【Security Hub修復手順】[DocumentDB.2 ] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です

【Security Hub修復手順】[DocumentDB.2 ] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

#AWS
#AWS Security Hub
おつまみ

おつまみ

facebook logohatena logotwitter logo
Clock Icon2024.08.19

こんにちは!AWS事業本部のおつまみです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[DocumentDB.2 ] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です

[DocumentDB.2 ] Amazon DocumentDB clusters should have an adequate backup retention period

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。

https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/

https://dev.classmethod.jp/articles/aws-security-operation-with-securityhub-2021/

対象コントロールの説明

このコントロールは、Amazon DocumentDB クラスターのバックアップ保持期間が指定された時間枠以上であるかどうかをチェックします。バックアップ保持期間が指定された時間枠未満の場合、コントロールは失敗します。
バックアップ保持期間に対してカスタムパラメータ値を指定しない限り、Security Hub はデフォルト値の 7 日を使用します。

バックアップはセキュリティインシデント時の迅速な復元やシステムの耐障害性の向上につながるため、有効化しましょう。

一方、本番環境以外の場合は、必ずしも有効にする必要はありません。そのような場合は、コントロールを抑制済みに設定してください。

修復手順

1. 対象のリソースの確認方法

  1. AWSマネージメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「DocumentDB.2」を検索し、タイトルを選択します。
    06F34A10-BA91-4CC9-A47B-C3CEADDA09E6_4_5005_c.jpeg

  2. リソースの欄から失敗しているリソースを確認できます。
    29989AEE-2850-4B2C-A0F6-5075F97CEF6D.png

2. ステークホルダーに確認

  1. ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。
  • 適切なバックアップ保持期間を変更して良いか
    • バックアップ要件を確認し、設定を変更します。
    • 本番環境以外の場合は、必ずしも対応する必要はありません。そのような場合は、Security Hubの失敗箇所を抑制済みにします。

3. バックアップ保持期間の変更

  1. 対象のリソースに対して、[変更]を選択します。
    E1E598BC-F4AA-4458-BBE7-230779EA0A28_4_5005_c.jpeg

  2. 「バックアップ保持期間」にて7~35日以上の日数を設定して、「続行」を選択します。
    3A229DD1-C590-4BD9-B43D-315CE8AE8802_4_5005_c.jpeg

  3. [変更の概要]でバックアップ保持期間のみ変更になっていることを確認し、[変更をスケジュール]で任意のタイミングを選択し、[変更]を選択します。
    7EB3C095-9C19-4184-A986-47EB955CBEC4.png

※予期されないダウンタイムの可能性を喚起するメッセージが表示されますが、バックアップ保持期間の変更はダウンタイムは発生されません。

  1. [メンテナンスとバックアップ]タブから自動バックアップが[有効(7日)]になっていることを確認します。
    64CBC0AA-326E-4BA9-8442-A3F41CEF5E96.png

  2. SecurityHubにて、失敗しているリソースが0になっていること及びステータスが[成功]になっていることを確認します。 ※リソースの更新には数分、ステータスの更新には1日程度かかります。

おまけ:Security Hubのカスタムコントロールパラメータでバックアップ保持期間を変更できます

Security Hubのカスタムコントロールパラメータを変更すると、バックアップ保持期間をデフォルトの7日間から変更できます。
651FE1BC-3687-4834-AB6C-65976B706C7D_1_105_c.jpeg

なお、パラメータは7~35までしか選択できないため、ご注意ください。
7日以下でコントロールを成功させることはできないので、その場合はコントロールを抑制済みに設定してください。
Security_Hub___ap-northeast-1.png

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、おつまみ(@AWS11077)でした!

Share this article

facebook logohatena logotwitter logo

関連記事

CloudFront 新機能!VPCオリジンでプライベートなALBをセキュアに公開してみた

CloudFront 新機能!VPCオリジンでプライベートなALBをセキュアに公開してみた

User avatar
suzuki.ryo
2024.11.21
[アップデート] EBSスナップショットとAMIのゴミ箱保持ルールの適用対象をタグで制御できるようになりました

[アップデート] EBSスナップショットとAMIのゴミ箱保持ルールの適用対象をタグで制御できるようになりました

User avatar
武田隆志
2024.11.21
新機能のロードバランサーキャパシティユニット (LCU) 予約で、ALBの暖機を試みてみた

新機能のロードバランサーキャパシティユニット (LCU) 予約で、ALBの暖機を試みてみた

User avatar
suzuki.ryo
2024.11.21
【アップデート】Compute Optimizer が アイドルリソースの推奨をサポートするようになりました

【アップデート】Compute Optimizer が アイドルリソースの推奨をサポートするようになりました

User avatar
おつまみ
2024.11.21
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.