【Security Hub修復手順】[RDS.1] RDS スナップショットはプライベートである必要があります

【Security Hub修復手順】[RDS.1] RDS スナップショットはプライベートである必要があります

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

#AWS Security Hub
#AWS
#Amazon RDS
#Amazon Aurora
#Amazon DocumentDB
トクヤマシュン

トクヤマシュン

facebook logohatena logotwitter logo
Clock Icon2023.01.30

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、AWS事業本部のトクヤマシュンです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[RDS.1] RDS スナップショットはプライベートである必要があります

[RDS.1] RDS snapshots should be private

対象コントロールの説明

次のサービスに関してスナップショットがパブリックである場合、本コントロールは失敗として検知されます。

  • Amazon RDS DBインスタンス
  • Amazon Aurora DBインスタンス
  • Amazon Neptune DBインスタンス
  • Amazon Document DBクラスター

暗号化されていないスナップショットをパブリックとして共有してしまった場合、すべてのAWSアカウントで使用可能となります。
本コントロールに対応しない場合、意図せぬデータ漏洩発生の可能性がありますのでご注意ください。

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

修復手順

1.修正対象のスナップショット特定

まずAWS Security HubのコンソールからRDS.1のチェック結果を確認します。
表示項目から、今回の対象はtest-snapshotであることが分かります。

東京リージョンの場合、下記リンクで上図の画面を確認可能です。

https://ap-northeast-1.console.aws.amazon.com/securityhub/home?region=ap-northeast-1#/standards/aws-foundational-security-best-practices-1.0.0/RDS.1

2.ステークホルダーに確認

ステークホルダーに以下を確認します。

  • スナップショットのパブリック公開は意図したものか?
    • YESの場合
      • 対象のFindingsを抑制済みに変更し、検知対象から除外します
      • 相当なレアケースかと思うので、公開して問題ないかはしっかりと確認するようにしてください
        • ケースの例として、人口統計などのオープンデータを一般公開する場合などが考えられます
    • NOの場合
      • 3.プライベートスナップショットへの変更に進みます

3.プライベートスナップショットへの変更

3.1 スナップショットのアクセス許可画面へのアクセス

マネジメントコンソールから、Amazon RDS→スナップショットのサービス画面にアクセスします。
対象のスナップショットをチェックし、アクションスナップショットの共有をクリックします。

3.2 プライベートスナップショットへの変更の保存

アクセスすると、次の画像のように警告が表示されています。

DBスナップショットの可視性のラジオボタンでPrivateを選択します。
AWSアカウントIDのall行に対し、削除ボックスにチェックします。

設定できたら、保存ボタンをクリックします。

以上で修復は完了です。

修復確認

再度対象のスナップショットをチェックして、アクションスナップショットの共有をクリックしてスナップショットのアクセス許可画面にアクセスします。

先ほどのように警告が表示されず、スナップショットの可視性がPrivateになっていればOKです。

キャンセルボタンをクリックしてスナップショットのアクセス許可画面から離れてください。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、トクヤマシュンでした。

クラスメソッドメンバーズをご契約の皆さまに

AWS Security Hub 「基礎セキュリティのベストプラクティス」の各チェック項目(コントロール)に対する弊社としての推奨対応やコメントを記載しているClassmethod Cloud Guidebookを提供しています。 クラスメソッドメンバーズポータルの「お役立ち情報」→「組織的な AWS 活用のためのノウハウ」からご参照ください。

Share this article

facebook logohatena logotwitter logo

関連記事

【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません

【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません

User avatar
吉田 岳史
2024.11.14
【Security Hub修復手順】 [Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません

【Security Hub修復手順】 [Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません

User avatar
吉田 岳史
2024.11.07
[小ネタ]Security Hubの重要度の基準を調べてみた

[小ネタ]Security Hubの重要度の基準を調べてみた

User avatar
和田響
2024.11.05
(สำหรับมือใหม่) AWS Security Hub คืออะไร? อธิบายจากข้อมูลทั่วไป ประโยชน์ของการใช้งานจนถึงค่าใช้จ่าย

(สำหรับมือใหม่) AWS Security Hub คืออะไร? อธิบายจากข้อมูลทั่วไป ประโยชน์ของการใช้งานจนถึงค่าใช้จ่าย

Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.