この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは、AWS事業本部の平井です。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。
本記事の対象コントロール
[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります
[DynamoDB.3] DynamoDB Accelerator (DAX) clusters should be encrypted at rest
前提条件
本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容です。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。
コントロールの説明
このコントロールは、DynamoDB Accelerator (以降DAX) クラスターが保管中に暗号化されているかをチェックします。
保管中のデータを暗号化することで、ディスクに保存されているデータは、悪意のあるユーザーによってアクセスされるリスクを軽減できます。
追加料金はかからないため、基本有効化しましょう。
ただし、保管時の暗号化を有効するためには、作成済みのDAXクラスターは変更できないため、DAXクラスターの再作成が必要になります。
修正手順
1 ステークホルダーに確認
ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。
- DAXクラスターの保管時の暗号化をしてよいか
- DAXクラスターを再作成する必要があるため、作成タイミングも確認しましょう。
2 保管時の暗号化を有効にするDAXクラスターの作成方法
- DynamoDBのダッシュボードから[DAX]から、[クラスターの作成]をクリックします。
- 適切なクラスターノードやネットワーク構成を選択後、[セキュリティを設定]のステップで、[暗号化]2つにチェックを加えます。
- 今回のコントロール対象は、
保管時の暗号化を有効化ですが、追加料金はかからないため、基本転送時の暗号化を有効にするもチェックをいれます。
- 今回のコントロール対象は、
- クラスターを作成後、クラスターの詳細から、
保管時の暗号化が有効になっていることが確認できます。
これで、DAXクラスターは保管時に暗号化されました!
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。
以上、平井でした!
2
