【Security Hub修復手順】[Neptune.6] Neptune DBクラスタースナップショットは、保管中に暗号化する必要があります

こんにちは、岩城です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります

[Neptune.6] Neptune DB cluster snapshots should be encrypted at rest

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

Neptune DBクラスター(以降、クラスター)から取得したスナップショットが暗号化されていることチェックします。

既存のスナップショットを後から暗号化することはできません。

暗号化されたクラスターから取得したスナップショットのみが自動で暗号化されます。

つまり、まずはクラスターを暗号化しないと、スナップショットを暗号化することはできないので、クラスターの暗号化を検討してください。

データコントロールはユーザー側の責任であるため、保管時の暗号化は必須です。これを行わない場合、データ管理の責任を放棄することになります。

暗号化されていないクラスターを利用したり、古いスナップショットを暗号化せずに保存しているなど、やむを得ない要件がある場合は当該コントロールを抑制済みにしてください。

修復手順

現在起動中のクラスターから取得したスナップショットを暗号化するには、クラスターを暗号化する必要があります。

クラスターも後から暗号化することができないので、スナップショットから暗号化する形でクラスターを再作成してください。

手順は以下エントリにまとめているので確認してください。

過去に手動取得した暗号化されていないスナップショットが対象であり、削除できる場合は削除します。

おわりに

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう！

最後までお読みいただきありがとうございました！どなたかのお役に立てれば幸いです。