【Security Hub修復手順】[RDS.4] RDS クラスタースナップショットとデータベーススナップショットは保管中に暗号化する必要があります

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
特集

トクヤマシュン

2023.02.28

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、AWS事業本部のトクヤマシュンです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[RDS.4] RDS クラスタースナップショットとデータベーススナップショットは保管中に暗号化する必要があります

[RDS.4] RDS cluster snapshots and database snapshots should be encrypted at rest

対象コントロールの説明

次のサービスに関してスナップショットが暗号化されていない場合、本コントロールは失敗として検知されます。

  • RDSインスタンス
  • Aurora DBインスタンス
  • Neptune DBインスタンス
  • DocumentDBクラスター

保管中のデータを暗号化すると、認証されていないユーザーがディスクに保存しているデータにアクセスするリスクが低減されます。
本コントロールに対応しない場合、意図せぬデータ漏洩発生の可能性がありますのでご注意ください。

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

修復手順

今回はAmazon RDS for MySQLでスナップショットの暗号化について手順を説明します。

1.修正対象のスナップショット特定

まずAWS Security HubのコンソールからRDS.4のチェック結果を確認します。
表示項目から、今回の対象はtest-snapshot-non-encryptedであることが分かります。

東京リージョンでAWS Security Hubの集約を行なっている場合、下記リンクで上図の画面を確認可能です。

https://ap-northeast-1.console.aws.amazon.com/securityhub/home?region=ap-northeast-1#/standards/aws-foundational-security-best-practices-1.0.0/RDS.4

2.ステークホルダーに確認

ステークホルダーに以下を確認します。

  • スナップショットの非暗号化設定は意図したものか?
    • YESの場合
      • 基本的にスナップショットを暗号化しない理由はないかと思いますので、暗号化をご検討ください。
      • もし非暗号化を継続する場合には、対象のFindingsを抑制済みに変更し、以降の検知対応から除外します
    • NOの場合
      • 3.スナップショットの暗号化に進みます

3.スナップショットの暗号化

対象のスナップショットを直接暗号化することはできないため、下記の流れで暗号化スナップショットを作成します。

  • 非暗号化スナップショットからコピーする形で暗号化スナップショットを作成
  • 非暗号化スナップショットを削除

順に説明します。

3.1 スナップショットのコピー画面へのアクセス

マネジメントコンソールから、RDS→スナップショットのサービス画面にアクセスします。
対象のスナップショットをチェックし、アクション→スナップショットをコピーをクリックします。

3.2 スナップショットのコピー

下記を設定します。

  • 送信先リージョン
    • 暗号化スナップショットを作成したいリージョンを選択
  • 新しいDBスナップショットID
    • 任意のIDを指定
  • ターゲットオプショングループ
    • 設定したいオプショングループがあれば指定
  • タグをコピー
    • スナップショットのタグもコピーしたい場合はチェック
  • 暗号化
    • 暗号を有効化にチェック
  • AWS KMSキー
    • 任意のキーを設定
      • スナップショットのクロスアカウントコピーが必要な場合はカスタマーマネージドキーを利用する必要があります
      • それ以外はAWSマネージドキーであるデフォルトキー(aws/rds)で問題ありません

設定できたらスナップショットをコピーボタンをクリックします。

3.3 暗号化スナップショット作成の確認

作成したスナップショットの画面に遷移します。
しばらく時間が経過したあと、下記となっていることを確認します。

  • ステータス
    • 利用可能
  • KMSキーID
    • 設定したAWS KMSキーのID

確認できれば、暗号化スナップショットの作成は成功です。

3.4 非暗号化スナップショットの削除

マネジメントコンソールから、RDS→スナップショットのサービス画面にアクセスします。
対象のスナップショットをチェックし、アクション→スナップショットの削除をクリックします。

確認のポップアップが表示されますので、削除ボタンをクリックします。

以上で完了です。

なお、非暗号化RDSインスタンスが存在する場合、そこから作成される新規スナップショットはすべて非暗号化となります。
この場合は、RDSインスタンス自体の暗号化もあわせて検討するようにしてください。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、トクヤマシュンでした。

クラスメソッドメンバーズをご契約の皆さまに

AWS Security Hub 「基礎セキュリティのベストプラクティス」の各チェック項目(コントロール)に対する弊社としての推奨対応やコメントを記載しているClassmethod Cloud Guidebookを提供しています。 クラスメソッドメンバーズポータルの「お役立ち情報」→「組織的な AWS 活用のためのノウハウ」からご参照ください。

AWS

関連記事

【Security Hub修復手順】[Kinesis.1] Kinesis Data Streams は、保管中に暗号化する必要があります

平井裕二

2024.04.25

Security Hubの検出結果をノート(note)をつけてまとめて抑制してみた

たかやま

2024.04.13

Security Hubの検出結果サマリを週次でメール通知するサンプルソリューションを試してみた

杉金晋

2024.04.10

AWS Security Hub 『基礎セキュリティのベストプラクティス』で失敗している検出結果をCSV出力したい【Python, Boto3】

川原征大

2024.04.04