【Security Hub修復手順】[DocumentDB.2 ] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です

【Security Hub修復手順】[DocumentDB.2 ] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

#AWS
#AWS Security Hub
おつまみ

おつまみ

facebook logohatena logotwitter logo
Clock Icon2024.08.19

こんにちは!AWS事業本部のおつまみです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[DocumentDB.2 ] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です

[DocumentDB.2 ] Amazon DocumentDB clusters should have an adequate backup retention period

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。

https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/

https://dev.classmethod.jp/articles/aws-security-operation-with-securityhub-2021/

対象コントロールの説明

このコントロールは、Amazon DocumentDB クラスターのバックアップ保持期間が指定された時間枠以上であるかどうかをチェックします。バックアップ保持期間が指定された時間枠未満の場合、コントロールは失敗します。
バックアップ保持期間に対してカスタムパラメータ値を指定しない限り、Security Hub はデフォルト値の 7 日を使用します。

バックアップはセキュリティインシデント時の迅速な復元やシステムの耐障害性の向上につながるため、有効化しましょう。

一方、本番環境以外の場合は、必ずしも有効にする必要はありません。そのような場合は、コントロールを抑制済みに設定してください。

修復手順

1. 対象のリソースの確認方法

  1. AWSマネージメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「DocumentDB.2」を検索し、タイトルを選択します。
    06F34A10-BA91-4CC9-A47B-C3CEADDA09E6_4_5005_c.jpeg

  2. リソースの欄から失敗しているリソースを確認できます。
    29989AEE-2850-4B2C-A0F6-5075F97CEF6D.png

2. ステークホルダーに確認

  1. ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。
  • 適切なバックアップ保持期間を変更して良いか
    • バックアップ要件を確認し、設定を変更します。
    • 本番環境以外の場合は、必ずしも対応する必要はありません。そのような場合は、Security Hubの失敗箇所を抑制済みにします。

3. バックアップ保持期間の変更

  1. 対象のリソースに対して、[変更]を選択します。
    E1E598BC-F4AA-4458-BBE7-230779EA0A28_4_5005_c.jpeg

  2. 「バックアップ保持期間」にて7~35日以上の日数を設定して、「続行」を選択します。
    3A229DD1-C590-4BD9-B43D-315CE8AE8802_4_5005_c.jpeg

  3. [変更の概要]でバックアップ保持期間のみ変更になっていることを確認し、[変更をスケジュール]で任意のタイミングを選択し、[変更]を選択します。
    7EB3C095-9C19-4184-A986-47EB955CBEC4.png

※予期されないダウンタイムの可能性を喚起するメッセージが表示されますが、バックアップ保持期間の変更はダウンタイムは発生されません。

  1. [メンテナンスとバックアップ]タブから自動バックアップが[有効(7日)]になっていることを確認します。
    64CBC0AA-326E-4BA9-8442-A3F41CEF5E96.png

  2. SecurityHubにて、失敗しているリソースが0になっていること及びステータスが[成功]になっていることを確認します。 ※リソースの更新には数分、ステータスの更新には1日程度かかります。

おまけ:Security Hubのカスタムコントロールパラメータでバックアップ保持期間を変更できます

Security Hubのカスタムコントロールパラメータを変更すると、バックアップ保持期間をデフォルトの7日間から変更できます。
651FE1BC-3687-4834-AB6C-65976B706C7D_1_105_c.jpeg

なお、パラメータは7~35までしか選択できないため、ご注意ください。
7日以下でコントロールを成功させることはできないので、その場合はコントロールを抑制済みに設定してください。
Security_Hub___ap-northeast-1.png

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、おつまみ(@AWS11077)でした!

この記事をシェアする

facebook logohatena logotwitter logo

関連記事

【Security Hub修復手順】[Athena.4] Athena ワークグループでは、ログ記録を有効にする必要があります

【Security Hub修復手順】[Athena.4] Athena ワークグループでは、ログ記録を有効にする必要があります

User avatar
べこみん
2024.09.29
[Amazon Bedrock] RAG利用時の選択肢「Kendra」と「Bedrock Knowledge Bases」を比較する

[Amazon Bedrock] RAG利用時の選択肢「Kendra」と「Bedrock Knowledge Bases」を比較する

User avatar
青柳英明
2024.09.29
Amazon ElastiCache for RedisとAmazon MemoryDB for Redisの正式名称が変わっている様です

Amazon ElastiCache for RedisとAmazon MemoryDB for Redisの正式名称が変わっている様です

User avatar
Takuya Shibata
2024.09.29
Amazon ECR へイメージをプッシュ時に作成されたタグなしの 0.01MB のイメージはなにか調べてみた

Amazon ECR へイメージをプッシュ時に作成されたタグなしの 0.01MB のイメージはなにか調べてみた

User avatar
大村 保貴
2024.09.29
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.