Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Security Hub-Steuerungen für ElastiCache
Diese AWS Security Hub Kontrollen bewerten den ElastiCache Service und die Ressourcen von Amazon.
Diese Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.
Bei [ElastiCache.1] ElastiCache (Redis-OSS) Clustern sollten automatische Backups aktiviert sein
Verwandte Anforderungen: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST
Kategorie: Wiederherstellung > Ausfallsicherheit > Backups aktiviert
Schweregrad: Hoch
Ressourcentyp:AWS::ElastiCache::CacheCluster
, AWS:ElastiCache:ReplicationGroup
AWS Config -Regel: elasticache-redis-cluster-automatic-backup-check
Art des Zeitplans: Periodisch
Parameter:
Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
---|---|---|---|---|
|
Minimale Aufbewahrungsdauer für Snapshots in Tagen |
Ganzzahl |
|
|
Diese Kontrolle bewertet, ob für einen Amazon ElastiCache (RedisOSS) -Cluster automatische Backups geplant sind. Die Steuerung schlägt fehl, wenn der SnapshotRetentionLimit
für den Redis-Cluster angegebene Zeitraum kürzer als der angegebene Zeitraum ist. Sofern Sie keinen benutzerdefinierten Parameterwert für die Aufbewahrungsdauer von Snapshots angeben, verwendet Security Hub einen Standardwert von 1 Tag.
Amazon ElastiCache (RedisOSS) -Cluster können ihre Daten sichern. Sie können die Sicherung zur Wiederherstellung eines Clusters oder als Ausgangspunkt für einen neuen Cluster verwenden. Eine Sicherung besteht aus den Metadaten des Clusters zusammen mit allen Daten im Cluster. Alle Sicherungen werden in Amazon Simple Storage Service (Amazon S3) geschrieben, der einen dauerhaften Speicher bereitstellt. Sie können Ihre Daten wiederherstellen, indem Sie einen neuen Redis-Cluster erstellen und ihn mit Daten aus einem Backup füllen. Sie können Backups mit den AWS Management Console, AWS Command Line Interface (AWS CLI) und dem verwalten. ElastiCache API
Abhilfe
Informationen zum Planen automatischer Backups auf einem ElastiCache (Redis-OSS) Cluster finden Sie unter Automatische Backups planen im ElastiCache Amazon-Benutzerhandbuch.
[ElastiCache.2] Bei ElastiCache (Redis-OSS) Clustern sollten auto Nebenversions-Upgrades aktiviert sein
Verwandte Anforderungen: NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), .800-53.r5 SI-2 (5) NIST NIST
Kategorie: Identifizieren > Schwachstellen-, Patch- und Versionsverwaltung
Schweregrad: Hoch
Art der Ressource: AWS::ElastiCache::CacheCluster
AWS Config -Regel: elasticache-auto-minor-version-upgrade-check
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement bewertet, ob ElastiCache (RedisOSS) automatisch kleinere Versions-Upgrades auf Cache-Cluster anwendet. Die Kontrolle schlägt fehl, wenn bei ElastiCache (Redis-OSS) Cache-Clustern keine Upgrades für Nebenversionen automatisch angewendet werden.
AutoMinorVersionUpgrade
ist eine Funktion, die Sie in ElastiCache (RedisOSS) aktivieren können, damit Ihre Cache-Cluster automatisch aktualisiert werden, wenn eine neue kleinere Cache-Engine-Version verfügbar ist. Diese Upgrades können Sicherheitspatches und Bugfixes beinhalten. Die up-to-date Beibehaltung der Patch-Installation ist ein wichtiger Schritt zur Sicherung der Systeme.
Abhilfe
Informationen zum Anwenden automatischer Upgrades kleinerer Versionen auf einen vorhandenen ElastiCache (Redis-OSS) Cache-Cluster finden Sie unter Upgraden von Engine-Versionen im ElastiCache Amazon-Benutzerhandbuch.
[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein
Verwandte Anforderungen: NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Kategorie: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit
Schweregrad: Mittel
Art der Ressource: AWS::ElastiCache::ReplicationGroup
AWS Config -Regel: elasticache-repl-grp-auto-failover-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob für eine ElastiCache (Redis-OSS) Replikationsgruppe das automatische Failover aktiviert ist. Die Steuerung schlägt fehl, wenn das automatische Failover für eine OSS Redis-Replikationsgruppe nicht aktiviert ist.
Wenn der automatische Failover für eine Replikationsgruppe aktiviert ist, erfolgt für die Rolle des Primärknotens automatisch ein Failover auf eine der Read Replicas. Dieses Failover und die Replikatheraufstufung stellen sicher, dass Sie nach Abschluss der Heraufstufung wieder auf den neuen Primärserver schreiben können, wodurch die Gesamtausfallzeit im Falle eines Fehlers reduziert wird.
Abhilfe
Informationen zum Aktivieren des automatischen Failovers für eine bestehende ElastiCache (Redis-OSS) Replikationsgruppe finden Sie unter Modifizieren eines ElastiCache Clusters im ElastiCache Amazon-Benutzerhandbuch. Wenn Sie die ElastiCache Konsole verwenden, setzen Sie Auto Failover auf aktiviert.
[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-at-rest
Schweregrad: Mittel
Art der Ressource: AWS::ElastiCache::ReplicationGroup
AWS Config -Regel: elasticache-repl-grp-encrypted-at-rest
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob eine ElastiCache (Redis-OSS) Replikationsgruppe im Ruhezustand verschlüsselt ist. Die Steuerung schlägt fehl, wenn eine ElastiCache (Redis-OSS) Replikationsgruppe im Ruhezustand nicht verschlüsselt ist.
Durch die Verschlüsselung von Daten im Ruhezustand wird das Risiko verringert, dass ein nicht authentifizierter Benutzer Zugriff auf Daten erhält, die auf der Festplatte gespeichert sind. ElastiCache (Redis-OSS) Replikationsgruppen sollten im Ruhezustand verschlüsselt werden, um eine zusätzliche Sicherheitsebene zu gewährleisten.
Abhilfe
Informationen zur Konfiguration der Verschlüsselung im Ruhezustand für eine ElastiCache (Redis-OSS) Replikationsgruppe finden Sie unter Enabling at rest encryption im ElastiCache Amazon-Benutzerhandbuch.
[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden
Verwandte Anforderungen: NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (2), NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit
Schweregrad: Mittel
Art der Ressource: AWS::ElastiCache::ReplicationGroup
AWS Config -Regel: elasticache-repl-grp-encrypted-in-transit
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob eine ElastiCache (Redis-OSS) Replikationsgruppe während der Übertragung verschlüsselt ist. Die Steuerung schlägt fehl, wenn eine ElastiCache (Redis-OSS) Replikationsgruppe bei der Übertragung nicht verschlüsselt wird.
Durch die Verschlüsselung von Daten während der Übertragung wird das Risiko verringert, dass ein nicht autorisierter Benutzer den Netzwerkverkehr abhören kann. Wenn Sie die Verschlüsselung bei der Übertragung in einer ElastiCache (Redis-OSS) Replikationsgruppe aktivieren, werden Ihre Daten immer dann verschlüsselt, wenn sie von einem Ort zum anderen übertragen werden, z. B. zwischen Knoten in Ihrem Cluster oder zwischen Ihrem Cluster und Ihrer Anwendung.
Abhilfe
Informationen zur Konfiguration der Verschlüsselung während der Übertragung für eine ElastiCache (Redis-OSS) Replikationsgruppe finden Sie unter Enabling In-Transit Encryption im ElastiCache Amazon-Benutzerhandbuch.
[ElastiCache.6] Für ElastiCache (RedisOSS) -Replikationsgruppen früherer Versionen sollte Redis aktiviert sein OSS AUTH
Verwandte Anforderungen: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6
Kategorie: Schutz > Sichere Zugriffsverwaltung
Schweregrad: Mittel
Art der Ressource: AWS::ElastiCache::ReplicationGroup
AWS Config -Regel: elasticache-repl-grp-redis-auth-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob Redis für eine ElastiCache (Redis-OSS) Replikationsgruppe aktiviert OSS AUTH ist. Die Steuerung schlägt fehl, wenn die OSS Redis-Version der Replikationsgruppenknoten unter 6.0 liegt und AuthToken
nicht verwendet wird.
Wenn Sie Redis-Authentifizierungstoken oder Passwörter verwenden, benötigt Redis ein Passwort, bevor Clients Befehle ausführen können, was die Datensicherheit verbessert. Für Redis 6.0 und spätere Versionen empfehlen wir die Verwendung von Role-Based Access Control (). RBAC Da RBAC es für Redis-Versionen vor 6.0 nicht unterstützt wird, wertet dieses Steuerelement nur Versionen aus, die die Funktion nicht verwenden können. RBAC
Abhilfe
Informationen zur Verwendung von Redis AUTH in einer ElastiCache (Redis-OSS) Replikationsgruppe finden Sie unter Ändern des AUTH Tokens auf einem vorhandenen ElastiCache (Redis-OSS) Cluster im ElastiCache Amazon-Benutzerhandbuch.
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
Verwandte Anforderungen: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Hoch
Art der Ressource: AWS::ElastiCache::CacheCluster
AWS Config -Regel: elasticache-subnet-group-check
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob ein ElastiCache (Redis-OSS) Cluster mit einer benutzerdefinierten Subnetzgruppe konfiguriert ist. Die Steuerung schlägt fehl, wenn CacheSubnetGroupName
für einen ElastiCache Cluster der Wert gilt. default
Beim Starten eines ElastiCache Clusters wird eine Standard-Subnetzgruppe erstellt, falls noch keine vorhanden ist. Die Standardgruppe verwendet Subnetze aus der standardmäßigen Virtual Private Cloud ()VPC. Wir empfehlen, benutzerdefinierte Subnetzgruppen zu verwenden, die die Subnetze, in denen sich der Cluster befindet, und die Netzwerke, die der Cluster von den Subnetzen erbt, restriktiver behandeln.
Abhilfe
Informationen zum Erstellen einer neuen Subnetzgruppe für einen ElastiCache Cluster finden Sie unter Erstellen einer Subnetzgruppe im ElastiCache Amazon-Benutzerhandbuch.