type
status
date
slug
summary
tags
category
icon
password
书籍
理論
バックアップボールトは、AWS Backupがバックアップデータを保管するためのストレージコンテナです。データを安全に保存するために、アクセス制限や暗号化が設定できます。ボールト内のバックアップは、バックアップポリシーに従って管理され、復元や削除の際にもセキュリティが確保されます。
1. AWS Backupの基本
AWS Backupは、AWSサービス全体でのデータのバックアップと復元を簡素化するためのサービスです。これを使って、EC2インスタンス、RDSデータベース、EFSファイルシステムなどのリソースのバックアップを効率的に実行できます。バックアップは暗号化され、保存される場所はユーザーが指定できます。
2. バックアップの保護とセキュリティ
バックアップのデータを安全に保つためには、以下のポイントに留意する必要があります:
- バックアップの不正アクセス防止
AWS Backupには、バックアップボールトへのアクセス制御が組み込まれており、IAMポリシーやサービスコントロールポリシー(SCP)を使ってアクセス制限を設けることができます。バックアップボールトにアクセスする権限は最小限にし、特権ユーザーの資格情報が侵害されてもバックアップが安全であるようにします。
- バックアップの不正変更防止
AWS Backup Vault Lockを使用することで、バックアップが保持される期間中にその内容が変更されないように設定できます。これにより、ランサムウェア攻撃などでバックアップが暗号化されるリスクを最小化できます。Vault Lockには「コンプライアンスモード」や「操作モード」があり、特にコンプライアンスモードは業界標準のデータ保持ポリシーに準拠しています。
- クロスアカウントバックアップ
クロスアカウントバックアップにより、バックアップデータを別のAWSアカウントに格納することで、攻撃者が本番アカウントにアクセスできてもバックアップは安全な場所に保管されます。バックアップボールトを異なるアカウントに分けて保管することが推奨されます。
3. SCP(サービスコントロールポリシー)
SCPはAWS Organizationsの一部で、アカウントの管理者が許可するアクションを制限することができます。SCPを使用して、バックアップボールトの変更や削除、アクセスを制限することにより、バックアップデータを保護します。これにより、特権ユーザーの資格情報が侵害された場合でも、バックアップのセキュリティを保つことができます。
4. データ保持ポリシーとライフサイクル管理
バックアップデータを長期間保存するためには、ライフサイクル管理を適切に設定することが重要です。AWS Backupではバックアップの頻度、保持期間、ライフサイクルポリシーを設定でき、データを指定した期間保存した後に自動的に削除することが可能です。また、バックアップをコールドストレージ(Amazon S3 Glacierなど)に移動することでコストを削減できます。
5. S3オブジェクトロック
Amazon S3にはオブジェクトロックという機能があり、これを有効にすると、オブジェクトが削除されることなく一定期間保持されるようにできます。S3オブジェクトロックは、ランサムウェア攻撃を防ぐために有用です。バックアップデータをS3に格納し、オブジェクトロックを使ってその安全性を高めることができます。
6. AWS Backupのアラートと監査
AWS Backupは監査機能を提供しており、バックアップの成功/失敗、バックアップリストアの活動、バックアップボールトへのアクセスなどを記録できます。これにより、異常な活動が発生した場合にすぐに検出できるようになります。また、CloudWatchを使ってアラートを設定することも可能です。
結論
バックアップを適切に管理し、ランサムウェアなどの攻撃からデータを保護するためには、AWS Backupの高度な機能(Vault Lock、クロスアカウントバックアップ、SCPなど)を駆使することが重要です。これにより、データの保護と復元力を強化し、企業のデータセキュリティ基準を満たすことができます。
実践
略
一問道場
解説
この問題は、バックアップのセキュリティと復元力を確保するためのベストプラクティスを問うものです。企業はランサムウェア攻撃に対抗するため、バックアップを保護し、特権ユーザーの資格情報侵害に耐性を持たせる必要があります。以下は、最も効果的な手順についての解説です。
正解となる手順
- A. AWS Backupボールトを指定された非本番アカウントでクロスアカウントバックアップを実施する。
- 理由: バックアップは非本番アカウントで管理し、本番アカウントから分離することで、万が一本番アカウントが攻撃されても、バックアップは安全な場所に保管されます。これにより、特権ユーザーの資格情報侵害からバックアップを保護できます。
- B. AWS Backupボールトの変更を制限するSCP(サービスコントロールポリシー)を追加する。
- 理由: サービスコントロールポリシー(SCP)を使用して、AWS Backupボールトの変更を制限することができます。これにより、不正なアクセスや変更からボールトを保護し、ランサムウェア攻撃によるデータ損失を防ぎます。
- C. AWS Backup Vault Lockをコンプライアンスモードで実装する。
- 理由: AWS Backup Vault Lockのコンプライアンスモードを使用すると、バックアップが一定の期間変更不可となり、データがランサムウェア攻撃によって暗号化されても、保護されたバックアップが変更されることはありません。このモードはデータ保持ポリシーの強化に役立ちます。
なぜ他の選択肢が適切でないか
- D. AWS Backupに割り当てられたIAMサービスロールに対して最小権限アクセスを実装する。
- 最小権限アクセスは重要ですが、この選択肢はバックアップの保護という観点で直接的な解決策にはなりません。バックアップの保護に関する要件としては、ロール設定だけでは不十分です。
- E. バックアップの頻度、ライフサイクル、および保持期間を設定し、常に1つのバックアップがコールドティアに存在するようにする。
- バックアップの頻度や保持期間を設定することは重要ですが、ランサムウェア攻撃に対する耐性を確保するためには、バックアップの保護方法がもっと具体的でなければなりません。コールドティアへの保持のみでは不十分です。
- F. AWS Backupを設定して、すべてのバックアップを指定された非本番アカウントのAmazon S3バケットに書き込む。S3バケットにはS3オブジェクトロックを有効にする。
- S3オブジェクトロックを有効にすることは有用ですが、AWS Backupのクロスアカウントバックアップに比べて管理が複雑になる可能性があります。非本番アカウントにバックアップを保持する方法としては、AWS Backupボールトの方がよりセキュアで管理が容易です。
結論
ランサムウェア攻撃に対抗するためには、バックアップが改ざんされないように保護する手段を講じる必要があります。正解となる選択肢は、AWS Backupボールトのセキュリティを強化し、非本番アカウントでバックアップを管理する方法です。
- 作者:みなみ
- 链接:https://www.minami.ac.cn//%E8%B3%87%E6%A0%BC%E5%8B%89%E5%BC%B7/177d7ae8-88e2-80b9-abd0-cf5c8304553e
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
