こんにちは!AWS事業本部のおつまみです。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。
本記事の対象コントロール
[SNS.1] SNS トピックは、AWS KMS を使用して保管中に暗号化する必要があります。
[SNS.1] SNS topics should be encrypted at-rest using AWS KMS
前提条件
本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。
対象コントロールの説明
このコントロールは、AWS KMS を使用して SNS トピックが保管中に暗号化されているかどうかをチェックします。
SNS トピックがサーバー側の暗号化 (SSE) に KMS キーを使用しない場合、コントロールは失敗します。
SNSトピックで扱う内容が機密性の高い情報や法的な要件で保護が求められる内容の場合、AWS KMSでの暗号化を検討してください。
修復手順
1. 対象のSNSの確認方法
- AWSマネージメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「SNS.1」を検索します。タイトルを選択します。
-
リソースの欄から失敗しているSNSトピックを確認できます。
2. ステークホルダーに確認
ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。
- 対象のSNSトピックに対して、暗号化を有効にしてよいか。
3. 暗号化を有効にする
- SNS のコンソールから対象のSNSトピックを選択し、[編集]をクリックします。
2. [暗号化]にて、[暗号化]を有効にします。カスタマーマスターキーを選択し、[変更を保存]をクリックします。
CloudWatch等のアラーム通知用に利用したい場合は、デフォルトのAWS管理 CMK(alias/aws/sns)ではなく顧客管理型 CMKを作成願います。
AWSサービスと連携する場合は、AWS KMS key のキーポリシーで必要な許可を付与していることを確認する必要があります。
キーの管理 - Amazon Simple Notification Service
3. SNSトピックが暗号化前と同様に使用できていることを確認します。
4. SecurityHubにて、失敗しているリソースが0になっていること及びステータスが[成功]になっていることを確認します。 ※リソースの更新には数分、ステータスの更新には1日程度かかります。
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!
どなたかのお役に立てれば幸いです。
以上、おつまみ(@AWS11077)でした!
4
