この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは、AWS事業本部の平井です。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。
本記事の対象コントロール
[EFS.1] Amazon EFS は、AWS KMS を使用して保管中のファイルデータを暗号化するように設定する必要があります
[EFS.1] Elastic File System should be configured to encrypt file data at-rest using AWS KMS
前提条件
本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容です。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。
コントロールの説明
このコントロールは、EFSの保管時の暗号化が無効になっている場合、失敗します
保管中のデータを暗号化することで、ディスクに保存されているデータは、悪意のあるユーザーによってアクセスされるリスクを軽減できます。
暗号化は、ユーザー側の責任であるため、保管時の暗号化は必須です。
ただし、EFSを作成した後、暗号化設定を変更することはできません。そのため、再作成する必要があります。
ちなみに、EFS作成時に暗号化を強制するIAM条件キーがありますので、下記の記事も一読ください。
修正手順
1 対象のEFSの確認方法
- AWSマネージメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「EFS.1」を検索します。タイトルを選択します。
- リソースの欄から失敗しているEFSを確認できます。
2 ステークホルダーに確認
ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。
- 暗号化が無効のEFSに代わり、暗号化を有効にしたEFSを再作成してよいか
3 暗号化を有効にしたEFSを作成
暗号化で設定するKMSキーは、カスタマー管理型のキーでもよいですが、今回は、AWS マネージド型キー(aws/elasticfilesystem) を使用します。
- EFSのコンソールから作成をクリックします。
- 暗号化欄の[保管時のデータの暗号化を有効にする]にチェックをして、作成します。
- 暗号化が有効になっていることを確認しましょう。
これで暗号化設定が有効なEFSを作成することができました!
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。
以上、平井でした!
2
