なさん、こんにちは。
サニービュー事業部の小寺です。

最近、AWS Security Hubと他サービスの連携ができるようになりましたよね。
今日は先日、ブログで取り上げられていたAWS BackupとAWS Securty Hubを使って
バックアップの結果の可視化について、お伝えします。

https://aws.amazon.com/jp/blogs/news/automate-visibility-of-backup-findings-using-aws-backup-and-aws-security-hub/

AWS Backupとは

ご利用されている方も多くいらっしゃると思いますが、AWS Backupについて
改めてお伝えします!

AWS BackupとはAWSのサービスとハイブリッドな環境も含めて
データ保護を一元化及び自動化できるサービスです。

AWS Backupを使うことで以下のようなメリットがあります。
・バックアップの集中管理
バックアップのコンソールからバックアップポリシーを設定することができます。AWSのサービス全体のアプリケーションデータを簡単にバックアップ、保護できます。設定はマネジメントコンソール以外にもAPIまたはCLIから可能です。

・バックアッププロセスの自動化
バックアップスケジュール、バックアップの保管管理、ライフサイクル管理を自動化することができます。
そのため、カスタムスクリプトや手動プロセスを作って実行する必要はありません。ポリシーの適用には、タグ付けをするだけで可能です。簡単に適用することができますね。

・バックアップコンプライアンスの向上
バックアップポリシーの適用、バックアップの暗号化、バックアップのマニュアル削除からの保護、バックアップライフサイクル設定の変更防止、バックアップ操作の監査とレポートをすることで、バックアップコンプライアンスの基準を満たすことができます。

AWS Backup では、転送時と保管時にデータを暗号化することができ、データの保護が可能です。
また、AWS のサービス全体のバックアップ操作ログを一括で把握できるため、監査も容易にできるようになります。基準としては、PCI および ISO に準拠しており、HIPAA にも対応しています。

バックアップ結果を連携するための前提条件

AWS で Backup Audit Manager が定義したデータ保護ポリシーに基づいて、Security Hub での可視化、他のサービスとも組合わせて、何かバックアップ関連で問題が発生したときの管理ができるようになります。例えば、優先順位をつけ、どういった対応をするのが良いかという確認がよりやりやすくなります。

以下2つが前提条件です。

(1)AWS Backup Audit Manager のリソース追跡が有効になっていること。
リソース追跡を有効にすることで、AWS Config が AWS Backup リソースを追跡できるようになります。

(2) バックアップ結果を可視化する対象のAWS リージョンで、Security Hub を有効であること。

バックアップ結果を連携する

それでは、どのようにバックアップ結果を連携すれば良いでしょうか。
連携には、CloudFormationを利用して、一括した設定を行います。
CloudFormationのテンプレートは、aws-backupauditmanager-securityhub.yaml テンプレートを使います。なお、このテンプレートはパラメーターを取得しません。

ソリューションは Amazon CloudWatch Events(EventBridge) ルールをプロビジョニングします。このルールは、Backup Audit Manager コントロールのコンプライアンスステータスが変更されるたび、トリガーがされます。
CloudWatch Events(EventBridge)ルールのターゲットは、AWS Config レコーディングリソースタイプからイベントの詳細を取得します。その後、AWS Security Finding 形式を介して Security Hub の結果をイベントに変換します。

https://aws.amazon.com/jp/blogs/news/automate-visibility-of-backup-findings-using-aws-backup-and-aws-security-hub/より引用

連携で便利になること

ソリューションを使用することにより、Backup Audit Manager からの結果を、他の AWS サービスやパートナーソリューションとともに集約、整理、優先順位付けできるようになります。
調査結果に対して、カスタムアクションを設定することもできますし、自動修復を行うことも可能ですね。

AWSをご利用いただくには、直接契約するより断然お得。
AWS利用料が5%割引、AWSビジネスサポートも無償でご利用いただけます!