Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Security Hub para Amazon EMR
Estos AWS Security Hub los controles evalúan el servicio y los recursos de Amazon EMR (anteriormente denominado Amazon Elastic MapReduce).
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulteDisponibilidad de los controles por región.
[EMR.1] Los nodos principales EMR del clúster de Amazon no deben tener direcciones IP públicas
Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),, (11), (16) NIST.800-53.r5 AC-3, (20), (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Categoría: Proteger - Configuración de red segura
Gravedad: alta
Tipo de recurso: AWS::EMR::Cluster
AWS Config regla: emr-master-no-public-ip
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si los nodos maestros de los EMR clústeres de Amazon tienen direcciones IP públicas. El control falla si hay direcciones IP públicas asociadas a alguna de las instancias del nodo maestro.
Las direcciones IP públicas se designan en el campo PublicIp
de la configuración de NetworkInterfaces
de la instancia. Este control solo comprueba los EMR clústeres de Amazon que se encuentran en un WAITING
estado RUNNING
o.
Corrección
Durante el lanzamiento, puedes controlar si a la instancia de una subred predeterminada o no predeterminada se le asigna una dirección públicaIPv4. De forma predeterminada, las subredes predeterminadas tienen este atributo configurado como true
. Las subredes no predeterminadas tienen el atributo de direccionamiento IPv4 público establecido enfalse
, a menos que lo haya creado el asistente de EC2 lanzamiento de instancias de Amazon. En ese caso, el atributo se establece como true
.
Tras el lanzamiento, no puedes desasociar manualmente una IPv4 dirección pública de tu instancia.
Para corregir un error, debes lanzar un nuevo clúster en una VPC subred privada que tenga el atributo de direccionamiento IPv4 público establecido en. false
Para obtener instrucciones, consulta Cómo lanzar clústeres en un VPC en la Amazon EMR Management Guide.
[EMR.2] La configuración de EMR bloqueo de acceso público de Amazon debe estar habilitada
Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Categoría: Proteger > Gestión del acceso seguro > Recurso no accesible públicamente
Gravedad: crítica
Tipo de recurso: AWS::::Account
AWS Config regla: emr-block-public-access
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si tu cuenta está configurada con Amazon EMR block public access. Se produce un error en el control si la configuración de bloqueo de acceso público no está habilitada o si se permite cualquier puerto que no sea el 22.
El EMR bloqueo de acceso público de Amazon le impide lanzar un clúster en una subred pública si el clúster tiene una configuración de seguridad que permite el tráfico entrante desde direcciones IP públicas en un puerto. Cuando un usuario de tu Cuenta de AWS lanza un clúster, Amazon EMR comprueba las reglas de puerto del grupo de seguridad del clúster y las compara con las reglas de tráfico entrante. Si el grupo de seguridad tiene una regla de entrada que abre los puertos a las direcciones IP públicas IPv4 0.0.0.0/0 oIPv6:: /0, y esos puertos no se especifican como excepciones para tu cuenta, Amazon EMR no permite que el usuario cree el clúster.
nota
Bloquear el acceso público está habilitado de forma predeterminada. Si desea aumentar la protección de la cuenta, le recomendamos que lo mantenga habilitado.
Corrección
Para configurar el acceso público bloqueado para AmazonEMR, consulta Cómo EMRbloquear el acceso público de Amazon en la Guía EMR de administración de Amazon.