VPC
対象コントロール
VPC 内のリソースにパブリック IP アドレスが付与されていないかをチェックするコントロール群。対象リソースは ECS サービス・タスクセット、EMR クラスター、RDS、SageMaker など多岐にわたるが、共通して VPC のネットワーク設定(サブネットの自動割り当てや assignPublicIp パラメータ)に依存する。
| コントロール | 重大度 | タイトル | 記事 |
|---|---|---|---|
| ECS.2 | HIGH | ECS サービスにパブリック IP アドレスが自動割り当てされていないこと | 検証済み |
| ECS.16 | HIGH | ECS タスクセットにパブリック IP アドレスが自動割り当てされていないこと | 検証済み |
| EMR.1 | HIGH | EMR クラスタープライマリノードがパブリック IP アドレスを持っていないこと | 検証済み |
| RDS.46 | HIGH | RDS DB インスタンスがパブリックアクセス可能でないこと | 検証予定 |
| SageMaker.1 | HIGH | SageMaker ノートブックインスタンスがインターネットに直接アクセスできないこと | 検証予定 |
関連する宣言型ポリシー属性: VPC Block Public Access
予防手段との対応
これらのコントロールには Control Tower のマネージド予防コントロールが存在しない。VPC BPA(宣言型ポリシー)はインターネット通信をブロックするが、パブリック IP の付与や各サービスの設定値自体は変更しないため、finding は変化しないと想定される。詳細は VPC Block Public Access で検証予定。