Amazon Redshift gets new default settings to prevent data breaches
2025/02/03 BleepingComputer — Amazon が発表したのは、人気のデータ・ウェアハウス・ソリューション Redshift における、重要なセキュリティ強化に関する情報である。それにより、ミスコンフィグや安全が確保されないデフォルト設定による、データ漏洩が阻止されるという。Redshift は、データ・ウェアハウスのための BI や Big Data 分析において、エンタープライズで広く使用されるものであり、Google BigQuery/Snowflake/Azure Synapse Analytics などと競合関係にある。
Redshift は、ペタバイト規模のデータ処理において、パフォーマンス/スケーラビリティ/コスト効率などが高く評価されている。
ただし、不適切なコンフィグや不適切なデフォルト設定により、2022年10月の Medibank ランサムウェア・インシデントのような、大規模なデータ侵害に遭遇している。このインシデントでは、Redshift プラットフォームへのアクセスが関与したと報じられている。
Redshift のセキュリティ強化
先週に AWS が発表したのは、新しく作成されたプロビジョニングされたクラスターに、3つのセキュリティ・デフォルトを実装し、プラットフォームのデータ安全性を大幅に向上させるという展開である。それにより、壊滅的なデータ漏洩の可能性を最小限に抑えられるという。
- 1つ目の対策:新しいクラスターのパブリック・アクセスをデフォルトで制限し、ユーザーが所有する Virtual Private Cloud (VPC) 内での利用に限定し、外部からのダイレクトなアクセスを防止することである。
パブリック・アクセスは、必要に応じて明示的に有効化する必要がある。制限付きアクセスに関しては、セキュリティ・グループとネットワーク (ACL:access control list) が推奨される。 - 2つ目の対策:すべてのクラスターにおいて、デフォルトで暗号化を有効化し、不正アクセスが生じた際にも、データ漏洩を防ぐというものだ。ユーザーは、暗号化キーを指定する必要がある。指定しない場合には、AWS が所有する Key Management Service (KMS) のキーにより、クラスターは暗号化される。
データ共有において、暗号化されていないクラスターに依存しているユーザーは、Producer/Consumer クラスターが暗号化されていることを、確認する必要がある。これらのワークフローを調整しない場合には、変更がライブになったときに中断が発生する可能性がある。 - 3つ目の対策:新規および復元された、すべてのクラスターにおいて、セキュアな SSL (TLS) 接続をデフォルトで強制して、データの傍受や中間者攻撃を防止するものだ。
カスタム・パラメータ・グループを持つユーザーの場合は、セキュリティ強化のために、SSL を手動で有効化することが推奨される。
これらの変更は、新たに作成/プロビジョニングされたクラスターおよび、サーバレス・ワークグループ/復元されたクラスターを対象にするものであり、既存の設定に対して、直ちには影響が生じない点に留意してほしい。
AWS として推奨しているのは、必要に応じた設定の確認/更新により、新しいセキュリティのデフォルトへの対応による、運用の中断を回避である。
AWS の発表文には、「Amazon Redshift の、すべてのユーザーに推奨するのは、このサービスのカレントのコンフィグを確認し、アプリケーション全体に対する新しいセキュリティ対策を検討することである」と記されている。
同社は、「これらのセキュリティ強化は、パブリック・アクセス/非暗号化クラスター/非 SSL 接続ワークフローに対して影響を与える可能性がある。ガイダンスとサポートが必要なユーザーは、オンラインの Management Guide の参照もしくは、AWS Support への質問を検討してほしい」と付け加えている。
セキュリティは、クラウド・サービスの最重要課題の一つです。Amazon Redshift のセキュリティ強化は、ユーザーの手間を減らしながら安全性を確保する、良い対策と言えます。よろしければ、カテゴリ _Cloudも、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.