163-AWS SAP AWS 「理論・実践・一問道場」in transitの暗号化とAUTHトークン

type

status

date

slug

summary

理論

1. Amazon ElastiCache for Redis - 暗号化

Amazon ElastiCache for Redisでは、暗号化を使用して、データの保護を強化できます。暗号化には2種類の方法があります：

暗号化 at rest: これは、保存中のデータ（ディスク上のデータ）を暗号化する方法です。データがディスクに書き込まれる際に自動的に暗号化されます。これにより、ストレージのセキュリティが向上します。

暗号化 in transit: これは、ネットワークを介して送受信されるデータを暗号化する方法です。Redisのクライアントとサーバー間で転送されるデータが、インターネットや内部ネットワークを通じて盗聴されるのを防ぎます。これにより、データが送信中に改竄されたり盗聴されたりするリスクを軽減できます。

2. 認証（AUTH）

ElastiCache for Redisでは、認証を設定してキャッシュへのアクセスを制限できます。これを実現するために、AUTHトークンを使用します。このトークンは、Redisに接続する際に使用され、ユーザーが正当なアクセス権を持っているかを確認する役割を果たします。

AUTHトークンの管理: AUTHトークンはセキュリティを向上させるために必要で、Redisクライアントは接続時にこのトークンを提供し、正当なアクセス者であることを証明します。これにより、無許可のアクセスが防止されます。

3. AWS Secrets ManagerとAWS Systems Manager Parameter Store

AWS Secrets Manager: セキュアにシークレット（例えば、データベースの認証情報、APIキーなど）を管理するサービスです。Secrets Managerは、シークレットを暗号化して保管し、必要に応じてアプリケーションにアクセスさせます。トークンやパスワードをSecrets Managerに保管し、アプリケーションで動的に利用するケースに最適です。

AWS Systems Manager Parameter Store: シークレットや構成データを管理できるAWSサービスです。Parameter Storeには、テキストデータやパスワード、認証情報を安全に保存できます。Parameter Storeには暗号化されたパラメータを格納する機能もあり、機密情報の取り扱いに向いています。

4. SSL証明書

SSL/TLS証明書は、データの転送中の暗号化を提供するために使用されます。Redisクラスターとそのクライアント間で安全な通信を行うためにSSL/TLS証明書を使用することができます。証明書は、通信相手の認証、通信の暗号化、およびデータの整合性を提供します。

5. 運用管理のベストプラクティス

セキュリティの最小化: クラスター設定や認証情報は、セキュリティの観点から最小限のアクセス権で管理し、必要なときにのみアクセスできるようにします。例えば、認証トークンやSSL証明書を動的に取得できるように管理することは、運用の柔軟性を高めるとともにセキュリティを強化します。

自動化と管理の効率化: AWSのSecrets ManagerやSystems Managerを使用して、アプリケーションの認証情報や構成を動的に管理することにより、運用の負担を軽減し、変更があった場合の管理コストを削減できます。

まとめ

この問題の本質は、Redisクラスターの暗号化 in transitと認証を適切に設定し、セキュリティを強化する方法にあります。AWSサービス（Secrets Manager、Systems Manager Parameter Store）を使用して認証情報を安全に管理し、エンドツーエンドで暗号化を実現することが重要です。

実践

略

一問道場

問題 #163

ある会社は、Amazon ElastiCache for Redis クラスターをキャッシュ層として使用しているアプリケーションを運用しています。最近のセキュリティ監査により、会社はElastiCacheにおいて暗号化を有効にしていますが、転送中の暗号化を設定していないことが判明しました。また、ユーザーは認証なしでキャッシュにアクセスできる状態です。

ソリューションアーキテクトは、ユーザー認証を要求し、エンドツーエンドの暗号化を確保するための変更を行う必要があります。

この要件を満たすソリューションはどれですか？

A. AUTHトークンを作成し、AWS Systems Manager Parameter Storeに暗号化されたパラメータとして保存します。新しいクラスターを作成し、AUTHを有効にして転送中の暗号化を設定します。アプリケーションを更新して、必要に応じてAUTHトークンをParameter Storeから取得し、認証に使用します。

B. AUTHトークンを作成し、AWS Secrets Managerにトークンを保存します。既存のクラスターを更新してAUTHトークンを使用し、転送中の暗号化を有効にします。アプリケーションを更新して、必要に応じてSecrets ManagerからAUTHトークンを取得し、認証に使用します。

C. SSL証明書を作成し、AWS Secrets Managerに証明書を保存します。新しいクラスターを作成し、転送中の暗号化を設定します。アプリケーションを更新して、必要に応じてSecrets ManagerからSSL証明書を取得し、証明書を使って認証します。

D. SSL証明書を作成し、AWS Systems Manager Parameter Storeに暗号化された高度なパラメータとして証明書を保存します。既存のクラスターを更新して転送中の暗号化を設定します。アプリケーションを更新して、必要に応じてParameter StoreからSSL証明書を取得し、証明書を使って認証します。

解説

この問題の解説を以下にまとめます。

要件

認証を有効にする: 現在、ElastiCache for Redisのキャッシュにアクセスするユーザーは認証なしでアクセスできており、セキュリティリスクとなっています。

in transitの暗号化を有効にする: データが転送中に暗号化されていないため、通信経路でのデータ漏洩のリスクがあります。

解決策

ElastiCache for Redisでは、認証と暗号化 in transitの両方を設定できます。これにより、キャッシュのセキュリティが強化されます。

各選択肢の分析

選択肢A:

AUTHトークンを作成して、AWS Systems Manager Parameter Storeに保存し、新しいElastiCacheクラスターでAUTHを設定します。
これにより認証は実現できますが、Parameter Storeを使用して保存することは暗号化管理の面でAWS Secrets Managerほど適切ではありません。Secrets Managerは機密情報を管理するために最適化されており、認証情報に最適です。
暗号化in transitに関する設定が記載されていないため、不完全な解決策です。

選択肢B (正解):

AWS Secrets Managerに保存したAUTHトークンを使用し、ElastiCacheで認証を設定します。Secrets Managerは機密情報（トークンなど）の管理に特化しているため、より安全です。
in transitの暗号化を有効にして、転送中のデータを保護します。
この選択肢は要件を満たし、認証と暗号化の両方を適切に設定するため、最も効果的です。

選択肢C:

SSL証明書を使用し、Secrets Managerに保存しますが、SSL証明書は認証トークンの代わりには適切ではありません。SSL証明書は主にサーバーとクライアント間で暗号化を提供するためのもので、キャッシュ認証に使用するのには適しません。
また、SSL証明書は認証を提供するものではないため、認証要件を満たしません。

選択肢D:

SSL証明書をSystems Manager Parameter Storeに保存し、認証に使用する点が問題です。
Parameter Storeは機密情報の格納に使えますが、Secrets Managerに比べてセキュリティが劣ります。また、SSL証明書は認証の目的には使用できません。