Security Hub für Elasticsearch - AWS Security Hub
[ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein[ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein[ES.5] Für Elasticsearch-Domains sollte die Audit-Protokollierung aktiviert sein[ES.6] Elasticsearch-Domains sollten mindestens drei Datenknoten haben[ES.7] Elasticsearch-Domänen sollten mit mindestens drei dedizierten Master-Knoten konfiguriert werden[ES.8] Verbindungen zu Elasticsearch-Domains sollten mit der neuesten TLS Sicherheitsrichtlinie verschlüsselt werden[ES.9] Elasticsearch-Domains sollten markiert werden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Security Hub für Elasticsearch

Diese AWS Security Hub Kontrollen bewerten den Elasticsearch-Service und die Ressourcen.

Diese Steuerelemente sind möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.

[ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

Verwandte Anforderungen: PCI DSS v3.2.1/3.4, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 .800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6) NIST

Kategorie: Schützen > Datenschutz > Verschlüsselung von data-at-rest

Schweregrad: Mittel

Art der Ressource: AWS::Elasticsearch::Domain

AWS Config -Regel: elasticsearch-encrypted-at-rest

Art des Zeitplans: Periodisch

Parameter: Keine

Dieses Steuerelement prüft, ob für Elasticsearch-Domains die Konfiguration „Verschlüsselung im Ruhezustand“ aktiviert ist. Die Prüfung schlägt fehl, wenn die Verschlüsselung im Ruhezustand nicht aktiviert ist.

Für eine zusätzliche Sicherheitsebene für Ihre sensiblen Daten sollten Sie Ihre Daten so konfigurieren OpenSearch, OpenSearch dass sie im Ruhezustand verschlüsselt werden. Elasticsearch-Domains bieten die Verschlüsselung von Daten im Ruhezustand. Die Funktion dient AWS KMS zum Speichern und Verwalten Ihrer Verschlüsselungsschlüssel. Für die Verschlüsselung wird der Advanced Encryption Standard-Algorithmus mit 256-Bit-Schlüsseln (AES-256) verwendet.

Weitere Informationen zur OpenSearch Verschlüsselung im Ruhezustand finden Sie unter Verschlüsselung ruhender Daten für Amazon OpenSearch Service im Amazon OpenSearch Service Developer Guide.

Bestimmte Instance-Typen, wie z. B. t.small undt.medium, unterstützen die Verschlüsselung von Daten im Ruhezustand nicht. Einzelheiten finden Sie unter Unterstützte Instance-Typen im Amazon OpenSearch Service Developer Guide.

Abhilfe

Informationen zur Aktivierung der Verschlüsselung im Ruhezustand für neue und bestehende Elasticsearch-Domains finden Sie unter Enabling encryption of data at rest im Amazon OpenSearch Service Developer Guide.

[ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein

Verwandte Anforderungen: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21),, (21),, (11), (16) NIST.800-53.r5 AC-3, (20), (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Kategorie: Schützen > Sichere Netzwerkkonfiguration > Ressourcen innerhalb VPC

Schweregrad: Kritisch

Art der Ressource: AWS::Elasticsearch::Domain

AWS Config -Regel: elasticsearch-in-vpc-only

Art des Zeitplans: Periodisch

Parameter: Keine

Dieses Steuerelement prüft, ob sich Elasticsearch-Domänen in einer VPC befinden. Es bewertet nicht die Konfiguration des VPC Subnetz-Routings, um den öffentlichen Zugriff zu bestimmen. Sie sollten sicherstellen, dass Elasticsearch-Domänen nicht an öffentliche Subnetze angehängt sind. Informationen zu ressourcenbasierten Richtlinien finden Sie im Amazon OpenSearch Service Developer Guide. Sie sollten auch sicherstellen, dass Ihr System gemäß den empfohlenen Best Practices konfiguriert VPC ist. Bewährte Sicherheitsmethoden für Sie finden Sie VPC im VPCAmazon-Benutzerhandbuch.

Elasticsearch-Domains, die innerhalb von bereitgestellt werden, VPC können über das private AWS Netzwerk mit VPC Ressourcen kommunizieren, ohne das öffentliche Internet durchqueren zu müssen. Diese Konfiguration erhöht das Sicherheitsniveau, indem der Zugriff auf die Daten während der Übertragung eingeschränkt wird. VPCsbieten eine Reihe von Netzwerkkontrollen, um den Zugriff auf Elasticsearch-Domänen, einschließlich Netzwerk ACL - und Sicherheitsgruppen, zu sichern. Security Hub empfiehlt, öffentliche Elasticsearch-Domains zu migrieren, VPCs um diese Kontrollen nutzen zu können.

Abhilfe

Wenn Sie eine Domain mit einem öffentlichen Endpunkt erstellen, können Sie sie später nicht innerhalb eines VPC platzieren. Sie müssen stattdessen eine neue Domäne erstellen und die Daten übernehmen. Umgekehrt gilt dies auch. Wenn Sie eine Domain innerhalb von erstellenVPC, kann sie keinen öffentlichen Endpunkt haben. Stattdessen müssen Sie entweder eine andere Domäne erstellen oder dieses Steuerelement deaktivieren.

Weitere Informationen finden Sie im Amazon OpenSearch Service Developer Guide unter Starten Ihrer Amazon OpenSearch Service-Domains. VPC

[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

Verwandte Anforderungen: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-7 (4),, NIST.800-53.r5 SC-8 (1) NIST.800-53.r5 SC-8, (2) NIST.800-53.r5 SC-8

Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit

Schweregrad: Mittel

Art der Ressource: AWS::Elasticsearch::Domain

AWS Config -Regel: elasticsearch-node-to-node-encryption-check

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob für eine Elasticsearch-Domain die node-to-node Verschlüsselung aktiviert ist. Die Steuerung schlägt fehl, wenn für die Elasticsearch-Domain keine node-to-node Verschlüsselung aktiviert ist. Die Kontrolle führt auch zu fehlgeschlagenen Ergebnissen, wenn eine Elasticsearch-Version keine node-to-node Verschlüsselungsprüfungen unterstützt.

HTTPS(TLS) kann verwendet werden, um zu verhindern, dass potenzielle Angreifer den Netzwerkverkehr mit oder ähnlichen Angriffen abhören oder manipulieren. person-in-the-middle Nur verschlüsselte Verbindungen über HTTPS (TLS) sollten zugelassen werden. Durch die Aktivierung der node-to-node Verschlüsselung für Elasticsearch-Domänen wird sichergestellt, dass die Kommunikation innerhalb des Clusters während der Übertragung verschlüsselt wird.

Mit dieser Konfiguration kann es zu Leistungseinbußen kommen. Sie sollten sich der Leistungseinbußen bewusst sein und diese testen, bevor Sie diese Option aktivieren.

Abhilfe

Informationen zur Aktivierung der node-to-node Verschlüsselung für neue und bestehende Domains finden Sie unter node-to-nodeEnabling encryption im Amazon OpenSearch Service Developer Guide.

[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein

Verwandte Anforderungen: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST

Kategorie: Identifizieren - Protokollierung

Schweregrad: Mittel

Art der Ressource: AWS::Elasticsearch::Domain

AWS Config -Regel: elasticsearch-logs-to-cloudwatch

Art des Zeitplans: Änderung wurde ausgelöst

Parameter:

  • logtype = 'error'(nicht anpassbar)

Dieses Steuerelement prüft, ob Elasticsearch-Domains so konfiguriert sind, dass sie CloudWatch Fehlerprotokolle an Logs senden.

Sie sollten Fehlerprotokolle für Elasticsearch-Domains aktivieren und diese CloudWatch Protokolle zur Aufbewahrung und Beantwortung an Logs senden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.

Abhilfe

Informationen zur Aktivierung der Protokollveröffentlichung finden Sie unter Aktivieren der Protokollveröffentlichung (Konsole) im Amazon OpenSearch Service Developer Guide.

[ES.5] Für Elasticsearch-Domains sollte die Audit-Protokollierung aktiviert sein

Verwandte Anforderungen: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST

Kategorie: Identifizieren > Protokollierung

Schweregrad: Mittel

Art der Ressource: AWS::Elasticsearch::Domain

AWS Config Regel: elasticsearch-audit-logging-enabled (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

  • cloudWatchLogsLogGroupArnList(nicht anpassbar). Security Hub füllt diesen Parameter nicht aus. Durch Kommas getrennte Liste von CloudWatch Logs-Log-Gruppen, die für Audit-Logs konfiguriert werden sollten.

    Diese Regel gilt, NON_COMPLIANT wenn die CloudWatch Logs-Log-Gruppe der Elasticsearch-Domain in dieser Parameterliste nicht angegeben ist.

Dieses Steuerelement prüft, ob für Elasticsearch-Domains die Audit-Protokollierung aktiviert ist. Diese Kontrolle schlägt fehl, wenn für eine Elasticsearch-Domain die Audit-Protokollierung nicht aktiviert ist.

Audit-Logs sind hochgradig anpassbar. Sie ermöglichen es Ihnen, Benutzeraktivitäten auf Ihren Elasticsearch-Clustern nachzuverfolgen, einschließlich erfolgreicher und fehlgeschlagener Authentifizierungen OpenSearch, Anfragen an, Indexänderungen und eingehende Suchanfragen.

Abhilfe

Ausführliche Anweisungen zur Aktivierung von Audit-Logs finden Sie unter Aktivieren von Audit-Logs im Amazon OpenSearch Service Developer Guide.

[ES.6] Elasticsearch-Domains sollten mindestens drei Datenknoten haben

Verwandte Anforderungen: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Kategorie: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit

Schweregrad: Mittel

Art der Ressource: AWS::Elasticsearch::Domain

AWS Config Regel: elasticsearch-data-node-fault-tolerance (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob Elasticsearch-Domänen mit mindestens drei Datenknoten konfiguriert sind und zoneAwarenessEnabled isttrue.

Eine Elasticsearch-Domain benötigt aus Gründen der Hochverfügbarkeit und Fehlertoleranz mindestens drei Datenknoten. Die Bereitstellung einer Elasticsearch-Domain mit mindestens drei Datenknoten gewährleistet den Clusterbetrieb, falls ein Knoten ausfällt.

Abhilfe

Um die Anzahl der Datenknoten in einer Elasticsearch-Domain zu ändern

  1. Öffnen Sie die Amazon OpenSearch Service-Konsole unter https://console.aws.amazon.com/aos/.

  2. Wählen Sie unter Domains den Namen der Domain aus, die Sie bearbeiten möchten.

  3. Wählen Sie Edit domain (Domäne bearbeiten).

  4. Stellen Sie unter Datenknoten die Anzahl der Knoten auf eine Zahl ein, die größer oder gleich ist3.

    Legen Sie für Bereitstellungen mit drei Availability Zones den Wert auf ein Vielfaches von drei fest, um eine gleichmäßige Verteilung auf die Availability Zones sicherzustellen.

  5. Wählen Sie Absenden aus.

[ES.7] Elasticsearch-Domänen sollten mit mindestens drei dedizierten Master-Knoten konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Kategorie: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit

Schweregrad: Mittel

Art der Ressource: AWS::Elasticsearch::Domain

AWS Config Regel: elasticsearch-primary-node-fault-tolerance (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob Elasticsearch-Domänen mit mindestens drei dedizierten Primärknoten konfiguriert sind. Diese Kontrolle schlägt fehl, wenn die Domain keine dedizierten Primärknoten verwendet. Diese Kontrolle gilt als bestanden, wenn Elasticsearch-Domänen über fünf dedizierte Primärknoten verfügen. Die Verwendung von mehr als drei Primärknoten ist jedoch möglicherweise unnötig, um das Verfügbarkeitsrisiko zu minimieren, und führt zu zusätzlichen Kosten.

Eine Elasticsearch-Domain benötigt aus Gründen der Hochverfügbarkeit und Fehlertoleranz mindestens drei dedizierte Primärknoten. Dedizierte Primärknotenressourcen können bei Bereitstellungen mit blauen/grünen Datenknoten belastet werden, da zusätzliche Knoten verwaltet werden müssen. Die Bereitstellung einer Elasticsearch-Domain mit mindestens drei dedizierten Primärknoten gewährleistet eine ausreichende Ressourcenkapazität des Primärknotens und den Clusterbetrieb, falls ein Knoten ausfällt.

Abhilfe

Um die Anzahl der dedizierten Primärknoten in einer OpenSearch Domain zu ändern

  1. Öffnen Sie die Amazon OpenSearch Service-Konsole unter https://console.aws.amazon.com/aos/.

  2. Wählen Sie unter Domains den Namen der Domain aus, die Sie bearbeiten möchten.

  3. Wählen Sie Edit domain (Domäne bearbeiten).

  4. Stellen Sie unter Dedizierte Masterknoten den Instanztyp auf den gewünschten Instanztyp ein.

  5. Stellen Sie die Anzahl der Master-Knoten auf drei oder mehr ein.

  6. Wählen Sie Absenden aus.

[ES.8] Verbindungen zu Elasticsearch-Domains sollten mit der neuesten TLS Sicherheitsrichtlinie verschlüsselt werden

Verwandte Anforderungen: NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)

Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit

Schweregrad: Mittel

Art der Ressource: AWS::Elasticsearch::Domain

AWS Config Regel: elasticsearch-https-required (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter: Keine

Dadurch wird geprüft, ob ein Elasticsearch-Domain-Endpunkt so konfiguriert ist, dass er die neueste TLS Sicherheitsrichtlinie verwendet. Die Steuerung schlägt fehl, wenn der Elasticsearch-Domänenendpunkt nicht für die Verwendung der neuesten unterstützten Richtlinie konfiguriert ist oder wenn er HTTPs nicht aktiviert ist. Die aktuell neueste unterstützte TLS Sicherheitsrichtlinie istPolicy-Min-TLS-1-2-PFS-2023-10.

HTTPS(TLS) kann verwendet werden, um zu verhindern, dass potenzielle Angreifer person-in-the-middle oder ähnliche Angriffe verwenden, um den Netzwerkverkehr zu belauschen oder zu manipulieren. Nur verschlüsselte Verbindungen über HTTPS (TLS) sollten zugelassen werden. Das Verschlüsseln von Daten während der Übertragung kann die Leistung beeinträchtigen. Sie sollten Ihre Anwendung mit dieser Funktion testen, um das Leistungsprofil und die Auswirkungen von TLS zu verstehen. TLS1.2 bietet mehrere Sicherheitsverbesserungen gegenüber früheren Versionen vonTLS.

Abhilfe

Um die TLS Verschlüsselung zu aktivieren, verwenden Sie UpdateDomainConfigAPIOperation zur Konfiguration der DomainEndpointOptionsObjekt. Dies legt die festTLSSecurityPolicy.

[ES.9] Elasticsearch-Domains sollten markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::Elasticsearch::Domain

AWS Config Regel: tagged-elasticsearch-domain (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter Beschreibung Typ Zulässige benutzerdefinierte Werte Security Hub Hub-Standardwert
requiredTagKeys Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. StringList Liste der Tags, die die AWS Anforderungen erfüllen No default value

Dieses Steuerelement prüft, ob eine Elasticsearch-Domain Tags mit den spezifischen Schlüsseln enthält, die im Parameter requiredTagKeys definiert sind. Das Steuerelement schlägt fehl, wenn die Domain keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter requiredTagKeys angegebenen Schlüssel hat. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Domain mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributbasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.

Anmerkung

Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz

Abhilfe

Informationen zum Hinzufügen von Tags zu einer Elasticsearch-Domain finden Sie unter Arbeiten mit Tags im Amazon OpenSearch Service Developer Guide.