日本語 
English
Français
Deutsch
Español
Italiano
Português
한국어
Русский
AWS RDS およびその他のクラウド データベースを保護するためのベスト プラクティス
AWS のリレーショナル データベース サービスは、クラウド ストレージのホスト操作を合理化するのに役立ちますが、セキュリティを維持するにはユーザー側である程度の注意が必要です。 RDS を使用するためのベスト プラクティスをいくつか紹介します。
データ ストレージなどのクラウド ネイティブ サービスの利用が組織で増えているのは当然のことです。 クラウド ストレージは、レプリケーション、地理的復元力、コスト削減と効率向上の可能性など、多大なメリットをもたらします。
アマゾン ウェブ サービス (AWS) リレーショナル データベース サービス (RDS) は、最も人気のあるクラウド データベースおよびストレージ サービスの 1 つです。 高レベルでは、RDS は、MariaDB、Microsoft SQL Server、MySQL などの AWS のリレーショナル データベースのセットアップ、運用、スケーリングを合理化します。 RDS は、他の AWS またはクラウド サービス製品と同様に、責任共有モデルを利用します。 これは、クラウド サービス プロバイダー (CSP) (この場合は AWS) が基盤となるインフラストラクチャとホスティング環境を保護する責任を負い、消費者は OS、構成、アーキテクチャの考慮事項を含む RDS の分担に責任を負うことを意味します。
RDS の責任における消費者の負担を考慮しないと、クラウド データ侵害につながる可能性があり、私たちはその侵害を何度も見てきました。 主要な領域には、データベース インスタンスが存在する仮想プライベート クラウド (VPC) へのアクセスの構成、アプリケーション ID およびアクセス管理 (IAM) ポリシー、ネットワーク トラフィックと暗号化を制御するためのセキュリティ グループが含まれます。 以下では、それらの領域のいくつかと、コンプライアンスなどの他の領域についても説明します。
最初の重要な考慮事項の 1 つは、認証、つまりユーザーが RDS データベース インスタンスにアクセスするために自分の ID を検証する方法です。 オプションには、パスワード、Kerberos、および IAM データベース認証があります。 消費者は、どの認証ルートを選択するかを決定し、パスワードの複雑さ、MFA、IAM ポリシーなどの適切な制御を実装する必要があります。
データ保護の分野での重要な考慮事項には、多要素認証の使用、SSL/TLS を使用した他のリソースとの通信、および 1.2 などの適切な TLS バージョンを使用していることの確認が含まれます。 AWS からのその他の推奨事項には、S3 に保存されている機密データの検出と保護に役立つサービス Macie の使用が含まれています。 Macie は機械学習 (ML) を使用して機密データを検出し、インタラクティブなマップを構築し、さらに検出結果を自動的に生成して AWS Security Hub などの AWS サービスに送信するため、脆弱な設定や公開されたデータを修復できます。
AWS は、基盤となる DB インスタンスの保存データの暗号化、自動バックアップ、リードレプリカ、スナップショットなど、AWS RDS リソースを暗号化するためのさまざまな方法を提供しています。 これを容易にするために、AWS は Key Management Service (KMS) を使用します。 ここには、キーの管理責任を自分で維持するか、AWS 管理のキーを使用するかに応じて、さまざまなオプションがあります。 顧客管理キーのルートに移行する場合、キー ポリシーや IAM ポリシーなどを変更して、RDS インスタンスへのアクセス要求の発信元を制限するなど、キーのより詳細なアクセス制御や使用制限を実装できます。
お客様は、AWS CloudTrail を利用して KMS キーの使用状況を監査し、潜在的に悪意のある動作や、アクセス許可やデータへのアクセスの悪用を特定することもできます。 AWS の暗号化と KMS の使用についてさらに詳しく知るために、AWS にはキー管理サービスのベスト プラクティスに関するホワイトペーパーがあります。
ただし、AWS RDS データベース インスタンスを暗号化する際には考慮すべき重要な考慮事項がいくつかあります。 データベース インスタンスは作成時に暗号化する必要があります。 後で戻って暗号化することはできません。 また、暗号化を一度有効にするとオフにすることもできません。
組織は、AWS サイト間 VPN や AWS Direct Connect を利用して、トラフィックが不正な当事者に公開されないようにするなど、RDS サービスとオンプレミスのクライアントおよびアプリケーションの間のトラフィックの保護も考慮する必要があります。