![【Security Hub修復手順】[DMS.13] DMS レプリケーションインスタンスは、複数のアベイラビリティーゾーンを使用するよう設定する必要があります](https://images.ctfassets.net/ct0aopd36mqt/wp-refcat-img-cea52bc8a6ec5cad9021b38df4a08b9e/24c76ee7c1ae7aa7f9676a59c77f8702/aws-security-hub?w=3840&fm=webp)
【Security Hub修復手順】[DMS.13] DMS レプリケーションインスタンスは、複数のアベイラビリティーゾーンを使用するよう設定する必要があります
こんにちは!コンサルティング部のヒスです。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
本記事では、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。
本記事の対象コントロール
[DMS.13] DMS レプリケーションインスタンスは、複数のアベイラビリティーゾーンを使用するよう設定する必要があります
[DMS.13] DMS replication instances should be configured to use multiple Availability Zones
前提条件
本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。
対象コントロールの説明
このコントロールは、AWS DMSのレプリケーションインスタンスがマルチAZ配置(複数のアベイラビリティーゾーンの使用)になっているかをチェックします。マルチAZ配置が有効になっていればPASSED、シングルAZ構成のままだとFAILEDになります。
マルチAZ配置では、AWS DMSが別のアベイラビリティーゾーンにスタンバイレプリカを自動的に作成し、プライマリインスタンスから同期的にレプリケーションします。プライマリインスタンスが障害により応答しなくなった際には、スタンバイが実行中のタスクを引き継ぐため、中断を最小限に抑えられます。
一方、シングルAZ構成では、配置先のアベイラビリティーゾーンで障害が発生するとレプリケーションインスタンスが停止し、実行中の移行・レプリケーションタスクが中断します。継続的なレプリケーション(CDC)を本番運用しているような環境では可用性に直結するため、本番環境では対応が必須です。
なお、一時的な移行作業のみで高可用性が求められない場合や、本番以外で可用性を厳密に確保する必要がない環境では、マルチAZ配置による追加のスタンバイレプリカのコストを考慮し、対応は任意です。
修復手順
コントロールの確認方法
- Security Hubコンソールを開く
- 左メニューから「検出結果」を選択
- フィルターで対象のコントロールID「DMS.13」を検索
ステークホルダーに確認
修復を行う前に、以下の点をステークホルダーに確認してください。
- 対象のレプリケーションインスタンスが本番運用中で、マルチAZ化が必要かどうか
- マルチAZ設定の変更を適用するタイミング(変更の適用時にインスタンスが再起動し、実行中のタスクが一時的に中断する可能性があるため、メンテナンスウィンドウでの適用を検討する)
- スタンバイレプリカの追加によりレプリケーションインスタンスのコストが増加することの了承
修復手順
- AWS DMSコンソールを開く
- 左ナビゲーションから「レプリケーションインスタンス」を選択する
- 対象のレプリケーションインスタンスを選択し、「アクション」から「変更」を選択する
- 設定項目の「マルチ AZ」を有効にする
- 「変更を適用する時間」で適用タイミングを選択する
- すぐに適用する場合: 「すぐに適用」を選択
- メンテナンスウィンドウで適用する場合: 「次に予定されるメンテナンスウィンドウ中に適用します」を選択
- 「保存」を選択して変更を適用する
多少差はあるかと思いますが、今回は変更の適用まで約15分程度かかりました。
修復確認
修復後、Security Hubで検出結果が「PASSED」になることを確認します。
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。
