REL09-BP02 バックアップを保護し、暗号化する
認証と承認を使用して、バックアップへのアクセスを制御し、検出します。暗号化によりバックアップのデータ保全性が損なわれることを防止、検出します。
一般的なアンチパターン:
-
データに対するのと同一の、バックアップおよび復元オートメーションへのアクセスを設定する。
-
バックアップを暗号化しない。
このベストプラクティスを活用するメリット: バックアップを保護することで、データの改ざんを防止し、データの暗号化により、誤って公開されたデータへのアクセスが防止されます。
このベストプラクティスが確立されていない場合のリスクレベル: 高
実装のガイダンス
AWS Identity and Access Management (IAM) などの認証と承認を使用して、バックアップへのアクセスを制御し、検出します。暗号化によりバックアップのデータ保全性が損なわれることを防止、検出します。
Amazon S3 は、保管時のデータを暗号化するための方法をいくつかサポートしています。Amazon S3 はサーバー側の暗号化を使用して、オブジェクトを暗号化されていないデータとして受け入れてから、保存時に暗号化します。クライアント側の暗号化を使用すると、ワークロードアプリケーションはデータを Amazon S3 に送信する前に暗号化することに対して責任を負います。どちらの方法でも、AWS Key Management Service (AWS KMS) を使ってデータキーを作成して保存することもできますし、自分でキーを用意し、そのキーに責任を持つこともできます。AWS KMS を使用すると、IAM を使用してポリシーを設定し、データキーと復号化されたデータにアクセスできるユーザーとアクセスできないユーザーにわけることができます。
Amazon RDS では、データベースの暗号化を選択すると、バックアップも暗号化されます。DynamoDB のバックアップは常に暗号化されます。AWS Elastic Disaster Recovery を使用すると、転送中および保管中のすべてのデータが暗号化されます。Elastic Disaster Recovery を使用すると、デフォルトの Amazon EBS 暗号化ボリューム暗号化キーまたはカスタムのカスタマーマネージドキーのいずれかを使用して、保管中のデータを暗号化できます。
実装手順
各データストアで暗号化を使用します。ソースデータが暗号化されている場合、バックアップも暗号化されます。
-
Amazon RDS で暗号化を使用します。RDS インスタンスの作成時に、AWS Key Management Service を使用して、保管時の暗号化を設定できます。
-
Amazon EBS ボリュームで暗号化を使用します。デフォルトの暗号化を設定するか、ボリュームの作成時に一意のキーを指定できます。
-
必要な Amazon DynamoDB 暗号化を使用します。DynamoDB は保管中のすべてのデータを暗号化します。AWS 所有の AWS KMS キーを使用するか、AWS マネージド KMS キーを使用して、アカウントに保存されるキーを指定できます。
-
Amazon EFS に保存しているデータを暗号化します。ファイルシステムを作成するときに暗号化を設定します。
-
送信元と送信先のリージョンで暗号化を設定します。KMS に保存されているキーを使用して Amazon S3 で保管時の暗号化を設定できますが、キーはリージョン固有です。レプリケーションを設定するときに、送信先キーを指定できます。
-
デフォルトの暗号化を設定するか、Elastic Disaster Recovery 向けの Amazon EBS 暗号化を使用するかを選択します。このオプションでは、ステージングエリアのサブネットディスクとレプリケートしたディスク上に保存されているレプリケートされたデータを暗号化します。
-
バックアップにアクセスするための最小特権のアクセス許可を実装します。「セキュリティのベストプラクティス」に従って、バックアップ、スナップショット、およびレプリカへのアクセスを制限します。
リソース
関連するドキュメント:
-
AWS Marketplace: products that can be used for backup
(AWS Marketplace: バックアップに使用できる製品) -
CRR 追加のレプリケーション設定: AWS KMS に保存された暗号化キーでサーバー側の暗号化 (SSE) で作成されたオブジェクトをレプリケートする
-
Encrypting Amazon RDS Resources (Amazon RDS リソースの暗号化)
-
Encrypting Data and Metadata in Amazon EFS (EFS でのデータとメタデータの暗号化)
-
Encryption for Backups in AWS (AWS でのバックアップの暗号化)
-
What is AWS Elastic Disaster Recovery? (AWS Elastic Disaster Recovery とは)
関連する例:
-
Well-Architected Lab - Implementing Bi-Directional Cross-Region Replication (CRR) for Amazon S3
(Well-Architected ラボ - Amazon S3 の双方向クロスリージョンレプリケーション (CRR) の実装)