Controles de Security Hub para Amazon EMR - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controles de Security Hub para Amazon EMR

Estos AWS Security Hub los controles evalúan el servicio y los recursos de Amazon EMR (anteriormente denominado Amazon Elastic MapReduce).

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulteDisponibilidad de los controles por región.

[EMR.1] Los nodos principales EMR del clúster de Amazon no deben tener direcciones IP públicas

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),, (11), (16) NIST.800-53.r5 AC-3, (20), (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoría: Proteger - Configuración de red segura

Gravedad: alta

Tipo de recurso: AWS::EMR::Cluster

AWS Config regla: emr-master-no-public-ip

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si los nodos maestros de los EMR clústeres de Amazon tienen direcciones IP públicas. El control falla si hay direcciones IP públicas asociadas a alguna de las instancias del nodo maestro.

Las direcciones IP públicas se designan en el campo PublicIp de la configuración de NetworkInterfaces de la instancia. Este control solo comprueba los EMR clústeres de Amazon que se encuentran en un WAITING estado RUNNING o.

Corrección

Durante el lanzamiento, puedes controlar si a la instancia de una subred predeterminada o no predeterminada se le asigna una dirección públicaIPv4. De forma predeterminada, las subredes predeterminadas tienen este atributo configurado como true. Las subredes no predeterminadas tienen el atributo de direccionamiento IPv4 público establecido enfalse, a menos que lo haya creado el asistente de EC2 lanzamiento de instancias de Amazon. En ese caso, el atributo se establece como true.

Tras el lanzamiento, no puedes desasociar manualmente una IPv4 dirección pública de tu instancia.

Para corregir un error, debes lanzar un nuevo clúster en una VPC subred privada que tenga el atributo de direccionamiento IPv4 público establecido en. false Para obtener instrucciones, consulta Cómo lanzar clústeres en un VPC en la Amazon EMR Management Guide.

[EMR.2] La configuración de EMR bloqueo de acceso público de Amazon debe estar habilitada

Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

Categoría: Proteger > Gestión del acceso seguro > Recurso no accesible públicamente

Gravedad: crítica

Tipo de recurso: AWS::::Account

AWS Config regla: emr-block-public-access

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si tu cuenta está configurada con Amazon EMR block public access. Se produce un error en el control si la configuración de bloqueo de acceso público no está habilitada o si se permite cualquier puerto que no sea el 22.

El EMR bloqueo de acceso público de Amazon le impide lanzar un clúster en una subred pública si el clúster tiene una configuración de seguridad que permite el tráfico entrante desde direcciones IP públicas en un puerto. Cuando un usuario de tu Cuenta de AWS lanza un clúster, Amazon EMR comprueba las reglas de puerto del grupo de seguridad del clúster y las compara con las reglas de tráfico entrante. Si el grupo de seguridad tiene una regla de entrada que abre los puertos a las direcciones IP públicas IPv4 0.0.0.0/0 oIPv6:: /0, y esos puertos no se especifican como excepciones para tu cuenta, Amazon EMR no permite que el usuario cree el clúster.

nota

Bloquear el acceso público está habilitado de forma predeterminada. Si desea aumentar la protección de la cuenta, le recomendamos que lo mantenga habilitado.

Corrección

Para configurar el acceso público bloqueado para AmazonEMR, consulta Cómo EMRbloquear el acceso público de Amazon en la Guía EMR de administración de Amazon.