SEC 1: Welche Schritte ergreifen Sie, um den autorisierten Zugriff auf ElastiCache Daten zu kontrollieren?SEC 2: Benötigen Ihre Anwendungen zusätzliche Autorisierungen, die ElastiCache über netzwerkbasierte Kontrollen hinausgehen?SEC 3: Besteht das Risiko, dass Befehle versehentlich ausgeführt werden können und Datenverlust oder -ausfall verursachen?SEC 4: Wie gewährleisten Sie die Datenverschlüsselung im Ruhezustand mit ElastiCache SEC 5: Wie verschlüsselt man Daten bei der Übertragung mit? ElastiCache SEC 6: Wie schränken Sie den Zugriff auf Ressourcen der Steuerebene ein?SEC 7: Wie erkennen Sie Sicherheitsereignisse und wie reagieren Sie darauf?

Sicherheitssäule von Amazon ElastiCache Well-Architected Lens

Die Säule der Sicherheit konzentriert sich auf den Schutz von Informationen und Systemen. Zu den wichtigsten Themen gehören die Vertraulichkeit und Integrität von Daten, die Ermittlung und Verwaltung von Berechtigungen mithilfe der Berechtigungsverwaltung, der Schutz von Systemen und die Einrichtung von Kontrollen zur Erkennung von Sicherheitsereignissen.

Themen

SEC 1: Welche Schritte ergreifen Sie, um den autorisierten Zugriff auf ElastiCache Daten zu kontrollieren?
SEC 2: Benötigen Ihre Anwendungen zusätzliche Autorisierungen, die ElastiCache über netzwerkbasierte Kontrollen hinausgehen?
SEC 3: Besteht das Risiko, dass Befehle versehentlich ausgeführt werden können und Datenverlust oder -ausfall verursachen?
SEC 4: Wie gewährleisten Sie die Datenverschlüsselung im Ruhezustand mit ElastiCache
SEC 5: Wie verschlüsselt man Daten bei der Übertragung mit? ElastiCache
SEC 6: Wie schränken Sie den Zugriff auf Ressourcen der Steuerebene ein?
SEC 7: Wie erkennen Sie Sicherheitsereignisse und wie reagieren Sie darauf?

SEC 1: Welche Schritte ergreifen Sie, um den autorisierten Zugriff auf ElastiCache Daten zu kontrollieren?

Question-level Einführung: Alle ElastiCache Cluster sind für den Zugriff von Amazon Elastic Compute Cloud-Instances in einer VPC, serverlosen Funktionen (AWS Lambda) oder Containern (Amazon Elastic Container Service) konzipiert. Das am häufigsten anzutreffende Szenario ist der Zugriff auf einen ElastiCache Cluster von einer Amazon Elastic Compute Cloud-Instanz innerhalb derselben Amazon Virtual Private Cloud (Amazon Virtual Private Cloud). Bevor Sie von einer Amazon-EC2-Instance eine Verbindung mit einem Cluster herstellen können, müssen Sie der Amazon-EC2-Instance Zugriff auf den Cluster gewähren. Um auf einen ElastiCache Cluster zuzugreifen, der in einer VPC ausgeführt wird, muss dem Cluster Netzwerkzugang gewährt werden.

Question-level Vorteil: Der Netzwerkzugang in den Cluster wird über VPC-Sicherheitsgruppen gesteuert. Eine Sicherheitsgruppe dient als virtuelle Firewall für Ihre Amazon-EC2-Instances zur Steuerung von ein- und ausgehendem Datenverkehr. Eingehende Regeln steuern den eingehenden Datenverkehr zu Ihrer Instance und ausgehende Regeln steuern den ausgehenden Datenverkehr von Ihrer Instance. Im Fall von ElastiCache, wenn ein Cluster gestartet wird, muss eine Sicherheitsgruppe zugeordnet werden. Dadurch wird sichergestellt, dass Regeln für ein- und ausgehenden Datenverkehr für alle Knoten gelten, aus denen der Cluster besteht. Darüber hinaus ElastiCache ist es so konfiguriert, dass es ausschließlich in privaten Subnetzen bereitgestellt wird, sodass auf sie nur über das private Netzwerk der VPC zugegriffen werden kann.

[Erforderlich] Die Ihrem Cluster zugeordnete Sicherheitsgruppe steuert den Netzwerkeingang und den Zugriff auf den Cluster. Standardmäßig sind für eine Sicherheitsgruppe keine Regeln für eingehenden Datenverkehr definiert und daher auch kein Eingangspfad zu. ElastiCache Um dies zu aktivieren, konfigurieren Sie eine Regel für eingehende Nachrichten für die Sicherheitsgruppe address/range, den Datenverkehr vom Typ TCP und den Port für Ihren ElastiCache Cluster (Standardport 6379 beispielsweise ElastiCache für Valkey und Redis OSS). Es ist zwar möglich, eine sehr breite Palette von Eingangsquellen zuzulassen, z. B. alle Ressourcen innerhalb einer VPC (0.0.0. 0/0), wird empfohlen, die Regeln für eingehenden Datenverkehr so detailliert wie möglich zu definieren, z. B. nur den eingehenden Zugriff auf Valkey- oder Redis OSS-Clients zu autorisieren, die auf Amazon Amazon EC2 EC2-Instances laufen, die einer bestimmten Sicherheitsgruppe zugeordnet sind.

[Ressourcen]:
[Erforderlich]AWS Identity and Access Management Richtlinien können Funktionen zugewiesen werden, die ihnen den Zugriff auf Daten ermöglichen AWS Lambda . ElastiCache Um diese Funktion zu aktivieren, erstellen Sie eine IAM-Ausführungsrolle mit der entsprechenden AWSLambdaVPCAccessExecutionRole Berechtigung und weisen Sie die Rolle dann der AWS Lambda Funktion zu.

[Ressourcen]: Konfiguration einer Lambda-Funktion für den Zugriff auf Amazon ElastiCache in einer Amazon VPC: Tutorial: Konfiguration einer Lambda-Funktion für den Zugriff auf Amazon ElastiCache in einer Amazon VPC

SEC 2: Benötigen Ihre Anwendungen zusätzliche Autorisierungen, die ElastiCache über netzwerkbasierte Kontrollen hinausgehen?

Question-level Einführung: In Szenarien, in denen es notwendig ist, den Zugriff auf Cluster auf individueller Client-Ebene einzuschränken oder zu kontrollieren, wird empfohlen, sich über den AUTH-Befehl zu authentifizieren. ElastiCache Authentifizierungstoken mit optionaler Benutzer- und Benutzergruppenverwaltung ermöglichen es, ein Passwort ElastiCache anzufordern, bevor Clients Befehle ausführen und auf Schlüssel zugreifen können, wodurch die Sicherheit der Datenebene verbessert wird.

Question-level Vorteil: Damit Ihre Daten sicher bleiben, ElastiCache bietet es Mechanismen zum Schutz vor unbefugtem Zugriff auf Ihre Daten. Dazu gehört auch, dass Clients mit Role-Based Access Control (RBAC) AUTH oder AUTH-Token (Passwort) eine Verbindung herstellen müssen ElastiCache , bevor autorisierte Befehle ausgeführt werden.

[Am besten] Definieren Sie für ElastiCache Version 6.x und höher für Redis OSS und ElastiCache Version 7.2 und höher für Valkey Authentifizierungs- und Autorisierungskontrollen, indem Sie Benutzergruppen, Benutzer und Zugriffszeichenfolgen definieren. Weisen Sie Benutzer Benutzergruppen zu und weisen Sie Benutzergruppen dann Clustern zu. Damit RBAC verwendet wird, muss es bei der Clustererstellung ausgewählt und die Verschlüsselung während der Übertragung aktiviert sein. Stellen Sie sicher, dass Sie einen Valkey- oder Redis OSS-Client verwenden, der TLS unterstützt, um RBAC nutzen zu können.

[Ressourcen]:
[Optimal] Für ElastiCache Versionen vor 6.x für Redis OSS empfiehlt es sich, zusätzlich zur Festlegung starker token/password und strikter Kennwortrichtlinien für AUTH auch die Rotation der. password/token ElastiCache kann bis zu zwei (2) Authentifizierungstoken gleichzeitig verwalten. Sie können den Cluster auch so ändern, dass explizit die Verwendung von Authentifizierungstoken erforderlich ist.

[Ressourcen]: Ändern des AUTH-Tokens auf einem vorhandenen Cluster ElastiCache

SEC 3: Besteht das Risiko, dass Befehle versehentlich ausgeführt werden können und Datenverlust oder -ausfall verursachen?

Question-level Einführung: Es gibt eine Reihe von Valkey- oder Redis OSS-Befehlen, die sich nachteilig auf den Betrieb auswirken können, wenn sie versehentlich oder von böswilligen Akteuren ausgeführt werden. Diese Befehle können im Hinblick auf die Leistung und Datensicherheit unbeabsichtigte Folgen haben. Beispielsweise kann ein Entwickler in einer Entwicklungsumgebung routinemäßig den Befehl FLUSHALL aufrufen und aufgrund eines Fehlers versehentlich versuchen, diesen Befehl in einem Produktionssystem aufzurufen, was zu unbeabsichtigtem Datenverlust führt.

Question-level Vorteil: Ab ElastiCache Version 5.0.3 für Redis OSS haben Sie die Möglichkeit, bestimmte Befehle umzubenennen, die Ihre Arbeitslast stören könnten. Durch das Umbenennen der Befehle kann verhindert werden, dass diese versehentlich auf dem Cluster ausgeführt werden.

[Erforderlich]

[Ressourcen]:

SEC 4: Wie gewährleisten Sie die Datenverschlüsselung im Ruhezustand mit ElastiCache

Question-level Einführung: Obwohl es ElastiCache sich um einen In-Memory-Datenspeicher handelt, ist es im Rahmen der Standardoperationen des Clusters möglich, alle Daten zu verschlüsseln, die möglicherweise dauerhaft (im Speicher) gespeichert werden. Dazu gehören sowohl geplante als auch manuelle Backups, die in Amazon S3 geschrieben wurden, sowie Daten, die aufgrund von Synchronisierungs- und Swap-Vorgängen auf dem Festplattenspeicher gespeichert wurden. Instance-Typen der M6g- und R6g-Familien verfügen außerdem über eine ständig aktive In-Memory-Verschlüsselung.

Question-level Vorteil: ElastiCache bietet optionale Verschlüsselung im Ruhezustand, um die Datensicherheit zu erhöhen.

[Erforderlich] Die At-rest Verschlüsselung kann auf einem ElastiCache Cluster (Replikationsgruppe) nur aktiviert werden, wenn dieser erstellt wurde. Ein vorhandener Cluster kann nicht geändert werden, um mit der Verschlüsselung von Daten im Ruhezustand zu beginnen. Stellt standardmäßig die Schlüssel bereit und verwaltet ElastiCache sie, die bei der Verschlüsselung im Ruhezustand verwendet werden.

[Ressourcen]:
- At-Rest Einschränkungen bei der Verschlüsselung
- At-Rest Verschlüsselung aktivieren
[Am besten] Nutzen Sie Instance-Typen von Amazon EC2, die Daten verschlüsseln, während sie sich im Speicher befinden (wie M6g oder R6g). Wenn möglich, sollten Sie erwägen, eigene Schlüssel für die Verschlüsselung im Ruhezustand zu verwalten. In Umgebungen mit strengerer Datensicherheit kann AWS Key Management Service (KMS) zur Selbstverwaltung der Customer Master Keys (CMK) verwendet werden. Durch die ElastiCache Integration mit sind Sie in der Lage AWS Key Management Service, die Schlüssel zu erstellen, zu besitzen und zu verwalten, die für die Verschlüsselung ruhender Daten in Ihrem ElastiCache Cluster verwendet werden.

[Ressourcen]:

SEC 5: Wie verschlüsselt man Daten bei der Übertragung mit? ElastiCache

Question-level Einführung: Es ist eine gängige Anforderung, um zu verhindern, dass Daten während der Übertragung gefährdet werden. Dabei handelt es sich um Daten innerhalb von Komponenten eines verteilten Systems sowie zwischen Anwendungsclients und Clusterknoten. ElastiCache unterstützt diese Anforderung, indem es die Verschlüsselung von Daten ermöglicht, die zwischen Clients und Clustern sowie zwischen den Clusterknoten selbst übertragen werden. Instance-Typen der M6g- und R6g-Familien verfügen außerdem über eine ständig aktive In-Memory-Verschlüsselung.

Question-level Vorteil: Die ElastiCache Amazon-Verschlüsselung bei der Übertragung ist eine optionale Funktion, mit der Sie die Sicherheit Ihrer Daten an den anfälligsten Stellen erhöhen können, wenn sie von einem Ort zum anderen übertragen werden.

[Erforderlich] Die In-transit Verschlüsselung kann bei der Erstellung nur auf einem Cluster (Replikationsgruppe) aktiviert werden. Bitte beachten Sie, dass die Implementierung der Verschlüsselung während der Übertragung aufgrund der zusätzlichen Verarbeitung von encrypting/decrypting Daten einige Leistungseinbußen haben wird. Um die Auswirkungen zu verstehen, wird empfohlen, Ihren Workload vor und nach der Aktivierung der Verschlüsselung bei der Übertragung zu vergleichen.

[Ressourcen]:
- In-transit Überblick über die Verschlüsselung

SEC 6: Wie schränken Sie den Zugriff auf Ressourcen der Steuerebene ein?

Question-level Einführung: IAM-Richtlinien und ARN ermöglichen detaillierte Zugriffskontrollen ElastiCache für Valkey und Redis OSS und ermöglichen so eine strengere Kontrolle bei der Verwaltung der Erstellung, Änderung und Löschung von Clustern.

Question-level Vorteil: Die Verwaltung von ElastiCache Amazon-Ressourcen wie Replikationsgruppen, Knoten usw. kann auf AWS Konten beschränkt werden, die über spezifische Berechtigungen auf der Grundlage von IAM-Richtlinien verfügen, wodurch die Sicherheit und Zuverlässigkeit der Ressourcen verbessert wird.

[Erforderlich] Verwalten Sie den Zugriff auf ElastiCache Amazon-Ressourcen, indem Sie AWS Benutzern bestimmte AWS Identity and Access Management Richtlinien zuweisen, sodass Sie genauer kontrollieren können, welche Konten welche Aktionen auf Clustern ausführen können.

[Ressourcen]:
- Überblick über die Verwaltung der Zugriffsberechtigungen für Ihre Ressourcen ElastiCache
- Verwendung identitätsbasierter Richtlinien (IAM-Richtlinien) für Amazon ElastiCache

SEC 7: Wie erkennen Sie Sicherheitsereignisse und wie reagieren Sie darauf?

Question-level Einführung: Exportiert CloudWatch MetrikenElastiCache, um Benutzer über Sicherheitsereignisse zu informieren, wenn RBAC aktiviert ist. Diese Metriken helfen bei der Identifizierung von fehlgeschlagenen Authentifizierungsversuchen, Zugriffsschlüsseln oder der Ausführung von Befehlen, für die RBAC-Benutzer, die eine Verbindung herstellen, nicht autorisiert sind.

Darüber hinaus tragen AWS Produkte und Serviceressourcen dazu bei, Ihre gesamte Arbeitslast zu sichern, indem sie Bereitstellungen automatisieren und alle Aktionen und Änderungen für einen späteren Zeitpunkt protokollieren. review/audit

Question-level Vorteil: Durch die Überwachung von Ereignissen ermöglichen Sie es Ihrem Unternehmen, gemäß Ihren Anforderungen, Richtlinien und Verfahren zu reagieren. Durch die Automatisierung der Überwachung und Reaktion auf diese Sicherheitsereignisse wird Ihre allgemeine Sicherheitslage gestärkt.

[Erforderlich] Machen Sie sich mit den veröffentlichten CloudWatch Kennzahlen vertraut, die sich auf RBAC-Authentifizierungs- und Autorisierungsfehler beziehen.
- AuthenticationFailures = Fehlgeschlagene Versuche, sich bei Valkey oder Redis OSS zu authentifizieren
- KeyAuthorizationFailures = Fehlgeschlagene Versuche von Benutzern, ohne Erlaubnis auf Schlüssel zuzugreifen
- CommandAuthorizationFailures = Fehlgeschlagene Versuche von Benutzern, Befehle ohne Erlaubnis auszuführen
[Ressourcen]:
- Metriken für Valkey oder Redis OSS
[Am besten] Es wird empfohlen, Warnmeldungen und Benachrichtigungen für diese Metriken einzurichten und je nach Bedarf zu reagieren.

[Ressourcen]:
- CloudWatch Amazon-Alarme verwenden
[Am besten] Verwenden Sie den Befehl Valkey oder Redis OSS ACL LOG, um weitere Informationen zu sammeln

[Ressourcen]:
- ACL LOG
[Am besten] Machen Sie sich mit den Funktionen der AWS Produkte und Services im Zusammenhang mit der Überwachung, Protokollierung und Analyse von ElastiCache Bereitstellungen und Ereignissen vertraut

[Ressourcen]:

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Säule „Betriebliche Exzellenz“

Säule der Zuverlässigkeit