SEC 8: 保管時のデータをどのように保護していますか?

複数のコントロールを実装して保管中のデータを保護し、不正アクセスや不正処理のリスクを低減します。

リソース

How Encryption Works in AWS
Securing Your Block Storage on AWS
AWS Key Management Service
Protecting Amazon S3 Data Using Encryption
Amazon EBS Encryption
Encrypting Amazon RDS Resources
AWS KMS Cryptographic Details Whitepaper
AWS Encryption SDK
AWS Crypto Tools
AWS cryptographic services and tools

ベストプラクティス:

改善計画

安全なキー管理を実装する

  • AWS Key Management Service (AWS KMS) を実装する: AWS Key Management Service (AWS KMS) では、キーを作成および管理し、さまざまな AWS のサービスおよびアプリケーションで暗号化の使用を制御することを容易にします。AWS KMS は、FIPS 140-2 で検証されたハードウェアセキュリティモジュールを使用してキーを保護する、安全で弾力性のあるサービスです。
    Getting started: AWS Key Management Service (AWS KMS)
  • AWS Encryption SDK を検討する: アプリケーションでクライアント側でのデータ暗号化が必要な場合、AWS KMS が統合された AWS Encryption SDK を使用します。
    AWS Encryption SDK
  • 保管中に暗号化を適用する

  • Amazon S3 の保管時の暗号化を強制する: S3 バケットのデフォルト暗号化を実装します。
    How do I enable default encryption for an S3 bucket?
  • AWS Secrets Manager を使用する: AWS Secrets Manager は、機密情報の管理を容易にする AWS のサービスです。機密情報とは、データベース認証情報、パスワード、サードパーティー API キー、任意のテキストなどです。
    AWS Secrets Manager
  • 新しい EBS ボリュームのデフォルトの暗号化を設定する: 新しく作成したすべての EBS ボリュームを暗号化形式で作成することを指定します。AWS が提供するデフォルトキーを使用するか、作成したキーを使用するかを選択できます。
    Default encryption for EBS volumes
  • 暗号化された Amazon Machine Image (AMI) を設定する: 暗号化を有効化して既存の AMI をコピーすると、自動的にルートボリュームとスナップショットが暗号化されます。
    AMIs with encrypted Snapshots
  • Amazon RDS の暗号化を設定する: 暗号化オプションを有効化して、保管中の Amazon RDS DB クラスターとスナップショットに対して暗号化を設定します。
    Encrypting Amazon RDS resources
  • 追加の AWS のサービスで暗号化を設定する: 使用する AWS のサービスについて、暗号化機能を特定します。
    AWS Documentation
  • 保管時のデータの保護を自動化する

    アクセスコントロールを適用する

  • アクセスコントロールを適用する: 暗号キーへのアクセスを含め、最小権限を用いたアクセスコントロールを適用します。
    Introduction to Managing Access Permissions to Your Amazon S3 Resources
  • さまざまな分類レベルに基づいてデータを分離する: AWS Organizations によって管理されるデータ分類レベルには、さまざまな AWS アカウントを使用します。
    AWS Organizations
  • AWS KMS ポリシーを確認する: AWS KMS ポリシーで付与されるアクセスのレベルを確認します。
    Overview of managing access to your AWS KMS resources
  • S3 バケットおよびオブジェクトに対するアクセス許可を確認する: Amazon S3 バケットのポリシーで付与されるアクセスのレベルを定期的に確認します。ベストプラクティスは、バケットを公開で読み取りまたは書き込み可能にしないことです。AWS Config を使用して公開されているバケットを検出し、Amazon CloudFront を使用して Amazon S3 からコンテンツを提供することを検討します。
    AWS Config Rules
    Amazon S3 + Amazon CloudFront: A Match Made in the Cloud
  • Amazon S3 バージョニングとオブジェクトロックを有効にする
    Using versioning
    Locking Objects Using Amazon S3 Object Lock
  • Amazon S3 インベントリを使用する: Amazon S3 インベントリ Amazon S3 インベントリは、オブジェクトのレプリケーションと暗号化ステータスの監査とレポートに使用できるツールの 1 つです。
    Amazon S3 Inventory
  • Amazon EBS と AMI の共有アクセス許可を確認する: 共有アクセス許可は、イメージとボリュームをワークロード外の AWS アカウントに共有することを可能にします。
    Sharing an Amazon EBS Snapshot
    Shared AMIs
  • 人をデータから遠ざけるメカニズムを使用する

  • 人をデータから遠ざけるメカニズムを実装する: メカニズムには、Amazon QuickSight などのダッシュボードを使用して、直接クエリを実行する代わりにユーザーにデータを表示することが含まれます。
    Amazon QuickSight
  • 設定管理を自動化する: 設定管理サービスまたはツールを使用して、リモートでアクションを実行し、安全な設定を自動的に適用および検証します。踏み台ホストを使用したり、EC2 インスタンスに直接アクセスしたりすることを回避します。
    AWS Systems Manager
    AWS CloudFormation
    CI/CD Pipeline for AWS CloudFormation templates on AWS