【Security Hub修復手順】[ RDS.35 ] RDS DB クラスターでは、マイナーバージョン自動アップグレードを有効にする必要があります

【Security Hub修復手順】[ RDS.35 ] RDS DB クラスターでは、マイナーバージョン自動アップグレードを有効にする必要があります

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

#AWS
#AWS Security Hub
おつまみ

おつまみ

facebook logohatena logotwitter logo
Clock Icon2024.08.19

こんにちは!AWS事業本部のおつまみです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[ RDS.35 ] RDS DB クラスターでは、マイナーバージョン自動アップグレードを有効にする必要があります

[ RDS.35 ] RDS DB clusters should have automatic minor version upgrade enabled

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。

https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/

https://dev.classmethod.jp/articles/aws-security-operation-with-securityhub-2021/

対象コントロールの説明

このコントロールは、DS マルチ AZ DB クラスターでマイナーバージョン自動アップグレードが有効になっているかどうかをチェックします。

メジャーバージョンアップには、既存のアプリケーションとの下位互換性のないデータベースの変更が含まれる場合があります。そのため、メジャーバージョンアップグレードは手動で実行する必要があります。

それに対して、 マイナーバージョンアップには、既存のアプリケーションとの下位互換性があるセキュリティパッチやバグ修正などの変更のみ です。

パッチのインストールを最新の状態に保つことは、システムを保護する上で非常に重要なため、マイナーバージョン自動アップグレードは有効にしましょう。

マイナーバージョンアップの実行タイミングは、RDS作成時に設定する DB インスタンスのメンテナンス期間(メンテナンスウィンドウ) 中に行われます。

また、ダウンタイムの発生など、マイナーバージョン自動アップグレードの挙動は、DBエンジンによって異なるため、一読しておくことをおすすめします。

https://docs.aws.amazon.com/ja_jp/AmazonRDS/latest/AuroraUserGuide/USER_UpgradeDBInstance.Maintenance.html#Aurora.Maintenance.AMVU

https://dev.classmethod.jp/articles/how-can-i-check-the-aurora-minor-version-automatic-upgrade-configuration/

修復手順

1. 対象のリソースの確認方法

  1. AWSマネージメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「RDS.35」を検索し、タイトルを選択します。
    40997677-F6F6-4EAE-884B-7C7B0770B936_4_5005_c.jpeg

  2. リソースの欄から失敗しているリソースを確認できます。
    5917D4E3-271C-4BCB-A673-87539F5332B9_4_5005_c.jpeg

2. ステークホルダーに確認

  1. ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。
  • RDSのマイナーバージョン自動アップグレードを有効にしてよいか
    • 指定したメンテナンスウィンドウ時に、マイナーバージョンアップされますが問題なければ、設定を変更します。
    • 問題があれば、Security Hubの失敗箇所を抑制済みにします。

3. マイナーバージョン自動アップグレードを有効

  1. 対象のリソースで[マイナーバージョン自動アップグレード]が無効になっていることを確認します。
    C9028158-6690-4F54-8353-67BAD00A828C.png

  2. RDSの対象のリソースに対して、[変更]を選択します。
    59AE080A-18C3-4A60-8A84-335209435093.png

  3. [マイナーバージョン自動アップグレードの有効化]にチェックマークをつけて、[続行]を選択します。必要に応じて、メンテナンス期間も調整してください。
    14DA4D44-0845-49BD-A3D8-75F74528C6D8_4_5005_c.jpeg

  4. [変更のサマリー]でマイナーバージョン自動アップグレードのみ変更になっていることを確認し、[変更のスケジュール]で任意のタイミングを選択し、[クラスターの変更]を選択します。
    F0933505-4702-4D78-9219-7C9F84639C79.png

※変更時に再起動は発生しませんので、ご安心下さい。
https://dev.classmethod.jp/articles/tsnote-aurora-amvu-001/

  1. 適用後、[マイナーバージョン自動アップグレード]が有効になっていることを確認します。以上で設定変更は完了です。
    8CD96F69-37ED-4A6A-B75D-294809DF0E22.png

  2. SecurityHubにて、失敗しているリソースが0になっていること及びステータスが[成功]になっていることを確認します。 ※リソースの更新には数分、ステータスの更新には1日程度かかります。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、おつまみ(@AWS11077)でした!

Share this article

facebook logohatena logotwitter logo

関連記事

[アップデート] EBSスナップショットとAMIのゴミ箱保持ルールの適用対象をタグで制御できるようになりました

[アップデート] EBSスナップショットとAMIのゴミ箱保持ルールの適用対象をタグで制御できるようになりました

User avatar
武田隆志
2024.11.21
新機能のロードバランサーキャパシティユニット (LCU) 予約で、ALBの暖機を試みてみた

新機能のロードバランサーキャパシティユニット (LCU) 予約で、ALBの暖機を試みてみた

User avatar
suzuki.ryo
2024.11.21
【アップデート】Compute Optimizer が アイドルリソースの推奨をサポートするようになりました

【アップデート】Compute Optimizer が アイドルリソースの推奨をサポートするようになりました

User avatar
おつまみ
2024.11.21
AWS IAM Identity Center の各グループに所属するユーザー一覧を出力してみた

AWS IAM Identity Center の各グループに所属するユーザー一覧を出力してみた

User avatar
yhana
2024.11.21
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.