキュリティグループのインバウンドルールに 0.0.0.0/0 を指定した TCP 22番(SSH)の許可ルールが存在しないこと

概要

このポリシーセットを使用すると、指定したリージョン内に存在するセキュリティグループのインバウンドルールにおいて、TCP 22番(SSH)ポートがどこからでもアクセス出来る状態となっていないかレビューすることが出来ます。
TCP 22番(SSH)を無制限に公開してしまうと、外部から不正なアクセスを受ける要因になってしまいます。このポリシーを利用することで不適切な設定が無いことを確認し、存在した場合は設定された後処理を自動的に実行することができます。

設定時のオプション

このポリシーセットは指定されたリージョンに存在する全てのセキュリティグループを対象とします。そのためオプションの設定は必要ありません。

ログの結果条件

No 結果 説明 
1 このポリシーが守られているとされる条件 指定したリージョンに存在するセキュリティグループのインバウンドルールに、以下の組み合わせが1つも含まれていない場合。
  • プロトコル TCP
  • ポート範囲 22番
  • ソース 0.0.0.0/0
2 このポリシーに違反しているとされる条件   指定したリージョンに存在するセキュリティグループのインバウンドルールに、以下の組み合わせが存在する場合。
  • プロトコル TCP
  • ポート範囲 22番
  • ソース 0.0.0.0/0

設定例

Cloud Automatorで「セキュリティグループのインバウンドルールに 0.0.0.0/0 を指定した TCP 22番(SSH)の許可ルールが存在しないこと」をレビューするポリシーセットを作成します。

  1. Cloud Automatorの左メニューの構成レビューを展開し、ポリシーセットの作成をクリックします。

  2. 「グループとポリシーセットテンプレートの指定」画面でグループを入力し、ポリシーセットテンプレートで「サーバーワークスおすすめポリシーセット」を選択し、「次へ」をクリックします。

  3. 必要に応じて「全ポリシーをOFF」をクリックしてから、「セキュリティグループのインバウンドルールに 0.0.0.0/0 を指定した TCP 22番(SSH)の許可ルールが存在しないこと」をONにし、後処理を割り当てます。
    security_group_should_not_have_ssh_open_access03.png

  4. AWSアカウント、リージョンを選択し、ポリシーセット名を入力して「ポリシーセットを作成」をクリックします。

  5. ポリシーセットの状態がavailableになったら作成完了です。

動作確認

  1. 作成したポリシーセットの「詳細」をクリックします。

  2. 「このポリシーセットのログを見る」をクリックします。

  3. ポリシーログの「詳細」をクリックします。

  4. ポリシーログで結果を確認します。

以上で「セキュリティグループのインバウンドルールに 0.0.0.0/0 を指定した TCP 22番(SSH)の許可ルールが存在しないこと」を使ったポリシーの動作確認が出来ました。 是非ご活用下さい。

この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください