SEC08-BP03 保管時のデータの保護を自動化する - セキュリティの柱

SEC08-BP03 保管時のデータの保護を自動化する

自動化ツールを使用して保管中のデータの制御を継続的に検証し、強化します。例えば、すべてのストレージリソースが暗号化されていることを確認します。また、 すべての EBS ボリュームAWS Config ルールAWS Security Hub は、セキュリティ標準に対する自動チェック機能を通じて、いくつかの制御を検証することもできます。さらに AWS Config ルール は、自動的に 非準拠のリソースを修復できます.

このベストプラクティスを活用しない場合のリスクレベル: ミディアム

実装のガイダンス

保管中のデータ とは、ワークロードの任意の期間に永続的ストレージに保持されるすべてのデータを指します。たとえば、ブロックストレージ、オブジェクトストレージ、データベース、アーカイブ、IoT デバイス、データが保持されているその他のストレージ媒体などがあります。暗号化と適切なアクセスコントロールが実装されている場合は、保管中のデータを保護することで不正アクセスのリスクを軽減できます。

保管中に暗号化を適用する: データを保存する唯一の方法は、暗号化を使用することだということを確実にする必要があります。AWS KMS は、保管中のすべてのデータをより簡単に暗号化できるように、多数の AWS のサービスとシームレスに統合します。例えば、Amazon Simple Storage Service (Amazon S3) では、 デフォルトの暗号化を バケットに設定して、すべての新しいオブジェクトが自動的に暗号化されるようにすることができます。さらに、Amazon EC2 および Amazon S3 は、デフォルト暗号化を設定することにより、暗号化の適用をサポートしています。専用のインフラストラクチャで AWS マネージド Config ルール を使用して、例えば次の項目に対して暗号化を使用していることを自動的に確認できます: EBS ボリュームio1Amazon Relational Database Service (Amazon RDS) インスタンス、および Amazon S3 バケット.

リソース

関連するドキュメント:

関連動画: