![【Security Hub修復手順】[RDS.15] RDS DBクラスターは複数のアベイラビリティーゾーンに対して構成されるべき](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-e71a738589e583b65670923628e8b6f4/45568b9fd457506bd2f3d6fd304d4b6a/aws-security-hub?w=3840&fm=webp)
【Security Hub修復手順】[RDS.15] RDS DBクラスターは複数のアベイラビリティーゾーンに対して構成されるべき
こんにちは!フニです。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。
本記事の対象コントロール
[RDS.15] RDS DBクラスターは複数のアベイラビリティーゾーンに対して構成されるべき
[RDS.15] RDS DB clusters should be configured for multiple Availability Zones
前提条件
本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。
対象コントロールの説明
このコントロールは、RDS DB クラスターで高可用性が有効になっているかどうかをチェックします。RDS DB クラスターが複数のアベイラビリティーゾーン (AZ) にデプロイされていない場合、コントロールは失敗します。
RDS Multi-AZ DB クラスターは作成時に自動的に複数のAZに配置されるため、本コントロールで失敗するのは実質的に Amazon Aurora クラスター です。
Amazon Aurora でライターインスタンスのみを利用している場合にコントロールは失敗しますので、リードレプリカを追加することで、本コントロールは成功になります。
ただし、追加コストが発生いたしますのでリードレプリカが不要な場合は抑制の対応でも問題ございません。
Aurora の場合、既にストレージレベルで複数のAZにデータが自動的に複製されていますが、
リードレプリカの追加により、読み取り負荷の分散やフェイルオーバー時間の短縮、さらにレプリカラグの管理が可能になります。
詳細は以下の公式ドキュメントをご参照ください。
修復手順
1 ステークホルダーに確認
ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下の点を確認します。
- Amazon Aurora クラスターにリードレプリカを追加して良いか
- 対応しない場合は、その理由を確認し、Security Hubで当該コントロールを「抑制済み」に設定します。
2 リードレプリカを追加する
- DB Cluster とインスタンスが全て「利用可能」か確認します。利用可能でない場合は設定できません。
- DB Cluster を選択後、「リーダーの追加」を押下します。
- 追加する DB Instance の設定後、「リーダーを追加」を押下します。設定は必要に応じて変更してください。
- 作成完了まで待機します。これで完了です。
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。
以上、フニでした!
