【Security Hub修復手順】[ElastiCache.4] ElastiCache for Redisのレプリケーショングループで、保管時の暗号化を有効化する必要があります

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。

おつまみ

2024.02.14

こんにちは！AWS事業本部のおつまみです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。

本記事の対象コントロール

[ElastiCache.4] ElastiCache for Redisのレプリケーショングループで、保管時の暗号化を有効化する必要があります

[ElastiCache.4] ElastiCache for Redis replication groups should be encrypted at rest

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

このコントロールは、ElastiCache for Redis レプリケーショングループが保管時に暗号化されているかどうかをチェックします。
保管時に暗号化されていない場合、失敗します。

保管時の暗号化を有効化すると、以下に保存されたデータが悪意のあるユーザーによってアクセスされるリスクを低減するメリットがあります。

ただし、バックアップオペレーションやノード同期オペレーション等のパフォーマンスに影響を与える可能性があります。　　
機密情報や個人情報等は含まれず、永続的なバックアップも不要な場合は、性能評価した上で保管時の暗号化の必要性をご検討ください。　　

また保管時の暗号化を有効にするには、レプリケーショングループを再作成する必要がある点に注意が必要です。

なおサーバーレスキャッシュおよび設計時に「簡単な作成」を使用した場合は、既に保管時の暗号化が有効になっていため、本対応は不要です。

ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。

保管時に暗号化することを許容しても問題ないか？
- 保管時の暗号化を有効すると、データの暗号・復号のオーバーヘッドが発生します。パフォーマンスが求められるシステムでは、暗号の有無によるパフォーマンスへの影響をベンチマークするようにお願いします。

バックアップのリストで、復元元のバックアップ名の左にあるチェックボックスを選択し、[アクション]→[復元]を選択します。
独自のキャッシュの設計を選択し、ノードタイプ、サイズ、シャード数、レプリカ、AZ 配置のクラスター設定を元のレプリケーショングループと同じになるようカスタマイズします。なおクラスター情報の名前は元のレプリケーショングループと被らないように別の名前を設定します。
セキュリティセクションの[保管中の暗号化]で[有効化]を選択します。暗号化キーは[デフォルトキー]もしくは[カスタマーマネージドCMK]どちらかを選択します。キーの違いについては、AWS KMS のAWSマネージドキーとカスタマーマネージドキーの違いをまとめてみた | DevelopersIOをご確認ください。
確認と作成画面で設定が正しくされていることを確認し、[作成]を選択します。
新規レプリケーショングループが作成され、[保管中の暗号化]が[有効]になっていることを確認します。

アプリケーションのエンドポイントを、新しいレプリケーショングループのエンドポイントに更新します。
アプリケーションを接続し、保管されているデータなどの接続に問題ないことを確認します。
旧レプリケーショングループを削除します。対象のグループを選択し、[削除]を選択します。
確認画面で任意の選択をし、[削除]を選択します。※必要に応じて、バックアップを取得して下さい。
SecurityHubにて、失敗しているリソースが0になっていること及びステータスが[成功]になっていることを確認します。 ※リソースの更新には数分、ステータスの更新には1日程度かかります。

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう！

最後までお読みいただきありがとうございました！
どなたかのお役に立てれば幸いです。