こんにちは!AWS事業本部のおつまみです。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。
本記事の対象コントロール
[ElastiCache.1] ElastiCache for Redisクラスターでは、自動バックアップをスケジュールする必要があります。
[ElastiCache.1] ElastiCache for Redis clusters should have automatic backups scheduled
前提条件
本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。
対象コントロールの説明
このコントロールは、Amazon ElastiCache for Redis クラスターに自動バックアップがスケジュールされているかどうかを評価します。
Redis クラスターの SnapshotRetentionLimit が 1 未満の場合、コントロールは失敗します。
自動バックアップを有効化した場合、以下コストやパフォーマンスの観点で注意すべき点が2つあります。システムの重要度と比較して検討してください。
- 2世代以上のバックアップを保存する場合、別途追加のコストが発生する
- バックアップ実行時にわずかながらパフォーマンスに影響がある
前述した点を許容した上で、耐障害性を考慮して自動バックアップは有効化しておくことを推奨します。 ただし、セッション等の一時的に消失しても問題ない情報のみを扱っている場合は無効化でも問題ありません。
修復手順
1. ステークホルダーに確認
ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。
- バックアップ保持期間
- 2世代以上のバックアップを保存する場合、別途追加のコストが発生します。
- バックアップの開始時間帯
- 使用率が高い時間帯のバックアップを避けることを推奨します。
- バックアップ期間
- バックアップの作成が開始される期間を指します。
例えば、バックアップの開始時間を「3時00分」、期間を「0.5時間」と指定した場合は、「3時00分〜3時30分」の間にバックアップ処理が開始されます。(ピンポイントに何時から開始という指定はできません。)
2. 自動バックアップを有効にする
- Amazon ElastiCache のコンソールから対象のRedis クラスターを選択し、[アクション]→[変更]をクリックします。
-
変更画面のバックアップセクションにて、[自動バックアップを有効化]を選択します。その他の項目は事前に確認した項目を設定して下さい。そのまま下の画面に遷移し、[変更をプレビュー]を選択します。
-
プレビュー画面で変更の概要を確認します。問題がなければ、[変更]を選択します。自動バックアップの変更のみであれば、クラスタへの影響はなく、変更は即時に行われます。
-
クラスター詳細画面の[メンテナンスとバックアップ]の[バックアップ]から、意図した変更が設定されていることを確認します。
-
SecurityHubにて、失敗しているリソースが0になっていること及びステータスが[成功]になっていることを確認します。 ※リソースの更新には数分、ステータスの更新には1日程度かかります。
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!
どなたかのお役に立てれば幸いです。
以上、おつまみ(@AWS11077)でした!
0
