こんにちは!AWS事業本部のおつまみです。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。
本記事の対象コントロール
[ElastiCache.2] ElastiCache for Redisキャッシュクラスターのマイナーバージョンの自動アップグレードが有効であること
[ElastiCache.2] ElastiCache for Redis cache clusters should have auto minor version upgrade enabled
前提条件
本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。
対象コントロールの説明
このコントロールは、ElastiCache for Redis がキャッシュクラスターにマイナーバージョンアップグレードを自動的に適用するかどうかを評価します。
マイナーバージョンアップグレードを自動的に適用していない場合、失敗します。
ElastiCacheはバージョンアップグレード時に既存のデータをできるだけ保持するように設計されていますが、マイナーバージョンアップによってサービスへの影響が出てしまう可能性があります。
そのため、環境に合わせて以下のように設定することを推奨します。
- 検証・開発環境
- 有効化
- 本番環境など、サービス影響がクリティカルな環境
- 無効化しておき、メンテナンスのタイミングで手動アップグレードする
修復手順
1. ステークホルダーに確認
ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。
- マイナーバージョンアップグレードを自動的に適用して問題ないか。
2. マイナーバージョンアップグレードを有効にする
- Amazon ElastiCache のコンソールから対象のRedis クラスターを選択し、[アクション]→[変更]をクリックします。
-
変更画面のバックアップメンテナンスセクションにて、[マイナーバージョンの自動アップグレード]で[有効化]にチェックをつけ、[変更をプレビュー]を選択します。
-
プレビュー画面で変更の概要を確認します。問題がなければ、[変更]を選択します。マイナーバージョンの自動アップグレードの変更のみであれば、クラスタへの影響はなく、変更は即時に行われます。
-
クラスター詳細画面の[メンテナンスとバックアップ]の[メンテナンス]から、意図した変更が設定されていることを確認します。
-
SecurityHubにて、失敗しているリソースが0になっていること及びステータスが[成功]になっていることを確認します。 ※リソースの更新には数分、ステータスの更新には1日程度かかります。
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!
どなたかのお役に立てれば幸いです。
以上、おつまみ(@AWS11077)でした!
0
