SEC08-BP03 保管中のデータの保護を自動化する - セキュリティの柱

SEC08-BP03 保管中のデータの保護を自動化する

自動化を利用して、保管中のデータの統制を検証し、適用します。 自動スキャンを使用してデータストレージソリューションの設定ミスを検出し、可能な場合はプログラムによる自動対応で修復を行います。 CI/CD プロセスに自動化を組み込んで、データストレージの設定ミスを検知し、本番環境に適用されないよう未然に防ぎます。

期待される成果: 自動システムが、コントロールの設定ミス、不正アクセス、予期しない使用方法がないか、データストレージの場所をスキャンして監視します。 データストレージの設定ミスが検出されると、自動修復が開始します。 自動化されたプロセスによってデータのバックアップが作成され、イミュータブル (変更不可能) なコピーがバックアップ元の環境の外部に保管されます。

一般的なアンチパターン:

  • デフォルト設定で暗号化を有効にするオプションがサポートされているのに、そうしたオプションを検討しない。

  • バックアップと復旧の自動化戦略を策定する際に、運用上のイベントだけでなくセキュリティイベントも考慮していない。

  • ストレージサービスに対してパブリックアクセス設定を強制しない。

  • 保管中のデータを保護するための統制の監視や監査をしていない。

このベストプラクティスを活用するメリット: 自動化は、データストレージの場所の設定ミスのリスクを防ぐのに役立ちます。設定ミスが本番環境に入り込まないように阻止できます。このベストプラクティスは、設定ミスが起きた場合の検出と修正にも役立ちます。 

このベストプラクティスを活用しない場合のリスクレベル:

実装のガイダンス 

保管中のデータを保護するためのあらゆる取り組みにおいて、自動化は重要です。「SEC01-BP06 標準的なセキュリティ統制のデプロイを自動化する」では、AWS CloudFormation などの Infrastructure as code (IaC) テンプレートを使用してリソース設定をキャプチャする方法を説明します。 これらのテンプレートはバージョン管理システムにコミットされ、CI/CD パイプラインを通じて AWS でリソースをデプロイするために使用されます。 データストレージソリューションの設定 (Amazon S3 バケットの暗号化設定など) を自動化する場合にも、これらの手法が同様に適用されます。 

IaC テンプレートで定義された設定にミスがないか、AWS CloudFormation Guard のルールを CI/CD パイプライン内で使用してチェックできます。 AWS Config を使用して、CloudFormation やその他の IaC ツールでまだ利用できない設定をモニタリングし、設定ミスを確認できます。 「SEC04-BP04 非準拠リソースの修復を開始する」で説明されているように、設定ミスに対して Config が生成するアラートは自動的に修正できます。

アクセス許可管理の戦略に自動化を組み込むことも、自動データ保護の要素として不可欠です。「SEC03-BP02 最小特権のアクセスを付与する」および「SEC03-BP04 アクセス許可を継続的に削減する」では、最小特権アクセスポリシーの設定について説明します。AWS Identity and Access Management Access Analyzer によってポリシーは継続的に監視され、権限を削減できる場合はレポートが出力されます。 アクセス許可のモニタリングを自動化するだけでなく、Amazon GuardDuty を設定して、EBS ボリューム (EC2 インスタンスを介して)、S3 バケット、およびサポートされるAmazon Relational Database Service データベースで異常なデータアクセス動作を監視できます。

許可されていない場所に機密データが保存されていることを検知する場合にも、自動化が活躍します。「SEC07-BP03 識別および分類を自動化する」では、Amazon Macie を使用して S3 バケットで予期しない機密データをモニタリングし、自動応答を開始するアラートを生成する方法について説明します。

REL09 バックアップデータ」のプラクティスに従って、自動データバックアップおよびリカバリ戦略を開発します。データのバックアップと復旧は、運用上のイベントと同様、セキュリティイベントから復旧するために重要です。

実装手順

  1. データストレージの設定を IaC テンプレートに取り込みます。 CI/CD パイプラインで自動チェックを行い、設定ミスを検出します。

    1. IaC テンプレートには AWS CloudFormation を、テンプレートの設定ミスをチェックするには AWS CloudFormationGuard を使用できます。

    2. AWS Config を使用して、プロアクティブ評価モードでルールを実行します。この設定を使用して、リソースの作成前に CI/CD パイプラインのステップとしてリソースのコンプライアンスを確認します。

  2. データストレージの設定ミスがないか、リソースを監視します。

    1. AWS Config を設定して、データストレージリソースの制御設定の変更をモニタリングし、設定ミスの検出時に修復アクションを呼び出すアラートを生成するようにします。

    2. 自動修復の詳細については、「SEC04-BP04 非準拠リソースの修復を開始する」を参照してください。

  3. データアクセス許可を自動化により継続的に監視し、削減します。

    1. IAM Access Analyzer を継続的に実行して、アクセス許可を削減できる場合にアラートを生成できます。

  4. 異常なデータアクセス動作を監視し、警告します。

    1. GuardDuty は、EBS ボリューム、S3 バケット、RDS データベースなどのデータストレージリソースについて、既知の脅威シグネチャとベースラインアクセス動作からの逸脱を監視します。

  5. 機密データが予期しない場所に保存されていないか監視し、警告します。

    1. Amazon Macie を使用して、S3 バケットの機密データを継続的にスキャンします。

  6. 暗号化した安全なデータバックアップの作成を自動化します。

    1. AWS Backup は、AWS の各データソースのバックアップを作成できるマネージドサービスです。 Elastic Disaster Recovery を使用すると、サーバーワークロード全体をコピーし、秒単位の目標復旧時点 (RPO) を提供する継続的なデータ保護を実現できます。 両方のサービスを連携するよう設定し、データバックアップの作成とフェイルオーバー先へのコピーを自動化できます。 そうしておくことで、運用上のイベントやセキュリティイベントの影響を受けた場合でも、データが常時利用可能になります。

リソース

関連するベストプラクティス:

関連ドキュメント:

関連する例:

関連ツール: