【Security Hub修復手順】[DocumentDB.1] Amazon DocumentDB クラスターは、保管時の暗号化を有効にする必要があります

【Security Hub修復手順】[DocumentDB.1] Amazon DocumentDB クラスターは、保管時の暗号化を有効にする必要があります

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

#AWS
#AWS Security Hub
おつまみ

おつまみ

facebook logohatena logotwitter logo
Clock Icon2024.08.23

こんにちは!AWS事業本部のおつまみです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[DocumentDB.1] Amazon DocumentDB クラスターは、保管時の暗号化を有効にする必要があります

[DocumentDB.1] Amazon DocumentDB clusters should be encrypted at rest

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。

https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/

https://dev.classmethod.jp/articles/aws-security-operation-with-securityhub-2021/

対象コントロールの説明

このコントロールは、Amazon DocumentDB クラスターが保管中に暗号化されているかどうかをチェックします。Amazon DocumentDB クラスターが保管中に暗号化されていない場合、コントロールは失敗します。

データ管理はユーザー側の責任であるため、保管時の暗号化は必須です。
これを行わない場合、データ管理の責任を放棄することになります。
このため、本番環境の場合、保管時の暗号化を有効化することを検討します。

一方、重要データを扱わない本番環境以外の場合は、必ずしも有効にする必要はありません。そのような場合は、コントロールを抑制済みに設定してください。

修復手順

1. 対象のリソースの確認方法

  1. AWSマネージメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「DocumentDB.1」を検索し、タイトルを選択します。
    5776FDF4-5B48-464E-B27D-0A1CC0C4170B_4_5005_c.jpeg

  2. リソースの欄から失敗しているリソースを確認できます。
    8F1AEC4C-CCF8-4D84-9D52-76CB23E571DC.png

2. ステークホルダーに確認

  1. ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。
  • 暗号化が無効のクラスターをバックアップし、暗号化を有効にしたクラスターを再作成してよいか

難しい場合、抑制済みにします。

3. クラスターの暗号化

既存のクラスターを直接暗号化することはできません。
そのため、スナップショットを作成し、新しいクラスターとして復元する際に保存時の暗号化オプションを指定する方法をご紹介します。

  1. Document DBのスナップショットを取得するため、[作成]を選択します。
    6D695657-D316-47B4-8B87-AC1DA05ACA1E.png

  2. クラスター識別子・スナップショット識別子を入力し、[作成]を選択します。
    584AD1E4-F366-491E-B6D1-8AEB7F4249A8.png

  3. スナップショットのステータスがAvailableになった後、[アクション]→[復元]を選択します。
    A4313B00-87CC-47C1-A683-E4B4665F1796.png

  4. 設定画面にて、保管時の暗号化にチェックを入れます。それ以外の設定項目も既存のクラスターに合わせてください。
    34852B58-A838-4E25-9DAE-B87E99AD8D49.png

5.復元後、クラスターの暗号化が有効になっていることを確認します。これで新規クラスターは暗号化が有効になりました。
6533DCEC-4B81-4933-8B66-EDB3E5CE48D0.png

6.クラスターのエンドポイントを合わせるために、既存のクラスターを削除し、復元したクラスターの識別子を修正します。既存のクラスターを選択し、[削除]を選択します。
7C8D656D-939E-4A0E-8804-5D210BBF95E9.png

  1. 削除されたことを確認後、復元したクラスターを選択し、[変更]を選択します。
    2EF11DF4-8ECE-4959-A07C-C2EB5F745B62.png

  2. クラスター識別子を既存のクラスターの識別子に変更します。
    E10D197B-802B-468A-83B1-92F5905133E7.png

  3. インスタンスも識別子を変更します。インスタンスを選択し、[変更]を選択します。
    FA233D35-D2F0-473F-AE51-798F14B33262.png

  4. インスタンス識別子を既存のクラスターの識別子に変更します。
    0DD12669-9D0B-4C6E-8CC0-81D1CED0C919.png

  5. 識別子が変更されたことを確認します。確認後、DBに接続できることを確認します。
    D0FA697A-E675-4EA3-A650-3D15568EE7EE.png

  6. SecurityHubにて、失敗しているリソースが0になっていること及びステータスが[成功]になっていることを確認します。 ※リソースの更新には数分、ステータスの更新には1日程度かかります。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、おつまみ(@AWS11077)でした!

Share this article

facebook logohatena logotwitter logo

関連記事

CloudFront 新機能!VPCオリジンでプライベートなALBをセキュアに公開してみた

CloudFront 新機能!VPCオリジンでプライベートなALBをセキュアに公開してみた

User avatar
suzuki.ryo
2024.11.21
[アップデート] EBSスナップショットとAMIのゴミ箱保持ルールの適用対象をタグで制御できるようになりました

[アップデート] EBSスナップショットとAMIのゴミ箱保持ルールの適用対象をタグで制御できるようになりました

User avatar
武田隆志
2024.11.21
新機能のロードバランサーキャパシティユニット (LCU) 予約で、ALBの暖機を試みてみた

新機能のロードバランサーキャパシティユニット (LCU) 予約で、ALBの暖機を試みてみた

User avatar
suzuki.ryo
2024.11.21
【アップデート】Compute Optimizer が アイドルリソースの推奨をサポートするようになりました

【アップデート】Compute Optimizer が アイドルリソースの推奨をサポートするようになりました

User avatar
おつまみ
2024.11.21
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.