【Security Hub修復手順】[DocumentDB.1] Amazon DocumentDB クラスターは、保管時の暗号化を有効にする必要があります

【Security Hub修復手順】[DocumentDB.1] Amazon DocumentDB クラスターは、保管時の暗号化を有効にする必要があります

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
Clock Icon2024.08.23

こんにちは!AWS事業本部のおつまみです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[DocumentDB.1] Amazon DocumentDB クラスターは、保管時の暗号化を有効にする必要があります

[DocumentDB.1] Amazon DocumentDB clusters should be encrypted at rest

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。

https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/

https://dev.classmethod.jp/articles/aws-security-operation-with-securityhub-2021/

対象コントロールの説明

このコントロールは、Amazon DocumentDB クラスターが保管中に暗号化されているかどうかをチェックします。Amazon DocumentDB クラスターが保管中に暗号化されていない場合、コントロールは失敗します。

データ管理はユーザー側の責任であるため、保管時の暗号化は必須です。
これを行わない場合、データ管理の責任を放棄することになります。
このため、本番環境の場合、保管時の暗号化を有効化することを検討します。

一方、重要データを扱わない本番環境以外の場合は、必ずしも有効にする必要はありません。そのような場合は、コントロールを抑制済みに設定してください。

修復手順

1. 対象のリソースの確認方法

  1. AWSマネージメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「DocumentDB.1」を検索し、タイトルを選択します。
    5776FDF4-5B48-464E-B27D-0A1CC0C4170B_4_5005_c.jpeg

  2. リソースの欄から失敗しているリソースを確認できます。
    8F1AEC4C-CCF8-4D84-9D52-76CB23E571DC.png

2. ステークホルダーに確認

  1. ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。
  • 暗号化が無効のクラスターをバックアップし、暗号化を有効にしたクラスターを再作成してよいか

難しい場合、抑制済みにします。

3. クラスターの暗号化

既存のクラスターを直接暗号化することはできません。
そのため、スナップショットを作成し、新しいクラスターとして復元する際に保存時の暗号化オプションを指定する方法をご紹介します。

  1. Document DBのスナップショットを取得するため、[作成]を選択します。
    6D695657-D316-47B4-8B87-AC1DA05ACA1E.png

  2. クラスター識別子・スナップショット識別子を入力し、[作成]を選択します。
    584AD1E4-F366-491E-B6D1-8AEB7F4249A8.png

  3. スナップショットのステータスがAvailableになった後、[アクション]→[復元]を選択します。
    A4313B00-87CC-47C1-A683-E4B4665F1796.png

  4. 設定画面にて、保管時の暗号化にチェックを入れます。それ以外の設定項目も既存のクラスターに合わせてください。
    34852B58-A838-4E25-9DAE-B87E99AD8D49.png

5.復元後、クラスターの暗号化が有効になっていることを確認します。これで新規クラスターは暗号化が有効になりました。
6533DCEC-4B81-4933-8B66-EDB3E5CE48D0.png

6.クラスターのエンドポイントを合わせるために、既存のクラスターを削除し、復元したクラスターの識別子を修正します。既存のクラスターを選択し、[削除]を選択します。
7C8D656D-939E-4A0E-8804-5D210BBF95E9.png

  1. 削除されたことを確認後、復元したクラスターを選択し、[変更]を選択します。
    2EF11DF4-8ECE-4959-A07C-C2EB5F745B62.png

  2. クラスター識別子を既存のクラスターの識別子に変更します。
    E10D197B-802B-468A-83B1-92F5905133E7.png

  3. インスタンスも識別子を変更します。インスタンスを選択し、[変更]を選択します。
    FA233D35-D2F0-473F-AE51-798F14B33262.png

  4. インスタンス識別子を既存のクラスターの識別子に変更します。
    0DD12669-9D0B-4C6E-8CC0-81D1CED0C919.png

  5. 識別子が変更されたことを確認します。確認後、DBに接続できることを確認します。
    D0FA697A-E675-4EA3-A650-3D15568EE7EE.png

  6. SecurityHubにて、失敗しているリソースが0になっていること及びステータスが[成功]になっていることを確認します。 ※リソースの更新には数分、ステータスの更新には1日程度かかります。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、おつまみ(@AWS11077)でした!

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.