SEC 8: 保管時のデータをどのように保護していますか?
複数のコントロールを実装して保管中のデータを保護し、不正アクセスや不正処理のリスクを低減します。
リソース
How Encryption Works in AWS
Securing Your Block Storage on AWS
AWS Key Management Service
Protecting Amazon S3 Data Using Encryption
Amazon EBS Encryption
Encrypting Amazon RDS Resources
AWS KMS Cryptographic Details Whitepaper
AWS Encryption SDK
AWS Crypto Tools
AWS cryptographic services and tools
ベストプラクティス:
-
安全なキー管理を実装する: 暗号化キーは、AWS KMS などのキー管理サービスを使用するなど、厳格なアクセスコントロールで安全に保存する必要があります。異なるキーを使用し、AWS IAM およびリソースポリシーと組み合わせて、データ分類レベルと分離要件に合わせて、キーに対するアクセスコントロールを検討してください。
-
保管中に暗号化を適用する: 最新の標準やレコメンデーションに基づき、暗号化要件を適用することは、保管中のデータの保護に役立ちます。
-
保管時のデータの保護を自動化する: 自動化ツールを使用して保管中のデータの保護を継続的に検証し、提供します。たとえば、すべてのストレージリソースが暗号化されていることを確認します。
-
アクセスコントロールを適用する: 最低限の権限によるアクセスコントロールや、バックアップ、分離、バージョニングなどのメカニズムを適用することは、保管中のデータの保護に役立ちます。オペレーターがデータへのパブリックアクセスを許可しないようにします。
-
人をデータから遠ざけるメカニズムを使用する: 通常の運用状況で、すべてのユーザーが機密データおよびシステムに直接アクセスできないようにします。たとえば、クエリを実行するデータストアに直接アクセスする代わりにダッシュボードを提供します。CI/CD パイプラインを使用しない場合は、通常無効になっている特権アクセスメカニズムを適切に提供するために必要な制御とプロセスを決定します。
改善計画
安全なキー管理を実装する
Getting started: AWS Key Management Service (AWS KMS)
AWS Encryption SDK
保管中に暗号化を適用する
How do I enable default encryption for an S3 bucket?
AWS Secrets Manager
Default encryption for EBS volumes
AMIs with encrypted Snapshots
Encrypting Amazon RDS resources
AWS Documentation
保管時のデータの保護を自動化する
アクセスコントロールを適用する
Introduction to Managing Access Permissions to Your Amazon S3 Resources
AWS Organizations
Overview of managing access to your AWS KMS resources
AWS Config Rules
Amazon S3 + Amazon CloudFront: A Match Made in the Cloud
Using versioning
Locking Objects Using Amazon S3 Object Lock
Amazon S3 Inventory
Sharing an Amazon EBS Snapshot
Shared AMIs
人をデータから遠ざけるメカニズムを使用する
Amazon QuickSight
AWS Systems Manager
AWS CloudFormation
CI/CD Pipeline for AWS CloudFormation templates on AWS