ホーム > クイックウィン > セキュリティグループで危険な管理サービス用ポートのクローズ

セキュリティグループで危険な管理サービス用ポートのクローズ

制限なく開放されている管理ポートのクローズ

セキュリティグループで、制限のない送信元 (0.0.0.0/0) から管理サービス用ポート (22と3389) へのインバウンド通信を閉じてください。 これらのポートを使用している IT チームと協力して、以下の代替方法を用いて運用を継続できるようにしてください。

インスタンス管理の推奨方法

管理サービス用ポートのオープンが不要になる AWS Systems Manager Fleet Manager の使用、またはセキュリティ強化をした踏み台サーバの使用を推奨します。これには多くの Amazon Machine Image (AMI) にプリインストールされている AWS Systems Manager Agent (SSM Agent)と、AmazonSSMManagedEC2InstanceDefaultPolicy を持つ IAM ロール (EC2 インスタンスプロファイル) が必要です。

SSM Fleet Manager を使用できない場合は、EC2 Instance Connect の使用を検討するか、少なくとも管理ポートにアクセスできる IP を制限してください。

確認方法

AWS Security Hub セキュリティ標準: (推奨 - クイックウィン)
- [EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります
- [EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります
AWS Firewall Manager
- このサービスはより柔軟性が高いオプションを追加で提供します (追加コストもかかります)。

主なリスクと軽減

管理ポート(22と3389) への無制限のインバウンドトラフィックを許可することは重大なリスクです。ホストが適切にパッチ適用や強化されていない場合、攻撃者が脆弱性を利用してアクセスし制御権を奪取したり、SSH や RDP のブルートフォース攻撃によってアクセスを取得したりするリスクがあります。管理ポートをクローズすることでこれらのリスクを回避できます。

評価のガイダンス

管理ポート(22/3389) への無制限のインバウンドトラフィックをクローズしていますか？
インスタンスへの管理者アクセスをどのように管理していますか？

料金

セキュリティグループ
- 追加コストなし
AWS Security Hub の料金
- このサービスには30日間の無料トライアル期間があります。
- 現在の使用状況を確認し、将来の使用量を見積もるためのサイトがあります。
AWS Firewall Manager の料金