SEC1: ¿Qué medidas está tomando para controlar el acceso autorizado a los datos? ElastiCache SEC2: ¿Sus aplicaciones requieren una autorización adicional para ElastiCache superar los controles basados en la red? SEC3: ¿Existe el riesgo de que los comandos se ejecuten de forma inadvertida y se produzcan errores o pérdidas de datos? SEC4: ¿Cómo se garantiza el cifrado de datos en reposo con ElastiCache SEC5: ¿Cómo se cifran los datos en tránsito? ElastiCache SEC6: ¿Cómo se restringe el acceso a los recursos del plano de control? SEC7: ¿Cómo se detectan los eventos de seguridad y se responde a ellos?

El pilar de seguridad de Amazon ElastiCache Well-Architected Lens

El pilar de seguridad se centra en proteger la información y los sistemas. Los temas clave incluyen la confidencialidad e integridad de los datos, la identificación y administración de quién puede hacer qué con la administración de privilegios, la protección de los sistemas y el establecimiento de controles para detectar eventos de seguridad.

Temas

SEC1: ¿Qué medidas está tomando para controlar el acceso autorizado a los datos? ElastiCache
SEC2: ¿Sus aplicaciones requieren una autorización adicional para ElastiCache superar los controles basados en la red?
SEC3: ¿Existe el riesgo de que los comandos se ejecuten de forma inadvertida y se produzcan errores o pérdidas de datos?
SEC4: ¿Cómo se garantiza el cifrado de datos en reposo con ElastiCache
SEC5: ¿Cómo se cifran los datos en tránsito? ElastiCache
SEC6: ¿Cómo se restringe el acceso a los recursos del plano de control?
SEC7: ¿Cómo se detectan los eventos de seguridad y se responde a ellos?

SEC1: ¿Qué medidas está tomando para controlar el acceso autorizado a los datos? ElastiCache

Introducción a nivel de preguntas: todos los ElastiCache clústeres están diseñados para que se pueda acceder a ellos desde instancias de Amazon Elastic Compute Cloud en una VPC función sin servidor (AWS Lambda) o contenedores (Amazon Elastic Container Service). El escenario más frecuente es acceder a un ElastiCache clúster desde una instancia de Amazon Elastic Compute Cloud dentro de la misma Amazon Virtual Private Cloud (Amazon Virtual Private Cloud). Antes de poder conectarte a un clúster desde una EC2 instancia de Amazon, debes autorizar a la EC2 instancia de Amazon a acceder al clúster. Para acceder a un ElastiCache clúster que se ejecuta en unVPC, es necesario permitir la entrada de red al clúster.

Ventaja a nivel de pregunta: la entrada de la red al clúster se controla mediante grupos de seguridad. VPC Un grupo de seguridad actúa como un firewall virtual para tus EC2 instancias de Amazon a fin de controlar el tráfico entrante y saliente. Las reglas de entrada controlan el tráfico entrante a la instancia y las reglas de salida controlan el tráfico saliente desde la instancia. En el caso de ElastiCache lanzar un clúster, es necesario asociar un grupo de seguridad. Esto garantiza que haya reglas de tráfico entrante y saliente vigentes para todos los nodos que componen el clúster. Además, ElastiCache está configurado para desplegarse exclusivamente en subredes privadas, de modo que solo se puede acceder a ellas a través de la red privada VPC del mismo.

[Obligatorio] El grupo de seguridad asociado al clúster controla el acceso a la red y al clúster. De forma predeterminada, un grupo de seguridad no tendrá ninguna regla de entrada definida y, por lo tanto, no tendrá una ruta de entrada a ella. ElastiCache Para habilitarlo, configure una regla de entrada en el grupo de seguridad especificando la dirección o el rango IP de origen, TCP escriba el tráfico y el puerto del ElastiCache clúster (el puerto predeterminado 6379 para (Redis), por ejemplo ElastiCache ). OSS Si bien es posible permitir un conjunto muy amplio de fuentes de entrada, como todos los recursos de un VPC (0.0.0.0/0), se recomienda ser lo más detallado posible a la hora de definir las reglas de entrada, por ejemplo, autorizar solo el acceso entrante a los clientes de Valkey o Redis que se ejecuten OSS en instancias de Amazon Amazon asociadas a un grupo de seguridad específico. EC2

[Recursos]:
Se pueden asignar AWS Identity and Access Management políticas [obligatorias] a las funciones que les permiten acceder a los datos. AWS Lambda ElastiCache Para habilitar esta función, cree un rol de IAM ejecución con el AWSLambdaVPCAccessExecutionRole permiso y, a continuación, asigne el rol a la AWS Lambda función.

[Recursos]: Configuración de una función Lambda para acceder a Amazon desde un Amazon ElastiCache VPC: Tutorial: Configuración de una función Lambda para acceder a Amazon desde un Amazon ElastiCache VPC

SEC2: ¿Sus aplicaciones requieren una autorización adicional para ElastiCache superar los controles basados en la red?

Introducción a nivel de preguntas: en situaciones en las que sea necesario restringir o controlar el acceso a los clústeres ElastiCache (RedisOSS) a nivel de cliente individual, se recomienda autenticarse mediante el comando (Redis). ElastiCache OSS AUTH ElastiCache Los tokens de autenticación (RedisOSS), con la administración opcional de usuarios y grupos de usuarios, permiten a ElastiCache (RedisOSS) solicitar una contraseña antes de permitir a los clientes ejecutar comandos y acceder a las teclas, lo que mejora la seguridad del plano de datos.

Ventaja a nivel de pregunta: para ayudar a mantener sus datos seguros, ElastiCache (RedisOSS) proporciona mecanismos para protegerlos contra el acceso no autorizado a los datos. Esto incluye aplicar el control de acceso basado en roles (RBAC) AUTH o un AUTH token (contraseña) que deben utilizar los clientes para conectarse antes de ejecutar comandos autorizados. ElastiCache

[Lo mejor] Para ElastiCache (RedisOSS) 6.x y versiones posteriores, defina los controles de autenticación y autorización definiendo los grupos de usuarios, los usuarios y las cadenas de acceso. Asigne usuarios a grupos de usuarios y, a continuación, asigne grupos de usuarios a clústeres. Para utilizarlaRBAC, debe seleccionarse al crear el clúster y debe estar habilitada la encriptación en tránsito. Asegúrese de utilizar un OSS cliente de Valkey o Redis que sea compatible TLS para poder aprovecharlo. RBAC

[Recursos]:
[Lo mejor] En el caso de las versiones ElastiCache (de RedisOSS) anteriores a la 6.x, además de establecer un token o contraseña seguro y mantener una política de contraseñas estricta para ElastiCache (RedisOSS)AUTH, se recomienda rotar la contraseña o el token. ElastiCache puede administrar hasta dos (2) tokens de autenticación en un momento dado. También puede modificar el clúster para que requiera explícitamente el uso de tokens de autenticación.

[Recursos]: modificar el AUTH token en un clúster ElastiCache (RedisOSS) existente

SEC3: ¿Existe el riesgo de que los comandos se ejecuten de forma inadvertida y se produzcan errores o pérdidas de datos?

Introducción a nivel de preguntas: hay varios OSS comandos de Valkey o Redis que pueden tener un impacto adverso en las operaciones si se ejecutan por error o por parte de actores malintencionados. Estos comandos pueden tener consecuencias no deseadas desde el punto de vista del rendimiento y la seguridad de los datos. Por ejemplo, un desarrollador puede FLUSHALL ejecutar el comando de forma rutinaria en un entorno de desarrollo y, debido a un error, intentar llamarlo sin darse cuenta en un sistema de producción, lo que provoca una pérdida accidental de datos.

Ventaja a nivel de pregunta: a partir de ElastiCache (RedisOSS) 5.0.3, podrá cambiar el nombre de ciertos comandos que podrían afectar su carga de trabajo. El cambio del nombre de los comandos puede ayudar a evitar que se ejecuten inadvertidamente en el clúster.

[Obligatorio]

[Recursos]:

SEC4: ¿Cómo se garantiza el cifrado de datos en reposo con ElastiCache

Introducción a nivel de preguntas: Si bien ElastiCache (RedisOSS) es un almacén de datos en memoria, es posible cifrar cualquier dato que pueda persistir (almacenado) como parte de las operaciones estándar del clúster. Esto incluye las copias de seguridad programadas y manuales escritas en Amazon S3, así como los datos guardados en el almacenamiento en disco como resultado de las operaciones de sincronización e intercambio. Los tipos de instancias de las familias M6g y R6g también cuentan con un cifrado en memoria siempre activo.

Ventaja a nivel de pregunta: ElastiCache (RedisOSS) ofrece un cifrado en reposo opcional para aumentar la seguridad de los datos.

[Obligatorio] El cifrado en reposo solo se puede habilitar en un ElastiCache clúster (grupo de replicación) cuando se crea. No se puede modificar un clúster existente para empezar a cifrar los datos en reposo. De forma predeterminada, ElastiCache proporcionará y administrará las claves utilizadas en el cifrado en reposo.

[Recursos]:
- Restricciones de cifrado en reposo
- Activación del cifrado en reposo
[Lo mejor] Aproveche los tipos de EC2 instancias de Amazon que cifran los datos mientras están en la memoria (como M6g o R6g). Siempre que sea posible, considere la posibilidad de administrar sus propias claves para el cifrado en reposo. Para entornos de seguridad de datos más estrictos, AWS Key Management Service (KMS) se puede utilizar para gestionar automáticamente las claves maestras del cliente (). CMK Mediante ElastiCache la integración con AWS Key Management Service, puede crear, poseer y administrar las claves utilizadas para el cifrado de los datos en reposo de su clúster ElastiCache (RedisOSS).

[Recursos]:

SEC5: ¿Cómo se cifran los datos en tránsito? ElastiCache

Introducción a nivel de pregunta: Es un requisito habitual evitar que los datos corran peligro mientras están en tránsito. Esto representa los datos dentro de los componentes de un sistema distribuido, así como entre los clientes de aplicaciones y los nodos del clúster. ElastiCache (RedisOSS) cumple con este requisito al permitir cifrar los datos en tránsito entre los clientes y el clúster, y entre los propios nodos del clúster. Los tipos de instancias de las familias M6g y R6g también cuentan con un cifrado en memoria siempre activo.

Ventaja a nivel de pregunta: el cifrado ElastiCache en tránsito de Amazon es una función opcional que te permite aumentar la seguridad de tus datos en los puntos más vulnerables, cuando están en tránsito de un lugar a otro.

[Obligatorio] El cifrado en tránsito solo se puede habilitar en un clúster ElastiCache (RedisOSS) (grupo de replicación) tras su creación. Tenga en cuenta que, debido al procesamiento adicional necesario para cifrar o descifrar datos, la implementación del cifrado en tránsito afectará al rendimiento en cierta medida. Para comprender el impacto, se recomienda comparar la carga de trabajo antes y después de la activación. encryption-in-transit

[Recursos]:
- Información general sobre el cifrado en tránsito

SEC6: ¿Cómo se restringe el acceso a los recursos del plano de control?

Introducción a nivel de preguntas: IAM políticas y ARN habilitan controles de acceso detallados para ElastiCache (RedisOSS), lo que permite un control más estricto para gestionar la creación, modificación y eliminación de ElastiCache clústeres (Redis). OSS

Beneficio a nivel de pregunta: la administración de ElastiCache los recursos de Amazon, como grupos de replicación, nodos, etc., puede restringirse a AWS cuentas que tengan permisos específicos basados en IAM políticas, lo que mejora la seguridad y la confiabilidad de los recursos.

[Obligatorio] Gestiona el acceso a ElastiCache los recursos de Amazon asignando AWS Identity and Access Management políticas específicas a AWS los usuarios, lo que permite controlar mejor qué cuentas pueden realizar determinadas acciones en los clústeres.

[Recursos]:
- Descripción general de la gestión de los permisos de acceso a sus recursos ElastiCache
- Uso de políticas basadas en la identidad (IAMpolíticas) para Amazon ElastiCache

SEC7: ¿Cómo se detectan los eventos de seguridad y se responde a ellos?

Introducción a nivel de preguntas: ElastiCache cuando se implementa con la RBAC opción habilitada, exporta CloudWatch métricas para notificar a los usuarios sobre los eventos de seguridad. Estas métricas ayudan a identificar los intentos fallidos de autenticarse, acceder a las claves o ejecutar comandos para los que RBAC los usuarios conectados no están autorizados.

Además, AWS los recursos de productos y servicios ayudan a proteger la carga de trabajo general al automatizar las implementaciones y registrar todas las acciones y modificaciones para su posterior revisión o auditoría.

Ventaja a nivel de pregunta: Con la supervisión de los eventos, usted permite a su organización responder de acuerdo con sus requisitos, políticas y procedimientos. La automatización de la supervisión y las respuestas a estos eventos de seguridad refuerza su postura de seguridad general.

[Obligatorio] Familiarícese con las CloudWatch métricas publicadas relacionadas con los errores de autenticación y autorización. RBAC
- AuthenticationFailures = Intentos fallidos de autenticarse en Valkey o Redis OSS
- KeyAuthorizationFailures = Intentos fallidos de los usuarios de acceder a las claves sin permiso
- CommandAuthorizationFailures = Intentos fallidos de los usuarios de ejecutar comandos sin permiso
[Recursos]:
- Métricas de Valkey o Redis OSS
[Lo mejor] Se recomienda configurar alertas y notificaciones para estas métricas y responder según sea necesario.

[Recursos]:
- Uso de CloudWatch alarmas de Amazon
[Mejor] Usa el OSS ACL LOG comando Valkey o Redis para recopilar más detalles

[Recursos]:
- ACL LOG
[Lo mejor] Familiarícese con las capacidades de AWS los productos y servicios en lo que respecta a la supervisión, el registro y el análisis de las implementaciones y los eventos ElastiCache

[Recursos]:

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Operational Excellence Pillar

Pilar de fiabilidad