AWS Backup、論理エアギャップボールトのための新たなマルチパーティ承認を追加

6 月 17 日、 AWS Backup 論理エアギャップボールトとマルチパーティ承認を統合する新機能の一般提供についてお知らせします。これにより、不注意または悪意のあるイベントにより AWS アカウントにアクセスできなくなった場合でもバックアップにアクセスできるようになります。AWS Backup は、AWS のサービスとハイブリッドワークロードのデータ保護を一元化および自動化するフルマネージドサービスです。中核となるデータ保護機能、ランサムウェア復旧機能、データ保護ポリシーと運用に関するコンプライアンス情報と分析を提供します。

バックアップ管理者は、AWS Backup 論理エアギャップボールトを使用して、アカウントや組織間でバックアップを安全に共有し、バックアップストレージを論理的に分離し、ダイレクトリストアをサポートして、不注意または悪意のあるイベントが発生した場合の復旧時間を短縮できます。ただし、悪意のある攻撃者や意図しない攻撃者がバックアップアカウントまたは組織の管理アカウントへのルートアクセスを取得した場合、論理エアギャップボールトに安全に保存されているにもかかわらず、バックアップには突然アクセスできなくなります。従来のアカウント復旧はサポートチャネルを通じて行う必要がありましたが、マルチパーティ承認を受けた AWS Backup では復旧ツールにすぐにアクセスできるため、解決までの時間を短縮し、復旧スケジュールをより細かく管理できます。

AWS Backup の論理エアギャップボールトに対するマルチパーティ承認により、AWS アカウントに完全にアクセスできなくなった場合でもアプリケーションデータを復旧するための保護レイヤーが強化されます。マルチパーティ承認を使用すると、組織内の信頼できる個人で構成される承認チームを作成し、論理エアギャップボールトに関連付けることができます。不注意または悪意のある行為によって AWS アカウントからロックアウトされた場合は、AWS Organizations アカウント外のアカウントも含め、どのアカウントからでもボールトの共有を許可するよう承認チームにリクエストできます。承認されると、バックアップへのアクセスが許可され、復旧プロセスを開始できます。

仕組み
AWS Backup の論理エアギャップボールトのマルチパーティ承認は、論理エアギャップボールトのセキュリティとマルチパーティ承認のガバナンスを組み合わせることで、AWS アカウントが侵害された場合でも機能する復旧メカニズムを構築します。その仕組みは次のとおりです。

1.承認チームの作成
まず、AWS Organizations 管理アカウントで承認チームを作成します。管理アカウントが新しい場合は、承認チームを作成する前に、まず AWS Identity and Access Management (IAM) Identity Center インスタンスを作成します。承認チームは、ボールト共有リクエストを承認する権限を持つ信頼できる個人 (IAM Identity Center ユーザー) で構成されます。各承認者は、新しい承認ポータルを通じて承認チームに参加するための招待状を受け取ります。

2.ボールトアソシエーション
承認チームがアクティブになったら、AWS Resource Access Manager (AWS RAM) を使用して論理エアギャップボールトを所有するアカウントと承認チームを共有し、任意のアカウントからの承認リクエストから保護します。その後、バックアップ管理者は、この承認チームを新規または既存の論理エアギャップボールトに関連付けることができます。

3.侵害からの保護
AWS アカウントが乗っ取られたり、アクセスできなくなったりした場合は、別のアカウント (クリーンリカバリアカウント) からバックアップへのアクセスをリクエストできます。このリクエストには、論理エアギャップボールトの Amazon リソースネーム (ARN) が arn:aws:backup:<region>:<account>:backup-vault:<name> の形式で含まれ、オプションのボールト名とコメントも含まれています。

4.マルチパーティ承認
リクエストは承認チームに送信され、承認チームは承認ポータルでリクエストをレビューします。必要最小限数の承認者がリクエストを承認すると、ボールトはリクエスト元のアカウントと自動的に共有されます。すべてのリクエストと承認は AWS CloudTrail に包括的に記録されます。

5.復旧プロセス
アクセスが許可されると、侵害されたアカウントが修復されるのを待たずに、新しいリカバリアカウントのデータの復元またはコピーをすぐに開始できます。

この方法では、AWS アカウントの認証情報とは完全に独立した、バックアップにアクセスして復元するための完全に別の認証パスが提供されます。攻撃者がお客様のアカウントへのルートアクセス権を持っていたとしても、承認チームによる復旧プロセスを防ぐことはできません。

1.論理エアギャップボールトの新規作成
新しい論理エアギャップボールトを作成するには、名前、タグ (オプション)、ボールトロックプロパティを指定します。

2.承認チームの割り当て
ボールトが作成されたら、[承認チームの割り当て] を選択して既存の承認チームに割り当てます。

ドロップダウンメニューから既存の承認チームを選択し、[送信] を選択して割り当てを確定します。

これで、承認チームが論理エアギャップボールトに割り当てられるようになりました。

便利なヒント
実際に緊急事態が発生する前に、復旧プロセスをテストすることが不可欠です。

1. 別の AWS アカウントから、AWS Backup コンソールまたは API を使用して、ボールト ID と ARN を指定して、論理エアギャップボールトの共有をリクエストします。
2. 承認チームにリクエストの承認を要請します。
3. 承認されたら、テストアカウントのボールトからバックアップにアクセスして復元できることを確認します。

ベストプラクティスとして、AWS Backup Audit Manager を使用して承認チームの状態を定期的に監視し、承認基準を満たす十分な数のアクティブな参加者がいることを確認します。

クラウドガバナンスを強化するためのマルチパーティ承認
6 月 17 日、AWS アカウント管理者が製品にマルチパーティ承認を追加するために使用できる新機能の一般提供についても発表します。この投稿で強調しているように、AWS Backup はこの機能を統合した最初のサービスです。マルチパーティ承認により、管理者は分散型のレビュープロセスを使って、アプリケーション所有者が機密性の高いサービス業務を保護できるようすることができます。

便利なヒント
マルチパーティ承認には、いくつかの重要なセキュリティ上の利点があります。

• 分散型の意志決定により、単一障害点を排除
• AWS CloudTrail 統合による完全な監査可能性
• 認証情報の漏洩に対する保護
• コンプライアンス重視の業務のための正式なガバナンス
• 統合サービス全体で一貫した承認エクスペリエンス

今すぐご利用いただけます

マルチパーティ承認は、現在 AWS Organizations が利用可能なすべての AWS リージョンでご利用いただけます。AWS Backup の論理エアギャップボールトのマルチパーティ承認は、AWS Backup が利用可能なすべての AWS リージョンで利用できます。

– Veliswa

原文はこちらです。