ステップ 5. バックアップデータとボールトの暗号化

多くの組織で、データセキュリティ戦略を改善する必要性がますます高まってきています。こうした組織は、クラウドでスケールするときに、データ保護規制の順守を求められる場合があります。暗号化を適切に実装すれば、基本のアクセスコントロールのメカニズムに、もう一段階保護を追加することができます。さらに保護を追加すれば、基本のアクセスコントロールポリシーが万が一失敗した場合でも、その影響を軽減することができます。

例えば、 AWS Backup データに設定しているアクセスコントロールポリシーがそれほど厳格ではない場合、キーの管理システムまたはプロセスを追加すると、セキュリティイベントの最大レベルの影響を軽減することができます。これは、データおよび暗号化キーにアクセスするための認可メカニズムがそれぞれ分離していることによるものです。つまり、バックアップデータは暗号文としてしか表示されません。

AWS クラウド 暗号化を最大限に活用するには、転送中と保管中の両方のデータを暗号化します。転送中のデータを保護するために、 は公開された API コール AWS を使用して、TLS プロトコルを使用してネットワーク AWS Backup 経由で にアクセスし、ユーザー、アプリケーション、および AWS Backup サービス間の暗号化を提供します。保管中のデータを保護するには、 AWS クラウドネイティブ AWS Key Management Service (AWS KMS) または を使用できますAWS CloudHSM。クラウドベースのハードウェアセキュリティモデル (HSM) である AWS CloudHSM は、業界で採用されているデータ暗号化のための強力なアルゴリズム、AES256 (Advanced Encryption Standard のうち 256 ビットの暗号鍵を用いる方式) を使用しています。クラウドデータとバックアップボールトを暗号化するには、自社のデータガバナンスと規制要件を評価して、適切な暗号化サービスを選択します。

暗号化の構成は、リソースのタイプや、アカウント間またはリージョン間のバックアップオペレーションに応じて異なります。特定のリソースタイプでは、ソースリソースの暗号化に使用したキーとは別の暗号化キーでバックアップを暗号化する機能がサポートされています。アクセスコントロールを管理し、 AWS Backup データまたはボールト暗号化キーにアクセスできるユーザーとその条件を決定する責任はユーザーにあるため、 AWS KMS が提供するポリシー言語を使用してキーに対するアクセスコントロールを定義します。また、バックアップが適切に暗号化されていることを確認するときは AWS Backup Audit Manager も使用できます。詳細については、「Encryption for backups in AWS Backup」を参照してください。

あるリージョンのキーを別のリージョンに複製するときは、AWS KMS のマルチリージョンキーを使用します。マルチリージョンキーは、ディザスタリカバリのため、暗号化されたデータを別のリージョンにコピーする必要があるときに、暗号化の管理を簡素化できるように設計されています。全体的なバックアップ戦略の一環として、マルチリージョン AWS KMS キーを実装する必要があるかどうかを評価します。