![【Security Hub修復手順】[RDS.51] RDS グローバルクラスターは、サポートされている Aurora MySQL バージョンで実行する必要があります](https://images.ctfassets.net/ct0aopd36mqt/wp-refcat-img-cea52bc8a6ec5cad9021b38df4a08b9e/24c76ee7c1ae7aa7f9676a59c77f8702/aws-security-hub?w=3840&fm=webp)
【Security Hub修復手順】[RDS.51] RDS グローバルクラスターは、サポートされている Aurora MySQL バージョンで実行する必要があります
こんにちは!SREチームの乃万です。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
本記事では、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。
本記事の対象コントロール
[RDS.51] RDS グローバルクラスターは、サポートされている Aurora MySQL バージョンで実行する必要があります
[RDS.51] RDS global clusters should run on a supported Aurora MySQL version
前提条件
本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。
対象コントロールの説明
このコントロールは、Aurora MySQLグローバルクラスターが最小サポートエンジンバージョン以上で動作しているかチェックします。
以下のいずれかの条件を満たす場合にPASSEDになります。
- エンジンバージョンが
8.0.mysql_aurora.3.08.0以上である - またはLTSバージョン(
8.0.mysql_aurora.3.04.0〜8.0.mysql_aurora.3.04.3)のいずれかである
Aurora MySQLのマイナーバージョンには標準サポート終了日が定められており、終了後はセキュリティパッチが提供されなくなります。サポートが終了したバージョンを継続利用すると、脆弱性を悪用した攻撃を受けるリスクがあります。
また、標準サポート終了後も引き続きそのバージョンを利用し続ける場合、Amazon RDS延長サポートの追加料金が発生します。コスト管理の観点からも、計画的なバージョンアップを検討することをお勧めします。
クラスメソッドとしての対応方針
クラスメソッドでは本コントロールへの対応を必須としていません。Aurora MySQLグローバルクラスターのアップグレードは複数リージョンのクラスターに影響するため、十分な検証工数を確保した上で計画的に実施することをお勧めします。
修復手順
コントロールの確認方法
- Security Hubコンソールを開く
- 左メニューから「検出結果」を選択
- フィルターで対象のコントロールID「RDS.51」を検索
検出結果の「リソース」列に、対応が必要なグローバルクラスターのARNが表示されます。対象のグローバルクラスター名を控えておいてください。
ステークホルダーに確認
修復を行う前に、以下の点をステークホルダーに確認してください。
- 対象バージョンの確認: アップグレード先バージョン(
8.0.mysql_aurora.3.08.0以上)とアプリケーションの互換性を事前に検証環境で確認してください - 影響範囲の確認: グローバルクラスターのアップグレードはプライマリリージョンとすべてのセカンダリリージョンに影響します。関係するすべてのチームへ事前に通知してください
- メンテナンスウィンドウの設定: アップグレード中に一時的な接続断が発生する可能性があります。業務影響が最小化されるタイミングで実施してください
- 切り戻し計画: アップグレード後に問題が発生した場合の対応方針を事前に決定してください
修復手順
Aurora MySQLグローバルクラスターのエンジンバージョンをアップグレードします。
重要:
8.0.mysql_aurora.3.04.*以上のバージョンへのアップグレードでは、セカンダリリージョンの一時削除が必要です。本手順では下記の手順を行います。
- グローバルクラスターからセカンダリリージョンを削除する
- プライマリクラスターのエンジンバージョンを変更する
- セカンダリリージョンをグローバルクラスターに再追加する
Step 1: 現在のエンジンバージョンの確認
- AWSマネジメントコンソールでRDSを開く
- 左メニューから「グローバルデータベース」を選択する
- 対象のグローバルクラスターを選択し、プライマリクラスターおよびセカンダリクラスターの構成を確認する
Step 2: セカンダリリージョンのグローバルクラスターからの削除
グローバルクラスターにセカンダリリージョンがある場合、アップグレード前に削除します。セカンダリクラスターは削除後もスタンドアロンのAuroraクラスターとして残ります。
- 対象のグローバルクラスターを選択した状態で「アクション」→「グローバルクラスターからリージョンを削除」を選択する
- 削除するセカンダリリージョンを確認し、削除を実行する
3. セカンダリクラスターのステータスが「グローバルクラスター外」に変わったことを確認する
Step 3: プライマリクラスターのエンジンバージョン変更
- 左メニューから「データベース」を選択し、対象のプライマリクラスターを選択する
- 「変更」ボタンをクリックする
- 「DBエンジンバージョン」で
8.0.mysql_aurora.3.08.0以上のサポート済みバージョンを選択する
- 変更内容を確認し、「DBクラスターの変更」をクリックする
- クラスターのステータスが「利用可能」に戻るまで待機する
Step 4: セカンダリクラスターのエンジンバージョン変更
Step 2で削除したセカンダリクラスターも同様の手順でエンジンバージョンを変更します。
- 「データベース」からセカンダリクラスターを選択し、「変更」→「DBエンジンバージョン」をプライマリクラスターと同じバージョンに変更する
Step 5: セカンダリリージョンのグローバルクラスターへの再追加
- 「グローバルデータベース」から対象のグローバルクラスターを選択する
- 「アクション」→「リージョンを追加」を選択する
- セカンダリリージョンと対象のクラスターを指定して追加する
- セカンダリクラスターのステータスが「利用可能」になり、グローバルクラスターとしてのレプリケーションが再開されたことを確認する
修復確認
修復後、Security Hubで検出結果が「PASSED」になることを確認します。
- Security Hubコンソールの「検出結果」でコントロールID「RDS.51」を検索する
- 対象のグローバルクラスターのステータスが「PASSED」になっていることを確認する
注意: Security Hubの検出結果が更新されるまで時間がかかる場合があります。AWS Configの評価が完了してからSecurity Hubに反映されるまで、最大12時間程度かかることがあります。
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。
以上、乃万でした!
