【Security Hub修復手順】[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります

【Security Hub修復手順】[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
Clock Icon2023.08.17

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは!AWS事業本部のおつまみです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。

本記事の対象コントロール

[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります

[Redshift.10] Redshift clusters should be encrypted at rest

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

このコントロールは、RedshiftクラスターがKMSを利用して暗号化されているかチェックします。
Redshift クラスターが保存時に暗号化されていない場合、または暗号化キーがルールパラメータで指定されたキーと異なる場合、コントロールは失敗します。

暗号化しない場合、権限のないユーザーがディスクに保存されたデータへアクセスできてしまうリスクがあるため、対応は必須です。

なおクラスターの設定を暗号化する設定に変更すると、Redshiftのデータは暗号化されたクラスターに自動移行されます。
データ移行中はクラスターが読み取り専用になるため、クラスターへの書き込みが発生しないタイミングで設定変更を行なってください。 暗号化によるパフォーマンス影響が問題になるケースは少ないですが、運用中のワークロードで暗号化を有効化する場合は事前にテストを実施してください。

修復手順

  1. Amazon Redshift コンソールを開きます。

  2. ナビゲーション メニューで、[クラスター]を選択し、暗号化を変更するクラスターを選択します。  

  3. [プロパティ]を選択し、[暗号化]が無効になっていることを確認します。  

  4. [編集]を選択し、[[暗号化の編集]を選択します。  

  5. いずれかの暗号化オプションを選択し、[変更を保存]を選択します。  

暗号化キーにはKMSキーもしくはHSM(ハードウェアセキュリティモジュール)が利用できます。またKMSの場合、デフォルトのRedshiftキーまたはユーザー管理のKMSキーを指定できます。デフォルトのRedshiftキーを指定した場合、追加のコストは発生しません。

6. 状態が[変更中]となります。しばらくすると、状態が[正常]となり、[暗号化]が有効となります。以上で設定変更は完了です。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!
どなたかのお役に立てれば幸いです。

以上、おつまみ(@AWS11077)でした!

参考

Changing cluster encryption - Amazon Redshift

Redshift data encryption performance | AWS re:Post

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.