こんにちは、AWS事業本部の平井です。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。
本記事の対象コントロール
[RDS.27] RDS DBクラスターは保管時に暗号化する必要があります
[RDS.27] RDS DB clusters should be encrypted at rest
前提条件
本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容です。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。
コントロールの説明
このコントロールは、RDS DBクラスターが暗号化されているかどうかをチェックします。
暗号化されていない場合、コントロールは失敗します。
保管中のデータを暗号化することで、ディスクに保存されているデータは、悪意のあるユーザーによってアクセスされるリスクが低減されます。
暗号化は、ユーザー側の責任であるため、保管時の暗号化は必須です。
ただし、クラスターを作成した後、暗号化設定を変更することはできず、再作成する必要があります。
本コントロール対象リソースは、マルチAZ DBクラスターやAurora DBクラスターです。
修正手順
1 対象のリソースの確認方法
- AWSマネージメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「RDS.27」を検索します。タイトルを選択します。
- リソースの欄から失敗しているリソースを確認できます。
2 ステークホルダーに確認
ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。
- 暗号化が無効のクラスターをバックアップし、暗号化を有効にしたクラスターを再作成してよいか
難しい場合、抑制済みします。
3 クラスターの暗号化
今回は、暗号化されていないAurora MySQL DBクラスターを暗号化する手順についてご説明します。
- 対象のAurora MySQL DBクラスターのスナップショットを取得します
- スナップショット名を記入し、スナップショットを取得します
- スナップショット取得後、スナップを復元します
- 復元時、暗号化を有効化します
- 復元後、クラスターの暗号化が有効になっていることを確認します。
- 最後に、既存のクラスターを削除し、復元したクラスターの識別子を修正すると完了です。
これで暗号化を有効化にすることができました。
今回は、Aurora MySQL DBクラスターの暗号化方法でしたが、マルチAZ DBクラスターを暗号化する方法は、下記にまとめられていますので、ご参考ください。Auroraクラスターのように、暗号化していないクラスターのスナップショットを取得後、暗号化を有効化してスナップショットの復元はできません。
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。
以上、平井でした!
3
