Neptune DBのクラスタースナップショットで保管中の暗号化を有効化する手順
このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか?」 というリスクの解説から、「どうやって直すのか?」 という具体的な修復手順(コンソール、AWS CLI、Terraformなど)まで、分かりやすく解説します。
この記事では、Security Hubで検出された「[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります」というセキュリティ課題の修正方法について解説します。
ポリシーの説明
Neptune の Security Hub コントロール – AWS Security Hub
このコントロールは、Neptune DB クラスタースナップショットが保管中に暗号化されているかどうかをチェックします。Neptune DB クラスターが保管中に暗号化されていない場合、コントロールは失敗します。
Amazon Neptune DBクラスターのスナップショットは、データベースの状態を特定の時点に保存したもので、災害復旧やデータ復旧に不可欠です。これらのスナップショットが暗号化されていない場合、不正アクセスにより機密性の高いグラフデータが漏洩する可能性があります。保管時の暗号化を有効にすることで、これらのリスクを軽減し、データのセキュリティを確保できます。
修復方法
AWSコンソールでの修正手順
- Neptune > スナップショットに移動する
- スナップショットを選択し、アクション > スナップショットをコピーを選択
- セキュリティの一覧を確認し、別のAWS KMSキーを設定する場合はチェックを入れて設定を行う。
設定したことを確認し、DBスナップショットのコピーを実施し、暗号化されたスナップショットを作成する。
Terraformでの修復手順
Neptuneクラスタースナップショットの暗号化を有効にするためのTerraformコードと、重要な修正ポイントを説明します。
# KMS key for Neptune encryption
resource "aws_kms_key" "neptune" {
description = "KMS key for Neptune cluster encryption"
deletion_window_in_days = 7
enable_key_rotation = true
policy = jsonencode({
Version = "2012-10-17"
Statement = [
{
Sid = "Enable IAM User Permissions"
Effect = "Allow"
Principal = {
AWS = "arn:aws:iam::${data.aws_caller_identity.current.account_id}:root"
}
Action = "kms:*"
Resource = "*"
},
{
Sid = "Allow Neptune to use the key"
Effect = "Allow"
Principal = {
Service = "neptune.amazonaws.com"
}
Action = [
"kms:Decrypt",
"kms:GenerateDataKey*",
"kms:CreateGrant",
"kms:ReEncrypt*",
"kms:DescribeKey"
]
Resource = "*"
}
]
})
tags = var.tags
}
# KMS alias
resource "aws_kms_alias" "neptune" {
name = "alias/neptune-${var.environment}"
target_key_id = aws_kms_key.neptune.key_id
}
# Subnet group for Neptune
resource "aws_neptune_subnet_group" "main" {
name = "neptune-${var.environment}"
subnet_ids = var.private_subnet_ids
description = "Neptune subnet group for ${var.environment}"
tags = var.tags
}
# Parameter group for Neptune
resource "aws_neptune_parameter_group" "main" {
family = "neptune1.2"
name = "neptune-params-${var.environment}"
description = "Neptune parameter group for ${var.environment}"
tags = var.tags
}
# Security group for Neptune
resource "aws_security_group" "neptune" {
name = "neptune-${var.environment}"
description = "Security group for Neptune cluster"
vpc_id = var.vpc_id
ingress {
description = "Neptune port"
from_port = 8182
to_port = 8182
protocol = "tcp"
security_groups = var.allowed_security_group_ids
}
egress {
from_port = 0
to_port = 0
protocol = "-1"
cidr_blocks = ["0.0.0.0/0"]
}
tags = merge(var.tags, {
Name = "neptune-${var.environment}"
})
}
# ★重要: Neptune cluster with encryption
resource "aws_neptune_cluster" "main" {
cluster_identifier = "neptune-${var.environment}"
engine = "neptune"
# ★重要: 暗号化設定
storage_encrypted = true
kms_key_arn = aws_kms_key.neptune.arn
vpc_security_group_ids = [aws_security_group.neptune.id]
neptune_subnet_group_name = aws_neptune_subnet_group.main.name
neptune_parameter_group_name = aws_neptune_parameter_group.main.name
backup_retention_period = var.backup_retention_period
preferred_backup_window = "03:00-04:00"
skip_final_snapshot = false
final_snapshot_identifier = "neptune-${var.environment}-final"
tags = var.tags
}
# ★重要: Neptune cluster snapshot
resource "aws_neptune_cluster_snapshot" "example" {
db_cluster_identifier = aws_neptune_cluster.main.id
db_cluster_snapshot_identifier = "snapshot-${var.environment}-${formatdate("YYYY-MM-DD", timestamp())}"
tags = merge(var.tags, {
Name = "neptune-snapshot-${var.environment}"
})
# スナップショットは自動的にクラスターの暗号化設定を継承
}
# CloudWatch for monitoring
resource "aws_cloudwatch_metric_alarm" "snapshot_age" {
alarm_name = "neptune-snapshot-age-${var.environment}"
comparison_operator = "GreaterThanThreshold"
evaluation_periods = "1"
metric_name = "BackupRetentionPeriodStorageUsed"
namespace = "AWS/Neptune"
period = "86400" # 1 day
statistic = "Average"
threshold = var.backup_retention_period * 86400 # Convert days to seconds
alarm_description = "Neptune backup retention period exceeded"
alarm_actions = var.alarm_sns_topic_arns
dimensions = {
DBClusterIdentifier = aws_neptune_cluster.main.id
}
tags = var.tags
}
# SNS Topic policy
resource "aws_sns_topic_policy" "neptune_alerts" {
count = length(var.alarm_sns_topic_arns) > 0 ? 1 : 0
arn = var.alarm_sns_topic_arns[0]
policy = jsonencode({
Version = "2012-10-17"
Statement = [
{
Sid = "Allow CloudWatch Alarms"
Effect = "Allow"
Principal = {
Service = "cloudwatch.amazonaws.com"
}
Action = "SNS:Publish"
Resource = var.alarm_sns_topic_arns[0]
}
]
})
}
# Variables
variable "environment" {
description = "Environment name"
type = string
}
variable "vpc_id" {
description = "VPC ID"
type = string
}
variable "private_subnet_ids" {
description = "List of private subnet IDs"
type = list(string)
}
variable "allowed_security_group_ids" {
description = "List of security group IDs allowed to access Neptune"
type = list(string)
}
variable "backup_retention_period" {
description = "Backup retention period in days"
type = number
default = 7
}
variable "alarm_sns_topic_arns" {
description = "List of SNS topic ARNs for CloudWatch alarms"
type = list(string)
default = []
}
variable "tags" {
description = "Tags for resources"
type = map(string)
default = {}
}
# Data sources
data "aws_caller_identity" "current" {}
主要な修正ポイントは以下の通りです:
- クラスターレベルでの暗号化設定(最重要):
resource "aws_neptune_cluster" "main" {
# この設定が最も重要
storage_encrypted = true
kms_key_arn = aws_kms_key.neptune.arn
}
スナップショットの暗号化:
# スナップショットはクラスターの暗号化設定を自動的に継承
resource "aws_neptune_cluster_snapshot" "example" {
db_cluster_identifier = aws_neptune_cluster.main.id
}
バックアップと監視:
# バックアップ設定
backup_retention_period = var.backup_retention_period
skip_final_snapshot = false
# CloudWatch監視
resource "aws_cloudwatch_metric_alarm" "snapshot_age" {
metric_name = "BackupRetentionPeriodStorageUsed"
}
使用方法:
- 変数の設定:
# terraform.tfvars
environment = "production"
vpc_id = "vpc-xxxxx"
private_subnet_ids = ["subnet-xxxxx", "subnet-yyyyy"]
allowed_security_groups = ["sg-xxxxx"]
backup_retention_period = 14適用:
terraform init
terraform plan
terraform apply
重要な注意点:
- 暗号化の設定:
# クラスター作成時に暗号化を有効化
storage_encrypted = true
# カスタムKMSキーの使用
kms_key_arn = aws_kms_key.neptune.arn
バックアップと保持期間:
# バックアップ設定
backup_retention_period = var.backup_retention_period
preferred_backup_window = "03:00-04:00"
セキュリティとアクセス制御:
# セキュリティグループの設定
vpc_security_group_ids = [aws_security_group.neptune.id]
# KMSキーのポリシー
policy = jsonencode({
Statement = [
{
Principal = {
Service = "neptune.amazonaws.com"
}
Action = [
"kms:Decrypt",
"kms:GenerateDataKey*"
]
}
]
})
追加のベストプラクティス:
- ネットワークセキュリティ:
# プライベートサブネットでの配置
neptune_subnet_group_name = aws_neptune_subnet_group.main.name
モニタリングとアラート:
# CloudWatch Alarms
resource "aws_cloudwatch_metric_alarm" "snapshot_age" {
# バックアップの監視
}タグ付け:
tags = merge(var.tags, {
Encrypted = "true"
Environment = var.environment
})
この設定により:
- クラスターとスナップショットの暗号化
- 定期的なバックアップ
- モニタリングとアラート
- アクセス制御の強化
が実現されます。
注意:
- 既存の非暗号化クラスターは新規作成が必要
- 暗号化の変更にはダウンタイムが発生する可能性がある
- クロスリージョンスナップショットコピーにも暗号化設定が必要
最後に
今回は、Neptune DBクラスタースナップショットを保管中に暗号化する方法についてご紹介しました。スナップショットは重要なバックアップデータであり、暗号化によって不正アクセスから保護することが不可欠です。
この問題の検出は弊社が提供するSecurifyのCSPM機能で簡単に検出及び管理する事が可能です。
運用が非常に楽に出来る製品になっていますので、ぜひ興味がある方はお問い合わせお待ちしております。
最後までお読みいただきありがとうございました。この記事が皆さんの役に立てば幸いです。
