SEC 8: 保管時のデータをどのように保護していますか?

複数のコントロールを実装して保管中のデータを保護し、不正アクセスや不正処理のリスクを低減します。

リソース

How Encryption Works in AWS
Securing Your Block Storage on AWS
AWS Key Management Service
Protecting Amazon S3 Data Using Encryption
Amazon EBS Encryption
Encrypting Amazon RDS Resources
AWS KMS Cryptographic Details Whitepaper
AWS Encryption SDK
AWS Crypto Tools
AWS cryptographic services and tools

ベストプラクティス:

• 安全なキー管理を実装する: 暗号化キーは、AWS KMS などのキー管理サービスを使用するなど、厳格なアクセスコントロールで安全に保存する必要があります。異なるキーを使用し、AWS IAM およびリソースポリシーと組み合わせて、データ分類レベルと分離要件に合わせて、キーに対するアクセスコントロールを検討してください。

• 保管中に暗号化を適用する: 最新の標準やレコメンデーションに基づき、暗号化要件を適用することは、保管中のデータの保護に役立ちます。

• 保管時のデータの保護を自動化する: 自動化ツールを使用して保管中のデータの保護を継続的に検証し、提供します。たとえば、すべてのストレージリソースが暗号化されていることを確認します。

• アクセスコントロールを適用する: 最低限の権限によるアクセスコントロールや、バックアップ、分離、バージョニングなどのメカニズムを適用することは、保管中のデータの保護に役立ちます。オペレーターがデータへのパブリックアクセスを許可しないようにします。

• 人をデータから遠ざけるメカニズムを使用する: 通常の運用状況で、すべてのユーザーが機密データおよびシステムに直接アクセスできないようにします。たとえば、クエリを実行するデータストアに直接アクセスする代わりにダッシュボードを提供します。CI/CD パイプラインを使用しない場合は、通常無効になっている特権アクセスメカニズムを適切に提供するために必要な制御とプロセスを決定します。

改善計画

安全なキー管理を実装する

AWS Key Management Service (AWS KMS) を実装する: AWS Key Management Service (AWS KMS) では、キーを作成および管理し、さまざまな AWS のサービスおよびアプリケーションで暗号化の使用を制御することを容易にします。AWS KMS は、FIPS 140-2 で検証されたハードウェアセキュリティモジュールを使用してキーを保護する、安全で弾力性のあるサービスです。
Getting started: AWS Key Management Service (AWS KMS)

AWS Encryption SDK を検討する: アプリケーションでクライアント側でのデータ暗号化が必要な場合、AWS KMS が統合された AWS Encryption SDK を使用します。
AWS Encryption SDK

保管中に暗号化を適用する

Amazon S3 の保管時の暗号化を強制する: S3 バケットのデフォルト暗号化を実装します。
How do I enable default encryption for an S3 bucket?

AWS Secrets Manager を使用する: AWS Secrets Manager は、機密情報の管理を容易にする AWS のサービスです。機密情報とは、データベース認証情報、パスワード、サードパーティー API キー、任意のテキストなどです。
AWS Secrets Manager

新しい EBS ボリュームのデフォルトの暗号化を設定する: 新しく作成したすべての EBS ボリュームを暗号化形式で作成することを指定します。AWS が提供するデフォルトキーを使用するか、作成したキーを使用するかを選択できます。
Default encryption for EBS volumes

暗号化された Amazon Machine Image (AMI) を設定する: 暗号化を有効化して既存の AMI をコピーすると、自動的にルートボリュームとスナップショットが暗号化されます。
AMIs with encrypted Snapshots

Amazon RDS の暗号化を設定する: 暗号化オプションを有効化して、保管中の Amazon RDS DB クラスターとスナップショットに対して暗号化を設定します。
Encrypting Amazon RDS resources

追加の AWS のサービスで暗号化を設定する: 使用する AWS のサービスについて、暗号化機能を特定します。
AWS Documentation

保管時のデータの保護を自動化する

アクセスコントロールを適用する

アクセスコントロールを適用する: 暗号キーへのアクセスを含め、最小権限を用いたアクセスコントロールを適用します。
Introduction to Managing Access Permissions to Your Amazon S3 Resources

さまざまな分類レベルに基づいてデータを分離する: AWS Organizations によって管理されるデータ分類レベルには、さまざまな AWS アカウントを使用します。
AWS Organizations

AWS KMS ポリシーを確認する: AWS KMS ポリシーで付与されるアクセスのレベルを確認します。
Overview of managing access to your AWS KMS resources

S3 バケットおよびオブジェクトに対するアクセス許可を確認する: Amazon S3 バケットのポリシーで付与されるアクセスのレベルを定期的に確認します。ベストプラクティスは、バケットを公開で読み取りまたは書き込み可能にしないことです。AWS Config を使用して公開されているバケットを検出し、Amazon CloudFront を使用して Amazon S3 からコンテンツを提供することを検討します。
AWS Config Rules
Amazon S3 + Amazon CloudFront: A Match Made in the Cloud

Amazon S3 バージョニングとオブジェクトロックを有効にする
Using versioning
Locking Objects Using Amazon S3 Object Lock

Amazon S3 インベントリを使用する: Amazon S3 インベントリ Amazon S3 インベントリは、オブジェクトのレプリケーションと暗号化ステータスの監査とレポートに使用できるツールの 1 つです。
Amazon S3 Inventory

Amazon EBS と AMI の共有アクセス許可を確認する: 共有アクセス許可は、イメージとボリュームをワークロード外の AWS アカウントに共有することを可能にします。
Sharing an Amazon EBS Snapshot
Shared AMIs

人をデータから遠ざけるメカニズムを使用する

人をデータから遠ざけるメカニズムを実装する: メカニズムには、Amazon QuickSight などのダッシュボードを使用して、直接クエリを実行する代わりにユーザーにデータを表示することが含まれます。
Amazon QuickSight

設定管理を自動化する: 設定管理サービスまたはツールを使用して、リモートでアクションを実行し、安全な設定を自動的に適用および検証します。踏み台ホストを使用したり、EC2 インスタンスに直接アクセスしたりすることを回避します。
AWS Systems Manager
AWS CloudFormation
CI/CD Pipeline for AWS CloudFormation templates on AWS