【Security Hub修復手順】[Neptune.3] Neptune DBクラスタースナップショットはパブリックにしないでください

こんにちは、岩城です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください

[Neptune.3] Neptune DB cluster snapshots should not be public

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

スナップショットを不特定多数に向けて公開する必要がなければパブリック共有しないでください。

パブリック共有したスナップショットは、意図しないデータ漏えいにつながる可能性があります。

パブリックに共有できるスナップショットは暗号化されていないものに限定されます。

スナップショットの暗号化はNeptune DBクラスターの暗号化有無で決まるため、スナップショット単独で暗号化することはできません。

対応としては、以下の2つが考えられます。

• パブリック共有を止める
• AWSアカウントを指定したプライベート共有に変更する

パブリック共有する要件があるスナップショットであれば、当該コントロールを抑制済みにしてください。

修復手順

パブリック共有を止める

アクション>スナップショットを共有>DBクラスタースナップショットの可視性をパブリックからプライベートに変更してください。

AWSアカウントを指定したプライベート共有に変更する

別のAWSアカウントに対しスナップショットを共有したい場合は、共有先となるAWSアカウントIDを指定してプライベート共有してください。

さらにセキュアな共有を目指すのであれば、スナップショットの暗号化を検討してください。

先述のとおり、スナップショット単独では暗号化できないため、Neptune DBクラスターの暗号化が必要です。

既存のNeptune DBクラスターを暗号化有に変更することができないため、Neptune DBクラスターの再作成が必要です。

別エントリで紹介しているのでご確認ください。

ソースアカウントのカスタマー管理型のキーで暗号化されたスナップショットを使用して、別アカウントのNeptune DBクラスターを作成する場合、共有されたスナップショットから直接復元できません。

共有されたスナップショットから自アカウントにコピーし、コピーしたスナップショットから復元する形でNeptune DBクラスターを作成します。

図示すると以下のような感じになります。

自アカウントにスナップショットをコピーする際、暗号化済みの共有スナップショットを複合する必要があるため、ソースアカウントのキーポリシーに別アカウントからのアクセスを許可するよう定義します。

キーポリシーのサンプルは公式ドキュメントを参照してください。

おわりに

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう！

最後までお読みいただきありがとうございました！どなたかのお役に立てれば幸いです。