Amazon ElastiCache Well-Architected レンズセキュリティ柱 - Amazon ElastiCache

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon ElastiCache Well-Architected レンズセキュリティ柱

セキュリティの柱は、情報とシステムの保護に焦点を当てています。主なトピックは、データの機密性と完全性、権限ベースの管理による誰が何を実行できるのかの特定と管理、システムの保護、セキュリティイベントを検出するための制御の確立です。

SEC 1: ElastiCache データへの認可されたアクセスを制御するために、どのような手順を実行していますか?

質問レベルの紹介: すべての ElastiCacheクラスターは、、サーバーレス関数 (AWS Lambda)VPC、またはコンテナ (Amazon Elastic Container Service) の Amazon Elastic Compute Cloud インスタンスからアクセスできるように設計されています。最も遭遇するシナリオは、同じ Amazon Virtual Private Cloud (Amazon Virtual Private Cloud ) 内の Amazon Elastic Compute Cloud インスタンスから ElastiCache クラスターにアクセスすることです。Amazon EC2インスタンスからクラスターに接続する前に、Amazon EC2インスタンスがクラスターにアクセスすることを承認する必要があります。で実行されている ElastiCache クラスターにアクセスするにはVPC、クラスターにネットワーク進入を許可する必要があります。

質問レベルの利点: クラスターへのネットワーク進入は、VPCセキュリティグループを介して制御されます。セキュリティグループは、Amazon EC2インスタンスの仮想ファイアウォールとして機能し、送受信トラフィックを制御します。インバウンドルールはインスタンスへの受信トラフィックを制御し、アウトバウンドルールはインスタンスからの送信トラフィックをコントロールします。の場合 ElastiCache、クラスターを起動するときには、セキュリティグループの関連付けが必要です。これにより、インバウンドとアウトバウンドのトラフィックルールがクラスターを構成するすべてのノードに適用されるようになります。さらに、 ElastiCache は、 VPCのプライベートネットワークを介してのみ からアクセスできるように、プライベートサブネットにのみデプロイするように設定されています。

SEC 2: アプリケーションには、ネットワークベースのコントロール以上に対する ElastiCache追加の認可が必要ですか?

質問レベルの紹介: 個々のクライアントレベルで ElastiCache (Redis OSS) クラスターへのアクセスを制限または制御する必要がある場合は、 ElastiCache (Redis OSS) AUTH コマンドを使用して認証することをお勧めします。ElastiCache (Redis OSS) 認証トークンは、オプションのユーザーおよびユーザーグループ管理により、クライアントがコマンドとアクセスキーを実行できるようにする前に ElastiCache (Redis OSS) がパスワードを要求できるようにし、データプレーンのセキュリティを向上させます。

質問レベルの利点: データを安全に維持するために、 ElastiCache (Redis OSS) はデータの不正アクセスから保護するメカニズムを提供します。これには、許可されたコマンドを実行する ElastiCache 前にAUTH、クライアントが に接続するためにロールベースのアクセス制御 (RBAC) またはAUTHトークン (パスワード) を強制することが含まれます。

SEC 3: コマンドが誤って実行され、データの損失や障害が発生するリスクはありますか?

質問レベルの紹介: 誤って実行された場合や悪意のある攻撃者によって実行された場合、オペレーションに悪影響を及ぼす可能性のある Valkey または Redis OSS コマンドが多数あります。これらのコマンドは、パフォーマンスとデータ安全性の観点から、意図しない結果をもたらす可能性があります。例えば、デベロッパーは 開発環境で定期的に FLUSHALL コマンドを呼び出し、ミスにより誤って本番システムでこのコマンドを呼び出しようとし、誤ってデータが失われる可能性があります。

質問レベルの利点: ElastiCache (Redis OSS) 5.0.3 以降、ワークロードを混乱させる可能性のある特定のコマンドの名前を変更することができます。コマンドの名前を変更すると、クラスターでコマンドが誤って実行されるのを防ぐことができます。

SEC 4: で保管中のデータ暗号化を確保する方法 ElastiCache

質問レベルの紹介: ElastiCache (Redis OSS) はメモリ内データストアですが、クラスターの標準オペレーションの一部として (ストレージ上で) 保持される可能性のあるデータを暗号化できます。これには、Amazon S3 に書き込まれたスケジュールバックアップと手動バックアップ、および同期およびスワップオペレーションの結果としてディスクストレージに保管されたデータが含まれます。M6g および R6g ファミリーのインスタンスタイプには、常時オンのインメモリ暗号化も備わっています。

質問レベルの利点: ElastiCache (Redis OSS) は、保管時の暗号化オプションを提供し、データセキュリティを向上させます。

  • 〔必須] 保管時の暗号化は、 ElastiCache クラスター (レプリケーショングループ) が作成された場合にのみ有効にできます。既存のクラスターを変更して、保管中のデータの暗号化を開始することはできません。デフォルトでは、 ElastiCache は保管時の暗号化で使用されるキーを提供および管理します。

    [リソース]:

  • 〔ベスト] メモリ内のデータを暗号化する Amazon EC2インスタンスタイプ (M6g や R6g など) を活用します。可能な場合は、保管中の暗号化に独自のキーを管理することを検討してください。より厳格なデータセキュリティ環境のために、 AWS Key Management Service (KMS) を使用してカスタマーマスターキー () を自己管理できますCMK。と ElastiCache の統合により AWS Key Management Service、 ElastiCache (Redis OSS) クラスターの保存データの暗号化に使用されるキーを作成、所有、管理できます。

    [リソース]:

SEC 5: で転送中のデータを暗号化するにはどうすればよいですか ElastiCache?

質問レベルの導入: 一般要件として、転送中のデータ漏えいを防止することが必要です。これは、分散システムのコンポーネント内、およびアプリケーションクライアントとクラスターノード間のデータを表します。 ElastiCache (Redis OSS) は、クライアントとクラスター間、およびクラスターノード自体間で転送中のデータを暗号化できるようにすることで、この要件をサポートしています。M6g および R6g ファミリーのインスタンスタイプには、常時オンのインメモリ暗号化も備わっています。

質問レベルの利点: Amazon 転送 ElastiCache 中の暗号化は、ある場所から別の場所への転送時に、最も脆弱なポイントでデータのセキュリティを高めることができるオプションの機能です。

  • 〔必須] 転送中の暗号化は、作成時に ElastiCache (Redis OSS) クラスター (レプリケーショングループ) でのみ有効にできます。データの暗号化または復号化には追加の処理が必要なため、転送中の暗号化を実装すると、パフォーマンスにいくらか影響があることに注意してください。影響を理解するには、 を有効にする前と後にワークロードをベンチマークすることをお勧めしますencryption-in-transit。

    [リソース]:

SEC 6: コントロールプレーンリソースへのアクセスを制限するにはどうすればよいですか?

質問レベルの紹介: IAM ElastiCache (Redis OSS) クラスターの作成、変更、削除をより厳密に制御できるように、 ElastiCache (Redis OSS) のきめ細かなアクセスコントロールを でポリシー化し、ARN有効にします。

質問レベルの利点: レプリケーショングループ、ノードなどの Amazon ElastiCache リソースの管理は、IAMポリシーに基づいて特定のアクセス許可を持つ AWS アカウントに制限され、リソースのセキュリティと信頼性が向上します。

SEC 7: セキュリティイベントをどのように検出して対応しますか?

質問レベルの紹介: ElastiCacheRBACを有効にしてデプロイすると、 は CloudWatch メトリクスをエクスポートしてセキュリティイベントをユーザーに通知します。これらのメトリクスは、接続するRBACユーザーに許可されていない認証、アクセスキー、またはコマンドの実行の試みの失敗を特定するのに役立ちます。

さらに、 AWS 製品およびサービスリソースは、デプロイを自動化し、後のレビュー/監査のためにすべてのアクションと変更を記録することで、全体的なワークロードを保護するのに役立ちます。

質問レベルのメリット: イベントをモニタリングすることで、組織は要件、ポリシー、手順に従って対応できるようになります。これらのセキュリティイベントのモニタリングと対応を自動化すると、全体的なセキュリティ体制が強化されます。