AWS Well-Architectedフレームワークの第4の柱: データ保護
トピック: データ保護、AWS Well-Architectedフレームワークの5本の柱
2019年11日19日、Rich Turner
このブログはAWS Well-Architectedフレームワークの5本の柱に関するシリーズ(7つのブログ)の第5の記事です。シリーズ全体については、Five Pillars for well-architected AWS securityをご参照ください。
ネットワークのデータ保護はバックアップと同じである場合が多いですが、実際は、バックアップはデータ保護と多少、異なっています。バックアップはクラウドインフラストラクチャ内の一部またはすべてのデータのスナップショットです。このデータは、保管中のデータであるため、バックアップの時点でしか正確ではありません。侵害を修復(データをリストア)できるように、バックアップを行っても、最新のバックアップの日付からデータをリストアする時点までに、かなりの時間が経過している可能性があります。
GDPR(EU一般データ保護規則)などの最近の法律によって、セキュリティプロフェッショナルは、保管中のデータだけでなく、伝送中のデータも保護するというはるかに困難な問題に取り組む必要が生じています。伝送中のデータは、ネットワーク外に移動するか、ノード間を移動する場合が非常に多いです。つまり、伝送の一部として実行される悪意のある動作の影響を受けやすいということです。
暗号化は、保管中のデータと伝送中のデータの両方を保護する最も一般的な方法ですが、包括的なソリューションではありません。ネットワークセキュリティ管理だけでなく、データポリシーによっても、別のセキュリティレイヤが追加されます。リスクにさらされていると分類されたデータは、アクセスまたは移動しようとすると常に、アラートの表示からアクセスまたは移動の禁止まで、特定のポリシーが適用される可能性があります。
データ保護の一部と見なす必要があるデータ操作は他にもあります。その一つはアーカイブです。アーカイブ済みのメールは、明らかに保管中のデータですが、データ保護全体の中で考える必要があります。もう一つは脅威の継続的なスキャンです。スキャンは、伝送中のデータだけでなく、すべてのデータを対象とする必要があります。Amazon S3(Simple Storage Service)バケット内の潜在的な脅威を含むメールを検出することは非常に一般的であり、このようなメールは、ごみ箱フォルダまたはスパムフォルダにある場合が多いです。このようなメールを誤って開いて、マルウェアが実行されることがないように、このようなメールが潜在的な脅威を含んでいると認識することは重要です。
リスクにさらされていると分類されたデータは、アクセスまたは移動しようとすると常に、アラートの表示からアクセスまたは移動の禁止まで、特定のポリシーが適用される可能性があります。また、データの分類は、自明の機密度に基づいてデータを整理する方法として活用できるため、最終的には、暗号化ツールとアクセスの自動化につながります。
設計が優れたデータ保護を開発するには、下記を行う必要があります。
- AWS(Amazon Web Services)に保存された情報とデータを完全に可視化する。
- データのバージョンを管理する。
- データを常に保護する。
- データを常に暗号化する。
AWSには保管中のデータと伝送中のデータを暗号化する複数の方法があります。つまり、サービス側の暗号化、およびELB(Elastic Load Balancing)で処理できるHTTPS暗号化またはSSL終了です。
データ保護を開発する場合は、下記を考慮する必要があります。
- データの分類方法、および暗号化などのセキュリティの自動化方法
- 保管中のデータの保護方法、および伝送中のデータの保護方法
分類と暗号化、保管中のデータの保護、および伝送中のデータの保護の詳細については、AWS Well-Architected Labsをご参照ください。
次のブログでは、インシデント対応について説明します。シリーズ全体については、Five Pillars for well-architected AWS securityをご参照ください。
Barracuda Cloud Security Guardianは、コンプライアンス義務が増大する時代のセキュリティの維持に役立つ高度に自動化された使いやすいソリューションになっており、クラウドインフラストラクチャを保護します。無料のスキャンについては、このページをご参照ください。
製品のご紹介:Barracuda Cloud Security Guardian
原文はこちら:
The fourth pillar to well-architected AWS cloud security – Data Protection
November 19, 2019 Rich Turner