【Security Hub修復手順】[ES.1] Elasticsearch ドメインでは保存時の暗号化を有効にする必要があります

こんにちは、岩城です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります

[ES.1] Elasticsearch domains should have encryption at-rest enabled

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

Elasticsearchドメインに関連付けられたインデックスと自動スナップショットに対して保管時のデータの暗号化の有効化を求めるものです。

きめ細やかなアクセスコントロールを利用していると、強制的に暗号化が有効化されますが、利用していない場合に無効化を選択できます。

データ管理はユーザー側の責任であるため、保管時のデータの暗号化の有効化は必須です。

これを行わない場合、データ管理の責任を放棄することになります。

このため、プロダクション利用の場合、保管時のデータの暗号化の有効化することを検討します。

検証用途であったり、Elasticsearchドメインの停止が計画されている場合は、必ずしも有効にする必要はありません。そのような場合は、コントロールを抑制済みに設定してください。

修復手順

保管時の暗号化の有効化の注意事項

保管時の暗号化を有効化する際の注意事項がドキュメントに記載されており、静止時に暗号化を有効にすることを強く推奨されています。

Amazon OpenSearch Service の保管中のデータの暗号化>その他の考慮事項

静止時に暗号化を有効にすることを強くお勧めしますが、CPU オーバーヘッドが増加し、数ミリ秒の遅延が発生する可能性があります。ただし、ほとんどのユースケースはこれらの違いに敏感ではなく、影響の大きさは、クラスター、クライアント、および使用プロファイルの構成によって異なります。

OpenSearch Serviceはドメインの変更が行われると、Blue/Greenデプロイメントがトリガーされます。ダウンタイムを最小限に抑えることが可能ですが、ユーザー影響があると考えられますので、事前調整のうえ設定変更を計画してください。

また、一度有効化した後に無効化することはできませんのでご注意ください。

保管時の暗号化を有効にする

保管時の暗号化の設定状況は、OpenSearchドメイン>セキュリティ設定から確認できます。

設定変更は編集から可能です。

保管時のデータの暗号化の有効化にチェックを入れます。AWS KMSキーはデフォルトのAWS所有キーを使用するで問題ありません。

IAMレベルでKMSキーを制御する場合は、別途カスタマー管理型のキーを作成のうえ利用します。

保管時の暗号化の有効がBlue/Greenデプロイメントをトリガーするか確認したい場合は、分析の実行を行います。

今回のケースでは、Blue/Greenデプロメイントがトリガーされることが分かります。

Blue/Greenデプロイメントは、ダウンタイムを最小限に押さえられます。業務影響がなければそのまま変更の保存してください。

もし業務影響ががある場合は、業務影響が無い時間帯に有効にするよう計画してください。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう！

最後までお読みいただきありがとうございました！どなたかのお役に立てれば幸いです。