![【Security Hub修復手順】[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-e71a738589e583b65670923628e8b6f4/45568b9fd457506bd2f3d6fd304d4b6a/aws-security-hub?w=3840&fm=webp)
【Security Hub修復手順】[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります
こんにちは!フニです。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。
本記事の対象コントロール
[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります
[Backup.1] AWS Backup recovery points should be encrypted at rest
前提条件
本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。
対象コントロールの説明
このコントロールは、AWS Backup の復旧ポイントが保管時に暗号化されているかをチェックします。復旧ポイントが暗号化されていない場合、コントロールは失敗します。
AWS Backup の復旧ポイントとは、バックアッププロセスの中で作成されるデータのコピーやスナップショットのことで、特定の時点のデータの状態を表しています。復旧ポイントが暗号化されていない場合、バックアップデータへの不正アクセスにより機密情報が漏洩するリスクがあります。
AWS Backup の復旧ポイントの暗号化方式は、リソースタイプによって以下のように異なります。
| 暗号化方式 | 対象リソース | 暗号化の仕組み | 本コントロールの対象 |
|---|---|---|---|
| ソースリソースの暗号化設定を継承 | Amazon EBS、Amazon RDS など | ソースリソースの暗号化設定がそのまま復旧ポイントに引き継がれる。ソースリソースが暗号化されていない場合、復旧ポイントも暗号化されない | ⚪︎ |
| バックアップボールトの暗号化設定を継承 | Amazon S3、Amazon EFS など | バックアップボールトに設定された AWS KMS キーで復旧ポイントが暗号化される。バックアップボールトには必ず KMS キーが設定されるため、これらのリソースの復旧ポイントは自動的に暗号化される | × |
Amazon EBS、Amazon RDS などのリソースは、ソースリソースの暗号化設定を継承します。つまり、ソースリソースが暗号化されていない場合、そのバックアップ(復旧ポイント)も暗号化されません。
本コントロールの対応にはソースリソース自体の暗号化を有効にする必要があります。既に暗号化されていないリソースの場合、暗号化された状態で再作成が必要になるケースやダウンタイムが発生する場合があります。
詳細は以下の公式ドキュメントをご参照ください。
修復手順
Amazon EBS の場合
Amazon RDS の場合
Amazon Aurora の場合
Amazon Redshift の場合
Amazon DocumentDB の場合
Amazon Neptune の場合
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。
以上、フニでした!
