こんにちは、岩城です。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。
本記事の対象コントロール
[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります
[Neptune.5] Neptune DB clusters should have automated backups enabled
前提条件
本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。
対象コントロールの説明
コントロールのタイトルからは分かりづらいですが、自動バックアップを有効化する、かつバックアップ保持期間を7日以上に設定することを求めるものです。
Neptune DBクラスター(以降、クラスター)を作成する際、デフォルトで保持期間1日の自動バックアップが有効化されます。
このように、自動バックアップが無効になっていることはないので、保持期間を7日以上に変更してください。
RPO要件やバックアップストレージ費用を削減する目的で7日未満に設定している場合は、当該コントロールを抑制済みにしてください。
修復手順
クラスターの変更からバックアップ保持期間の日数を7日以上に設定してください。
バックアップ保持期間の変更は、起動中のクラスターに全く影響を与えないのですぐに適用して問題ありません。
バックアップ保持期間の変更は、マネジメントコンソールよりもCLIの方が簡単です。
以下のようなコマンドで実行可能です。なお、変更を適用するタイミングのオプションである--apply-immediatelyと--no-apply-immediatelyの有無に関わらず即時保持期間が変更されることを確認しています。
$ aws --version
aws-cli/2.15.14 Python/3.11.6 Linux/6.1.66-91.160.amzn2023.x86_64 exec-env/CloudShell exe/x86_64.amzn.2023 prompt/off
$ $ aws neptune modify-db-cluster --db-cluster-identifier devio-dev-neptune-cluster --backup-retention-period 7
~省略~
"BackupRetentionPeriod": 7,
~省略~おまけ:カスタムパラメーター
一部コントロールにはカスタムパラメーターを設定できるものがあり、当該コントロールも対象です。
例えば、デフォルトではバックアップ保持期間は7日に設定されますが、これを7~35日の範囲から設定することができます。
残念ながら7日未満の設定はできないので、先述のとおり7日未満の保持期間に設定している場合は、当該コントロールを抑制済みにする他ありません。
おわりに
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。
0
