SEC08-BP02 保管時の暗号化を強制する - AWS Well-Architected フレームワーク
実装のガイダンスリソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SEC08-BP02 保管時の暗号化を強制する

保管中のデータには暗号化の使用を適用する必要があります。暗号化は、不正なアクセスや偶発的な開示が発生した場合、機密性の高いデータの機密を保持します。

期待される成果: プライベートデータは、保管時にデフォルトで暗号化する必要があります。暗号化を行うと、データの機密性を維持し、意図的または不注意によるデータの開示や流出に対する保護層を追加して強化できます。暗号化されたデータは、まずそれを解除しないと読み出すこともアクセスすることもできません。暗号化されずに保管されたデータは、インベントリに入れて制御する必要があります。

一般的なアンチパターン:

  • 設定を使用し encrypt-by-defaultません。

  • 複合キーに過度に寛容なアクセスを提供する。

  • 暗号化および復号化キーの使用をモニタリングしない。

  • データを暗号化せずに保管する。

  • データの使用、タイプ、分類に関係なく、すべてのデータに同じ暗号化キーを使う。

このベストプラクティスを活用しない場合のリスクレベル:

実装のガイダンス

暗号化キーとワークロード内のデータ分類をマッピングします。このアプローチは、1 つまたは非常に少数のデータ暗号化キーを使用する場合、過度に許容されるアクセスから保護するのに役立ちます (「SEC07-BP01 データ分類スキームを理解する」を参照)。

AWS Key Management Service (AWS KMS) は多くの AWS サービスと統合されているため、保管中のデータの暗号化が容易になります。例えば、Amazon Simple Storage Service (Amazon S3) では、すべての新しいオブジェクトが自動的に暗号化されるように、バケットの暗号化をデフォルトで設定できます。を使用する場合は AWS KMS、データをどの程度厳密に制限する必要があるかを考慮してください。デフォルトキーとサービス制御 AWS KMS キーは、ユーザーに代わって によって管理および使用されます AWS。基盤となる暗号化キーへのきめ細かなアクセスを必要とする機密データについては、カスタマーマネージドキー () を検討してくださいCMKs。キーポリシーを使用してローテーションやアクセス管理などCMKs、 を完全に制御できます。

さらに、Amazon Elastic Compute Cloud (Amazon EC2)Amazon S3 は、デフォルトの暗号化を設定することで暗号化の適用をサポートしています。AWS Config ルール を使用して、Amazon Elastic Block Store (Amazon EBS) ボリュームAmazon Relational Database Service (Amazon RDS) インスタンス Amazon S3 バケット など、暗号化を使用していることを自動的に確認できます。

AWS には、クライアント側の暗号化のオプションも用意されており、クラウドにアップロードする前にデータを暗号化できます。 AWS Encryption SDK は、エンベロープ暗号化 を使用してデータを暗号化する方法を提供します。ラッピングキーを指定すると、 は暗号化するデータオブジェクトごとに一意のデータキー AWS Encryption SDK を生成します。マネージドシングルテナントハードウェアセキュリティモジュール () が必要 AWS CloudHSM かどうかを検討してくださいHSM。 AWS CloudHSM では、140-2 レベル 3 FIPS 検証済み で暗号化キーを生成、インポート、管理できますHSM。のユースケースには、認証局 (CA) を発行するためのプライベートキーの保護、Oracle データベースの透過的なデータ暗号化 (TDE) の有効化 AWS CloudHSM などがあります。 AWS CloudHSM クライアントSDKは、 にデータをアップロード AWS CloudHSM する前に、 に保存されているキーを使用してデータクライアント側を暗号化できるソフトウェアを提供します AWS。Amazon DynamoDB Encryption Client では、DynamoDB テーブルにアップロードする前のアイテムを暗号化および署名することもできます。

実装手順

  • Amazon S3 に対して保管中の暗号化を適用する: Amazon S3 バケットのデフォルト暗号化を実施します

    新しい Amazon EBSボリュームのデフォルトの暗号化を設定する: 新しく作成されたすべての Amazon EBSボリュームを暗号化された形式で作成するように指定します。オプションは、 が提供するデフォルトのキー AWS または作成するキーを使用します。

    暗号化された Amazon マシンイメージの設定 (AMIs): AMI暗号化が設定された既存の をコピーすると、ルートボリュームとスナップショットが自動的に暗号化されます。

    Amazon RDS暗号化の設定: 暗号化オプションを使用して、Amazon RDS データベースクラスターと保管中のスナップショットの暗号化を設定します。

    データの分類ごとに適切なプリンシパルへのアクセスを制限するポリシーを使用して AWS KMS キーを作成および設定します。例えば、本番データを暗号化するための AWS KMS キーを 1 つ作成し、開発またはテストデータを暗号化するためのキーを 1 つ作成します。また、他の へのキーアクセスを提供することもできます AWS アカウント。開発環境と本番環境のアカウントは別にすることを検討してください。本番環境で開発アカウントでアーティファクトを復号する必要がある場合は、開発アーティファクトの暗号化に使用されるCMKポリシーを編集して、本番アカウントがこれらのアーティファクトを復号できるようにします。次に、本番環境が本番で使用するために復号化されたデータをインジェストできます。

    追加 AWS サービスで暗号化を設定する: 使用する他の AWS サービスについては、そのサービスのセキュリティドキュメントを確認して、サービスの暗号化オプションを決定します。

リソース

関連ドキュメント:

関連動画: