SEC08-BP03 保管時のデータ保護を自動化する

自動化を利用して、保管中のデータの統制を検証し、適用します。 自動スキャンを使用してデータストレージソリューションの設定ミスを検出し、可能な場合はプログラムによる自動対応で修復を行います。 CI/CD プロセスに自動化を組み込んで、データストレージの設定ミスを検知し、本番環境に適用されないよう未然に防ぎます。

期待される成果: 自動システムは、コントロールの設定ミス、不正アクセス、予期しない使用方法がないか、データストレージの場所をスキャンして監視します。 データストレージの設定ミスが検出されると、自動修復が開始します。 自動化されたプロセスによってデータのバックアップが作成され、イミュータブル (変更不可能) なコピーがバックアップ元の環境の外部に保管されます。

一般的なアンチパターン:

• デフォルト設定で暗号化を有効にするオプションがサポートされているのに、そうしたオプションを検討しない。

• バックアップと復旧の自動化戦略を策定する際に、運用上のイベントだけでなくセキュリティイベントも考慮していない。

• ストレージサービスに対してパブリックアクセス設定を強制しない。

• 保管中のデータを保護するための統制の監視や監査をしていない。

このベストプラクティスを活用するメリット: 自動化は、データストレージの場所の設定ミスのリスクを防ぐのに役立ちます。設定ミスが本番環境に入り込まないように阻止できます。このベストプラクティスは、設定ミスが起きた場合の検出と修正にも役立ちます。 

このベストプラクティスを活用しない場合のリスクレベル: 中

実装のガイダンス 

保管中のデータを保護するためのあらゆる取り組みにおいて、自動化は重要です。SEC01-BP06 標準セキュリティコントロールのデプロイを自動化するには、 などのInfrastructure as Code (IaC ) テンプレートを使用してリソースの設定をキャプチャする方法を説明しますAWS CloudFormation。 これらのテンプレートはバージョン管理システムにコミットされ、CI/CD パイプライン AWS を介して にリソースをデプロイするために使用されます。 データストレージソリューションの設定 (Amazon S3 バケットの暗号化設定など) を自動化する場合にも、これらの手法が同様に適用されます。 

IaC テンプレートで定義された設定にミスがないか、AWS CloudFormation Guard のルールを CI/CD パイプライン内で使用してチェックできます。 または他の IaC ツールで CloudFormationまだ利用できない設定をモニタリングして、 での設定ミスを確認できますAWS Config。 0SEC04-BP04 非準拠リソースの修正を開始する で説明されているように、Config が設定ミスに対して生成するアラートは自動的に修正される可能性があります。

アクセス許可管理の戦略に自動化を組み込むことも、自動データ保護の要素として不可欠です。SEC03-BP02 最小権限アクセスと SEC03-BP04 削減権限は、 によって継続的にモニタリングされる最小権限アクセスポリシーの設定を継続的に記述AWS Identity and Access Management Access Analyzerし、アクセス権限を減らすことができる場合に検出結果を生成します。 アクセス許可のモニタリングを自動化するだけでなく、EBSボリューム (EC2インスタンスによる）、S3 バケット、およびサポートされている Amazon GuardDuty Amazon Relational Database Service を設定できます。

許可されていない場所に機密データが保存されていることを検知する場合にも、自動化が活躍します。SEC07-BP03 自動識別と分類では、Amazon Macie が予期しない機密データがないか S3 バケットをモニタリングし、自動応答を開始できるアラートを生成する方法について説明します。

REL09 バックアップデータの手順に従って、自動データバックアップとリカバリ戦略を開発します。データのバックアップと復旧は、運用上のイベントと同様、セキュリティイベントから復旧するために重要です。

実装手順

1. データストレージの設定を IaC テンプレートに取り込みます。 CI/CD パイプラインで自動チェックを行い、設定ミスを検出します。

   1. IaC テンプレートには を使用し、テンプレートの設定ミスをチェックするには CloudFormation Guard を使用できます。

   2. AWS Config を使用して、プロアクティブ評価モードでルールを実行します。この設定を使用して、リソースの作成前に CI/CD パイプラインのステップとしてリソースのコンプライアンスを確認します。

2. データストレージの設定ミスがないか、リソースを監視します。

   1. AWS Config を設定して、データストレージリソースの制御設定の変更をモニタリングし、設定ミスの検出時に修復アクションを呼び出すアラートを生成するようにします。

   2. 自動SEC修復の詳細については、「04-BP04 非準拠リソースの修復の開始」を参照してください。

3. データアクセス許可を自動化により継続的に監視し、削減します。

   1. IAM Access Analyzer は継続的に実行され、アクセス許可が削減される可能性がある場合にアラートを生成できます。

4. 異常なデータアクセス動作を監視し、警告します。

   1. GuardDuty EBSボリューム、S3 バケット、RDSデータベースなどのデータストレージリソースの既知の脅威署名とベースラインアクセス動作からの逸脱の両方を監視します。

5. 機密データが予期しない場所に保存されていないか監視し、警告します。

   1. Amazon Macie を使用して、S3 バケットの機密データを継続的にスキャンします。

6. 暗号化した安全なデータバックアップの作成を自動化します。

   1. AWS Backup は、 でさまざまなデータソースの暗号化された安全なバックアップを作成するマネージドサービスです AWS。 Elastic Disaster Recovery を使用すると、完全なサーバーワークロードをコピーし、復旧ポイント目標 (RPO) を秒単位で測定して継続的なデータ保護を維持できます。 両方のサービスを連携するよう設定し、データバックアップの作成とフェイルオーバー先へのコピーを自動化できます。 そうしておくことで、運用上のイベントやセキュリティイベントの影響を受けた場合でも、データが常時利用可能になります。

リソース

関連するベストプラクティス:

• SEC01-BP06 標準セキュリティコントロールのデプロイを自動化する

• SEC03-BP02 最小権限アクセスを付与する

• SEC03-BP04 アクセス許可を継続的に減らす

• SEC04-BP04 非準拠リソースの修正を開始する

• SEC07-BP03 識別と分類を自動化する

• REL09-BP02 バックアップの保護と暗号化

• REL09-BP03 データバックアップを自動的に実行する

関連ドキュメント:

• AWS 規範的ガイダンス: 既存の Amazon ボリュームと新しい Amazon EBSボリュームを自動的に暗号化する

• NISTサイバーセキュリティフレームワーク AWS の使用に関するランサムウェアリスク管理 (CSF）

関連する例:

• AWS Config プロアクティブルールと AWS CloudFormation フックを使用して、非準拠のクラウドリソースの作成を防ぐ方法

• で Amazon S3 のデータ保護を自動化して一元管理 AWS Backup

• AWS re:Invent 2023 - Amazon EBSスナップショットを使用したプロアクティブデータ保護の実装

• AWS re:Invent 2022 - Build and automate for resilience with modern data protection

関連ツール:

• AWS CloudFormation Guard

• AWS CloudFormation Guard ルールレジストリ

• IAM Access Analyzer

• Amazon Macie

• AWS Backup

• Elastic Disaster Recovery