AWS
AWS 診断項目
| カテゴリ | リソース | オプション | 項目 | 説明 | 危険度 |
|---|---|---|---|---|---|
| Backup | Backup Vault | Kms Key Name | 暗号化 | KMS未適用 | LOW |
| Cloudfront | Cloudfront Distribution | Logging > Logging Enabled | ロギングモニタリング | ロギング無効化 | MEDIUM |
| Cloudfront | Cloudfront Distribution | Linked Waf Web Acl Name | ネットワークセキュリティ | ウェブファイアウォールの欠如 | HIGH |
| Cloudfront | Cloudfront Distribution | Viewer Certificate > Default Certificate Enabled, Viewer Certificate > Minimum Protocol Version | 暗号化 | 脆弱なtlsバージョンを使用 | HIGH |
| Cloudfront | Cloudfront Distribution | Cache Behavior > Viewer Protocol Policy | 暗号化 | すべてのプロトコルを許可 | CRITICAL |
| Cloudtrail | Cloudtrail | Multi Region Enabled | ロギングモニタリング | マルチリージョン設定の無効化 | MEDIUM |
| Cloudwatch | Cloudwatch | Retention In Days | ロギングモニタリング | ログ保管期間1年未満 | MEDIUM |
| Cloudwatch | Cloudwatch | Kms Key Name | 暗号化 | KMS未適用 | LOW |
| Dynamodb | Dynamodb | Point In Time Recovery Enabled | データ保護 | 特定時点復元設定無効化 | MEDIUM |
| Dynamodb | Dynamodb | Server Side Encryption > Encryption Enabled | 暗号化 | 暗号化無効化 | HIGH |
| Ec2 | Instance | Http Tokens | アクセス制御 | セッショントークン無効化 | HIGH |
| Ecr | Ecr Repository | Policy > Effect, Policy > Enabled Not Action, Policy > Actions | アクセス制御 | 全体の権限付与 | HIGH |
| Ecr | Ecr Repository | Scan On Push | データ保護 | イメージスキャン無効化 | HIGH |
| Ecr | Ecr Repository | Image Tag Mutability | データ保護 | タグ変更可能 | HIGH |
| Ecr | Ecr Repository | Encryption Type | 暗号化 | KMS未適用 >> AES256 暗号化を使用してイメージデータが強力に保護される。 | LOW |
| Ecs | Ecs Cluster | Set Container Insights | ロギングモニタリング | cloudwatch container insights 無効化 | LOW |
| Ecs | Ecs Cluster | Logging | ロギングモニタリング | ログ無効化 | LOW |
| Ecs | Ecs Cluster | Logging, Cloud Watch Encryption Enabled | 暗号化 | ログ暗号化無効化 | LOW |
| Ecs | Ecs Cluster | Kms Key Name | 暗号化 | KMS未適用 | LOW |
| Efs | Efs | Access Point > Root Directory Path | アクセス制御 | 全体ファイルシステム露出 | HIGH |
| Efs | Efs | Enable Encrypted | 暗号化 | 暗号化無効化 | HIGH |
| Eks | Eks Cluster | Enabled Cluster Log Types | ロギングモニタリング | ロギング設定の一部を無効化 | MEDIUM |
| Eks | Eks Cluster | Endpoint Access Type, Public Access Cidrs | アクセス制御 | publicネットワークにcidr全体を露出 | CRITICAL |
| Eks | Eks Cluster | Endpoint Access Type | アクセス制御 | eks public 露出 | CRITICAL |
| Eks | Eks Cluster | Enabled Encryption | 暗号化 | secret 暗号化無効化 | HIGH |
| Elasticache | Elasticache Cluster | Snapshot Retention Limit | データ保護 | スナップショット保持期間設定の不在 | MEDIUM |
| Elasticsearch | Elasticsearch | Tls Security Policy | 暗号化 | 脆弱なtlsバージョンを使用 | HIGH |
| Elasticsearch | Elasticsearch | Encryption > Data At Rest Encryption Enabled | 暗号化 | 保存されたデータ暗号化無効化 | HIGH |
| Elasticsearch | Elasticsearch | Encryption > Node To Node Encryption Enabled | 暗号化 | ノード間トラフィック暗号化無効化 | HIGH |
| Elasticsearch | Elasticsearch | Encryption > Kms Key Name | 暗号化 | KMS未適用 | LOW |
| Elasticsearch | Elasticsearch | Encryption > Enforce Https | 暗号化 | 暗号化されていないプロトコルが使用可能 | CRITICAL |
| Kms | Kms Key | Enable Key Rotation | 暗号化 | キーの自動回転を無効化 | MEDIUM |
| Lambda Function | Lambda Function | Tracing Enabled | ロギングモニタリング | ラムダX-Ray追跡を無効化 | LOW |
| Lambda Function | Lambda Function | Environment Variable | データ保護 | 環境変数にシークレット情報が含まれる | CRITICAL |
| Lambda Function | Lambda Function | Included Subnet Names, Linked Security Group Names | ネットワークセキュリティ | security group 未設定 | HIGH |
| Lb | Lb | Internal | アクセス制御 | ロードバランサー外部露出 | HIGH |
| Lb | Lb | Drop Invalid Header | ネットワークセキュリティ | 不適切なヘッダーのブロック設定の無効化 | HIGH |
| Lb | Lb | Listener > Ssl Policy | 暗号化 | 脆弱なtlsバージョンを使用 | HIGH |
| Lb | Lb | Listener > Protocol | 暗号化 | 暗号化されていないプロトコルを使用 | CRITICAL |
| Rds | Aurora | Monitoring > Performance Insights Enabled | ロギングモニタリング | 性能インサイトを無効化 | LOW |
| Rds | Aurora | Multi Az Enabled | データ保護 | マルチAZ設定を無効化 | HIGH |
| Rds | Aurora | Backup > Backup Retention Period | データ保護 | データ保管期間のデフォルト値を使用 | MEDIUM |
| Rds | Aurora | Monitoring > Performance Insights Enabled, Monitoring > Kms Key Name | 暗号化 | 性能インサイト暗号化無効化 | LOW |
| Rds | Aurora | Encryption > Storage Encrypted | 暗号化 | rdsクラスター暗号化無効化 | HIGH |
| Rds | Mariadb, Mssql, Mysql, Oracle, Postgresql | Monitoring > Performance Insights Enabled | ロギングモニタリング | 性能インサイトを無効化 | LOW |
| Rds | Mariadb, Mssql, Mysql, Oracle, Postgresql | Multi Az Enabled | データ保護 | マルチAZ設定を無効化 | HIGH |
| Rds | Mariadb, Mssql, Mysql, Oracle, Postgresql | Publicly Accessible | アクセス制御 | データベースのパブリックアクセスを許可 | CRITICAL |
| Rds | Mariadb, Mssql, Mysql, Oracle, Postgresql | Backup > Backup Retention Period | データ保護 | データ保管期間のデフォルト値を使用 | MEDIUM |
| Rds | Mariadb, Mssql, Mysql, Oracle, Postgresql | Monitoring > Performance Insights Enabled, Monitoring > Kms Key Name | 暗号化 | 性能インサイト暗号化無効化 | LOW |
| Rds | Mariadb, Mssql, Mysql, Oracle, Postgresql | Encryption > Storage Encrypted | 暗号化 | rdsデータベース暗号化無効化 | HIGH |
| S3 | S3 Bucket | Enabled Logging | ロギングモニタリング | ロギングを無効化 | MEDIUM |
| S3 | S3 Bucket | Public Access Block > Block Public Acls | アクセス制御 | パブリックACLのブロックを無効化 | HIGH |
| S3 | S3 Bucket | Public Access Block > Block Public Policy | アクセス制御 | パブリックポリシーのブロックを無効化 | HIGH |
| S3 | S3 Bucket | Public Access Block > Ignore Public Acls | アクセス制御 | パブリックACLの無視を無効化 | HIGH |
| S3 | S3 Bucket | Public Access Block > Restrict Public Buckets | アクセス制御 | パブリックバケットポリシー制限を無効化 | HIGH |
| S3 | S3 Bucket | Versioning Status | データ保護 | バージョン管理を停止 | MEDIUM |
| S3 | S3 Bucket | Sse Algorithm | 暗号化 | KMS未適用 >> AES256 暗号化を使用してイメージデータが強力に保護される。 | LOW |
| S3 | S3 Bucket | Sse Algorithm, Kms Key Name | 暗号化 | KMS未適用 | LOW |
| Sns | Sns Topic | Kms Key Name | 暗号化 | KMS未適用 | LOW |
| Vpc | Endpoint Service | Acceptance Required | アクセス制御 | LOW | |
| Vpc | Network Acl | Ingress > Cidr Block, Ingress > Action, Ingress > From Port, To Port | アクセス制御 | インターネットからのFTPアクセスを許可 | CRITICAL |
| Vpc | Network Acl | Ingress > Cidr Block, Ingress > Action, Ingress > From Port, To Port | アクセス制御 | インターネットからのSSHアクセスを許可 | CRITICAL |
| Vpc | Network Acl | Ingress > Cidr Block, Ingress > Action, Ingress > From Port, To Port | アクセス制御 | インターネットからのHTTPアクセスを許可 | CRITICAL |
| Vpc | Network Acl | Ingress > Cidr Block, Ingress > Action, Ingress > From Port, To Port | アクセス制御 | インターネットからのRDPアクセスを許可 | CRITICAL |
| Vpc | Network Acl | Ingress > Cidr Block | アクセス制御 | cidr全体露出 | CRITICAL |
| Vpc | Network Acl | Ingress > Protocol | アクセス制御 | ポート全体露出 | CRITICAL |
| Vpc | Network Firewall | Enabled Delete Protection | ネットワークセキュリティ | 削除保護設定の無効化 | MEDIUM |
| Vpc | Network Firewall | Encryption Configuration > Enabled Custom Configuration | 暗号化 | KMS未適用 | LOW |
| Vpc | Network Firewall Policy | Encryption Configuration > Enabled Custom Configuration | 暗号化 | KMS未適用 | LOW |
| Vpc | Network Firewall Rule Group | Encryption Configuration > Enabled Custom Configuration | 暗号化 | KMS未適用 | LOW |
| Vpc | Security Group | Description | ロギングモニタリング | セキュリティグループに説明がないため、管理および識別が困難 | LOW |
| Vpc | Security Group | Ingress > Description | ロギングモニタリング | インバウンドルールに説明がないため、特定のルールの目的を理解するのが難しい。 | LOW |
| Vpc | Security Group | Egress > Description | ロギングモニタリング | アウトバウンドルールに説明がないため、特定のルールの目的を理解するのが難しい | LOW |
| Vpc | Security Group | Ingress > Cidr Block | アクセス制御 | cidr 全体露出 | CRITICAL |
| Vpc | Security Group | Ingress > Cidr Block, Ingress > From Port, To Port | アクセス制御 | インターネットからのFTPアクセスを許可 | CRITICAL |
| Vpc | Security Group | Ingress > Cidr Block, Ingress > From Port, To Port | アクセス制御 | インターネットからのSSHアクセスを許可 | CRITICAL |
| Vpc | Security Group | Ingress > Cidr Block, Ingress > From Port, To Port | アクセス制御 | インターネットからのHTTPアクセスを許可 | CRITICAL |
| Vpc | Security Group | Ingress > Cidr Block, Ingress > From Port, To Port | アクセス制御 | インターネットからのRDPアクセスを許可 | CRITICAL |
| Vpc | Security Group | Egress > Cidr Block | アクセス制御 | cidr 全体露出 | CRITICAL |
| Vpc | Subnet | Pip Enable | アクセス制御 | subnet public 露出 | HIGH |