519-AWS SAP AWS 「理論・実践・一問道場」EBSボリュームは暗号化

type

status

date

slug

summary

理論

EBSボリュームの暗号化と自動化に関する基本知識

Amazon EBSの暗号化:

Amazon EBS（Elastic Block Store）は、EC2インスタンスにアタッチできるブロックストレージです。EBSボリュームは暗号化されていない場合、データが平文で保存され、セキュリティリスクがあります。EBSボリュームを暗号化することで、データは保存、転送、バックアップ時に暗号化されます。

EBS暗号化は、データをAES-256で暗号化し、キー管理は**AWS Key Management Service (KMS)**によって管理されます。

AWS Configの利用:

AWS Configは、AWSリソースの設定変更を追跡し、リソースの構成状態が企業のポリシーに準拠しているかを監視するサービスです。AWS Configルールを使用して、EBSボリュームが暗号化されているかどうかをチェックし、違反を検出することができます。

自動修復アクションを設定することで、暗号化されていないEBSボリュームを自動的に修正（暗号化）することができます。

AWS Systems Manager Automation:

AWS Systems Manager Automationは、運用タスクを自動化するためのサービスです。ランブック（Automation runbook）を使用して、特定の操作を自動化できます。EBSボリュームの暗号化が必要な場合、既存の未暗号化ボリュームを新しい暗号化されたボリュームに置き換える作業をランブックで自動化できます。

AWSアカウント設定でのEBS暗号化強制:

EBS暗号化設定をAWSアカウントで有効にすると、すべての新規EBSボリュームがデフォルトで暗号化されるようになります。この設定により、開発者が意図的に暗号化されていないボリュームを作成することを防げます。

SCP（サービス制御ポリシー）:

SCPは、AWS Organizationsで使用され、組織内のアカウントに対する権限を制限するためのポリシーです。これを使って、特定のアクション（例えば、暗号化されていないEBSボリュームの作成）を制限することができます。

要点:

EBSボリュームの暗号化はセキュリティポリシーに基づいて必須であり、AWS Config、Systems Manager Automation、アカウント設定の強制を使用して自動化できます。

AWS ConfigルールとSystems Manager Automationを組み合わせることで、未暗号化ボリュームの検出と修正を効率的に行えます。

AWSアカウント設定で新しいEBSボリュームを自動的に暗号化することが推奨されます。

実践

略

一問道場

問題 #518

ある企業が、AWSアカウント内の数千のAmazon EC2インスタンスにアプリケーションをデプロイしました。セキュリティ監査の結果、いくつかの暗号化されていないAmazon Elastic Block Store（Amazon EBS）ボリュームがEC2インスタンスにアタッチされていることが発見されました。企業のセキュリティポリシーでは、EBSボリュームは暗号化されている必要があります。

企業は、EBSボリュームを暗号化するための自動化されたソリューションを実装する必要があります。このソリューションは、開発チームが暗号化されていないEBSボリュームを作成することを防ぐ必要があります。

どのソリューションがこの要件を満たしますか？

A. AWS Configの管理ルールを設定して、暗号化されていないEBSボリュームを識別します。自動修復アクションを設定します。新しい暗号化されたEBSボリュームを作成する手順を含むAWS Systems Manager Automationランブックを関連付けます。AWS Key Management Service（AWS KMS）のカスタマーマネージドキーを作成します。キーのポリシーで、暗号化されていないEBSボリュームの作成を拒否するステートメントを含めます。

B. AWS Systems Manager Fleet Managerを使用して、暗号化されていないEBSボリュームのリストを作成します。新しい暗号化されたEBSボリュームを作成する手順を含むAWS Systems Manager Automationランブックを作成します。暗号化されていないEBSボリュームの作成を拒否するSCPを作成します。

C. AWS Systems Manager Fleet Managerを使用して、暗号化されていないEBSボリュームのリストを作成します。新しい暗号化されたEBSボリュームを作成する手順を含むAWS Systems Manager Automationランブックを作成します。EBS暗号化のAWSアカウント設定を変更して、新しいEBSボリュームを常に暗号化するようにします。

D. AWS Configの管理ルールを設定して、暗号化されていないEBSボリュームを識別します。自動修復アクションを設定します。新しい暗号化されたEBSボリュームを作成する手順を含むAWS Systems Manager Automationランブックを関連付けます。EBS暗号化のAWSアカウント設定を変更して、新しいEBSボリュームを常に暗号化するようにします。

解説

この問題では、企業がEC2インスタンスにアタッチされている暗号化されていないEBSボリュームを検出し、これを自動的に暗号化するためのソリューションを求めています。さらに、開発チームが新たに暗号化されていないEBSボリュームを作成するのを防ぐ必要があります。各選択肢を評価し、最適な解決策を選びます。

選択肢の評価：

A: AWS Configの管理ルール、修復アクション、KMSキーでのポリシー

説明:

AWS Configを使用して、暗号化されていないEBSボリュームを検出します。自動修復アクションを設定して、暗号化されたEBSボリュームを作成するためのAWS Systems Manager Automationランブックを実行します。
さらに、AWS KMSのカスタマーマネージドキーを作成し、キーのポリシーで暗号化されていないEBSボリュームの作成を拒否するステートメントを設定します。

問題点: 企業の要件に適しているが、KMSのポリシーでEBSボリューム作成の拒否を行う方法は少し過剰であり、AWSアカウント設定でEBS暗号化を強制する方が効果的です。

B: Fleet Manager、SCPによる暗号化されていないEBSボリュームの拒否

説明:

AWS Systems Manager Fleet Managerで暗号化されていないEBSボリュームをリストし、SCP（Service Control Policies）で暗号化されていないEBSボリュームの作成を拒否します。

問題点: SCPはAWS Organizationsの管理者が利用でき、適用される範囲が広いため、EC2インスタンスに関連した個別のEBSボリュームに対しては過剰です。また、Fleet Managerを使った検出後に修正作業を手動で行う必要があります。

C: Fleet Manager、EBS暗号化設定で自動化

説明:

AWS Systems Manager Fleet Managerで暗号化されていないEBSボリュームをリストし、Automationランブックで暗号化されたEBSボリュームを作成します。
さらに、AWSアカウント設定でEBS暗号化を常に強制する設定を行います。

適切な選択肢: この方法では、EBSボリュームが常に暗号化されることが保証され、開発者が暗号化されていないボリュームを作成できなくなります。自動化された手順で、既存の未暗号化ボリュームも修復されます。

D: AWS Config、EBS暗号化設定で自動化

説明:

AWS Configで暗号化されていないEBSボリュームを識別し、修復アクションを設定して自動的に暗号化されたボリュームを作成します。
EBS暗号化のAWSアカウント設定を変更して、新しいEBSボリュームを常に暗号化します。

適切な選択肢: この方法は、AWS Configによる未暗号化ボリュームの検出と修復、自動化された暗号化の設定を組み合わせるため、最も完全な解決策です。また、AWSアカウント全体でEBSボリュームが常に暗号化されるようにするため、企業のセキュリティポリシーに従った運用が可能です。

結論：

最適な解決策は D です。

AWS Configを利用して暗号化されていないEBSボリュームを検出し、AWS Systems Manager Automationランブックで修復し、EBS暗号化のアカウント設定を強制することで、暗号化されていないEBSボリュームを防ぎます。これにより、すべての新しいボリュームと既存のボリュームが自動的に暗号化されるようになります。