Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Controles CSPM de Security Hub para Amazon EMR
Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon EMR (anteriormente denominado Amazon Elastic MapReduce). Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).
## [EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas
**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21),, (11), (16), (20), (21), (3) NIST.800-53.r5 AC-3, (4) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (9) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoría:** Proteger - Configuración de red segura
**Gravedad:** alta
**Tipo de recurso:** `AWS::EMR::Cluster`
**AWS Config regla: emr-master-no-public** [-ip](https://docs.aws.amazon.com/config/latest/developerguide/emr-master-no-public-ip.html)
**Tipo de programa:** Periódico
**Parámetros:** ninguno
Este control comprueba si los nodos maestros de los clústeres de Amazon EMR tienen direcciones IP públicas. El control falla si hay direcciones IP públicas asociadas a alguna de las instancias del nodo maestro.
Las direcciones IP públicas se designan en el campo `PublicIp` de la configuración de `NetworkInterfaces` de la instancia. Este control solo comprueba los clústeres de Amazon EMR que se encuentran en un estado `RUNNING` o`WAITING`.
### Corrección
Durante el lanzamiento, puedes controlar si a la instancia de una subred predeterminada o no predeterminada se le asigna una dirección pública. IPv4 De forma predeterminada, las subredes predeterminadas tienen este atributo configurado como `true`. Las subredes no predeterminadas tienen el atributo de direccionamiento IPv4 público establecido en`false`, a menos que lo haya creado el asistente de EC2 lanzamiento de instancias de Amazon. En ese caso, el atributo se establece como `true`.
Tras el lanzamiento, no puedes desasociar manualmente una IPv4 dirección pública de tu instancia.
Para corregir un error en la búsqueda, debe lanzar un nuevo clúster en una VPC con una subred privada que tenga IPv4 el atributo de direccionamiento público establecido en. `false` Para obtener instrucciones, consulte [Lanzamiento de clústeres en una VPC](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-vpc-launching-job-flows.html) en la *Guía de administración de Amazon EMR*.
## [EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada
**Requisitos relacionados:** PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3,, (21), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6, (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoría:** Proteger > Gestión del acceso seguro > Recurso no accesible públicamente
**Gravedad:** crítica
**Tipo de recurso:** `AWS::::Account`
**Regla de AWS Config : ** [emr-block-public-access](https://docs.aws.amazon.com/config/latest/developerguide/emr-block-public-access.html)
**Tipo de programa:** Periódico
**Parámetros:** ninguno
Este control comprueba si su cuenta está configurada con el bloqueo de acceso público de Amazon EMR. Se produce un error en el control si la configuración de bloqueo de acceso público no está habilitada o si se permite cualquier puerto que no sea el 22.
El bloqueo de acceso público de Amazon EMR evita que lance un clúster en una subred pública si el clúster tiene una configuración de seguridad que permite el tráfico entrante desde direcciones IP públicas en un puerto. Cuando un usuario de su Cuenta de AWS lanza un clúster, Amazon EMR comprueba las reglas de puerto del grupo de seguridad del clúster y las compara con las reglas de tráfico entrante. Si el grupo de seguridad tiene una regla de entrada que abre los puertos a las direcciones IP públicas IPv4 0.0.0.0/0 o IPv6 : :/0, y esos puertos no se especifican como excepciones para su cuenta, Amazon EMR no permite que el usuario cree el clúster.
**nota**
Bloquear el acceso público está habilitado de forma predeterminada. Si desea aumentar la protección de la cuenta, le recomendamos que lo mantenga habilitado.
### Corrección
Para configurar el bloqueo de acceso público para Amazon EMR, consulte [Uso de Bloquear el acceso público de Amazon EMR](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-block-public-access.html) en la *Guía de administración de Amazon EMR*.
## [EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo
**Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.R5** CP-9 (8), NIST.800-53.r5 SI-12
**Categoría**: Proteger > Protección de datos > Cifrado de data-at-rest
**Gravedad:** media
**Tipo de recurso:** `AWS::EMR::SecurityConfiguration`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control verifica si una configuración de seguridad de Amazon EMR tiene habilitado el cifrado en reposo. El control falla si la configuración de seguridad no habilita el cifrado en reposo.
Los datos en reposo hacen referencia a los datos que se almacenan en un almacenamiento persistente y no volátil durante cualquier periodo de tiempo. El cifrado de datos en reposo permite proteger la confidencialidad de los datos, lo que reduce el riesgo de que un usuario no autorizado pueda acceder a ellos.
### Corrección
Para habilitar el cifrado en reposo en una configuración de seguridad de Amazon EMR, consulte [Configuración del cifrado de datos](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html) en la *Guía de administración de Amazon EMR*.
## [EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito
**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3)
**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit
**Gravedad:** media
**Tipo de recurso:** `AWS::EMR::SecurityConfiguration`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control verifica si una configuración de seguridad de Amazon EMR tiene habilitado el cifrado en tránsito. El control falla si la configuración de seguridad no habilita el cifrado en tránsito.
Los datos en tránsito hacen referencia a los datos que se mueven de una ubicación a otra, por ejemplo, entre los nodos del clúster o entre el clúster y la aplicación. Los datos pueden moverse a través de Internet o dentro de una red privada. El cifrado de los datos en tránsito reduce el riesgo de que un usuario no autorizado pueda espiar el tráfico de la red.
### Corrección
Para habilitar el cifrado en tránsito en una configuración de seguridad de Amazon EMR, consulte [Configuración del cifrado de datos](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html) en la *Guía de administración de Amazon EMR*.