Security Hub para Elasticsearch - AWS Security Hub
[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo[ES.2] Los dominios de Elasticsearch no deben ser de acceso público[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros[ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría[ES.6] Los dominios de Elasticsearch deben tener al menos tres nodos de datos[ES.7] Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados[ES.8] Las conexiones a los dominios de Elasticsearch deben cifrarse con la política de seguridad más reciente TLS[ES.9] Los dominios de Elasticsearch deben estar etiquetados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Security Hub para Elasticsearch

Estos AWS Security Hub controles evalúan el servicio y los recursos de Elasticsearch.

Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte Disponibilidad de los controles por región.

[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo

Requisitos relacionados: PCI DSS v3.2.1/3.4, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-2 (10), NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6)

Categoría: Proteger > Protección de datos > Cifrado de data-at-rest

Gravedad: media

Tipo de recurso: AWS::Elasticsearch::Domain

Regla de AWS Config : elasticsearch-encrypted-at-rest

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si los dominios de Elasticsearch tienen habilitada la configuración de cifrado en reposo. La comprobación falla si el cifrado en reposo no está habilitado.

Para aumentar la seguridad de sus datos confidenciales OpenSearch, debe configurarlos OpenSearch para que estén cifrados en reposo. Los dominios Elasticsearch ofrecen cifrado de datos en reposo. La función se utiliza AWS KMS para almacenar y administrar sus claves de cifrado. Para realizar el cifrado, utiliza el algoritmo estándar de cifrado avanzado con claves de 256 bits (AES-256).

Para obtener más información sobre el OpenSearch cifrado en reposo, consulta Cifrado de datos en reposo para Amazon OpenSearch Service en la Guía para desarrolladores de Amazon OpenSearch Service.

Algunos tipos de instancias, como t.small y t.medium, no admiten el cifrado de datos en reposo. Para obtener más información, consulta los tipos de instancias compatibles en la Guía para desarrolladores de Amazon OpenSearch Service.

Corrección

Para habilitar el cifrado en reposo para dominios de Elasticsearch nuevos y existentes, consulta Cómo habilitar el cifrado de datos en reposo en la Guía para desarrolladores de Amazon OpenSearch Service.

[ES.2] Los dominios de Elasticsearch no deben ser de acceso público

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

Categoría: Proteger > Configuración de red segura > Recursos incluidos VPC

Gravedad: crítica

Tipo de recurso: AWS::Elasticsearch::Domain

Regla de AWS Config : elasticsearch-in-vpc-only

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si los dominios de Elasticsearch están en un. VPC No evalúa la configuración de enrutamiento de VPC subred para determinar el acceso público. Debe asegurarse de que los dominios de Elasticsearch no están asociados a subredes públicas. Consulta las políticas basadas en recursos en la Guía para desarrolladores de Amazon OpenSearch Service. También debe asegurarse de que VPC está configurado de acuerdo con las mejores prácticas recomendadas. Consulta las prácticas recomendadas de seguridad para ti VPC en la Guía del VPC usuario de Amazon.

Los dominios de Elasticsearch implementados dentro de una VPC pueden comunicarse con VPC los recursos a través de la AWS red privada, sin necesidad de atravesar la Internet pública. Esta configuración aumenta la seguridad al limitar el acceso a los datos en tránsito. VPCsproporcionan una serie de controles de red para proteger el acceso a los dominios de Elasticsearch, incluidos los grupos de red ACL y seguridad. Security Hub recomienda migrar los dominios públicos de Elasticsearch VPCs para aprovechar estos controles.

Corrección

Si crea un dominio con un punto final público, no podrá colocarlo más adelante dentro de un. VPC En lugar de ello, se debe crear un dominio nuevo y migrar los datos. y viceversa. Si crea un dominio dentro de unVPC, no puede tener un punto final público. En su lugar, debe crear otro dominio o deshabilitar este control.

Consulta Cómo lanzar tus dominios OpenSearch de Amazon Service VPC en la Guía para desarrolladores OpenSearch de Amazon Service.

[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos

Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1

Categoría: Proteger > Protección de datos > Cifrado de data-in-transit

Gravedad: media

Tipo de recurso: AWS::Elasticsearch::Domain

Regla de AWS Config : elasticsearch-node-to-node-encryption-check

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un dominio de Elasticsearch tiene el node-to-node cifrado activado. El control falla si el dominio de Elasticsearch no tiene el cifrado activado. node-to-node El control también produce resultados erróneos si una versión de Elasticsearch no admite las comprobaciones de cifrado. node-to-node

HTTPS(TLS) se puede utilizar para evitar que posibles atacantes escuchen o manipulen el tráfico de la red mediante ataques u otros similares. person-in-the-middle Solo se deben permitir las conexiones cifradas a través de HTTPS (TLS). Al habilitar el node-to-node cifrado para los dominios de Elasticsearch, se garantiza que las comunicaciones dentro del clúster estén cifradas en tránsito.

Puede haber una penalización en el rendimiento asociada a esta configuración. Debe conocer y probar la compensación de rendimiento antes de activar esta opción.

Corrección

Para obtener información sobre cómo habilitar el node-to-node cifrado en dominios nuevos y existentes, consulta Habilitar el node-to-node cifrado en la Guía para desarrolladores de Amazon OpenSearch Service.

[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros

Requisitos relacionados: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::Elasticsearch::Domain

Regla de AWS Config : elasticsearch-logs-to-cloudwatch

Tipo de horario: provocado por un cambio

Parámetros:

  • logtype = 'error' (no personalizable)

Este control comprueba si los dominios CloudWatch de Elasticsearch están configurados para enviar registros de errores a Logs.

Debes habilitar los registros de errores para los dominios de Elasticsearch y enviar esos CloudWatch registros a Logs para su retención y respuesta. Los registros de errores de los dominios pueden ayudar con las auditorías de seguridad y acceso, y pueden ayudar a diagnosticar problemas de disponibilidad.

Corrección

Para obtener información sobre cómo habilitar la publicación de registros, consulte Habilitar la publicación de registros (consola) en la Guía para desarrolladores de Amazon OpenSearch Service.

[ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría

Requisitos relacionados: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8), v4.0.1/10.4.2 NIST PCI DSS

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::Elasticsearch::Domain

Regla de AWS Config : elasticsearch-audit-logging-enabled (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

  • cloudWatchLogsLogGroupArnList (no personalizable). Security Hub no rellena este parámetro. Lista CloudWatch de grupos de registros separados por comas que se deben configurar para los registros de auditoría.

    Esta regla se aplica NON_COMPLIANT si el grupo de CloudWatch registros de registros del dominio de Elasticsearch no está especificado en esta lista de parámetros.

Este control comprueba si los dominios de Elasticsearch tienen habilitado el registro de auditoría. Este control falla si un dominio de Elasticsearch no tiene habilitado el registro de auditoría.

Los registros de auditoría son altamente personalizables. Te permiten realizar un seguimiento de la actividad de los usuarios en tus clústeres de Elasticsearch, incluidos los éxitos y los errores de autenticación, las solicitudes, los cambios de indexación y las consultas de búsqueda entrantes. OpenSearch

Corrección

Para obtener instrucciones detalladas sobre cómo habilitar los registros de auditoría, consulta Habilitar los registros de auditoría en la Guía para desarrolladores de Amazon OpenSearch Service.

[ES.6] Los dominios de Elasticsearch deben tener al menos tres nodos de datos

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad: media

Tipo de recurso: AWS::Elasticsearch::Domain

Regla de AWS Config : elasticsearch-data-node-fault-tolerance (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si los dominios de Elasticsearch están configurados con al menos tres nodos de datos y zoneAwarenessEnabled es true.

Un dominio de Elasticsearch requiere al menos tres nodos de datos para una alta disponibilidad y tolerancia a errores. La implementación de un dominio de Elasticsearch con al menos tres nodos de datos garantiza las operaciones del clúster en caso de que un nodo falle.

Corrección

Cómo modificar la cantidad de nodos de datos en un dominio de Elasticsearch

  1. Abre la consola OpenSearch de Amazon Service en https://console.aws.amazon.com/aos/.

  2. En Dominios, elija el nombre del dominio que desea editar.

  3. Elija Edit domain (Editar dominio).

  4. En Nodos de datos, estableza Número de nodos en un número mayor o igual a 3.

    Para tres implementaciones de zonas de disponibilidad, establézcalo en un múltiplo de tres para garantizar una distribución equitativa entre las zonas de disponibilidad.

  5. Seleccione Submit (Enviar).

[ES.7] Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad: media

Tipo de recurso: AWS::Elasticsearch::Domain

Regla de AWS Config: elasticsearch-primary-node-fault-tolerance (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si los dominios de Elasticsearch están configurados con al menos tres nodos principales dedicados. Este control falla si el dominio no utiliza nodos principales dedicados. Este control pasa si los dominios de Elasticsearch tienen cinco nodos principales dedicados. Sin embargo, el uso de más de tres nodos principales puede ser innecesario para mitigar el riesgo de disponibilidad y generará un costo adicional.

Un dominio de Elasticsearch requiere al menos tres nodos principales dedicados para una alta disponibilidad y tolerancia a los errores. Los recursos del nodo principal dedicado pueden agotarse durante las implementaciones de nodos de datos azules o verdes porque hay nodos adicionales que administrar. La implementación de un dominio de Elasticsearch con al menos tres nodos principales dedicados garantiza una capacidad suficiente de recursos del nodo principal y operaciones de clúster en caso de que un nodo falle.

Corrección

Para modificar la cantidad de nodos principales dedicados en un dominio OpenSearch

  1. Abre la consola OpenSearch de Amazon Service en https://console.aws.amazon.com/aos/.

  2. En Dominios, elija el nombre del dominio que desea editar.

  3. Elija Edit domain (Editar dominio).

  4. En Nodos maestros dedicados, defina el tipo de instancia en el tipo de instancia deseado.

  5. Establezca el Número de nodos maestros en tres o más.

  6. Seleccione Submit (Enviar).

[ES.8] Las conexiones a los dominios de Elasticsearch deben cifrarse con la política de seguridad más reciente TLS

Requisitos relacionados: NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 (3), ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), v4.0.1/4.2.1 NIST.800-53.r5 SC-2 PCI DSS

Categoría: Proteger > Protección de datos > Cifrado de data-in-transit

Gravedad: media

Tipo de recurso: AWS::Elasticsearch::Domain

Regla de AWS Config : elasticsearch-https-required (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un punto final de dominio de Elasticsearch está configurado para usar la política de TLS seguridad más reciente. El control falla si el punto final del dominio de Elasticsearch no está configurado para usar la última política compatible o si HTTPs no está habilitado. La última política de TLS seguridad compatible actual es. Policy-Min-TLS-1-2-PFS-2023-10

HTTPS(TLS) se puede utilizar para evitar que posibles atacantes utilicen ataques similares para espiar person-in-the-middle o manipular el tráfico de la red. Solo se deben permitir las conexiones cifradas a través de HTTPS (TLS). El cifrado de los datos en tránsito puede afectar al rendimiento. Debe probar su aplicación con esta función para comprender el perfil de rendimiento y el impacto de la mismaTLS. TLS1.2 proporciona varias mejoras de seguridad con respecto a las versiones anteriores deTLS.

Corrección

Para habilitar el TLS cifrado, utilice la UpdateDomainConfigAPIoperación para configurar el DomainEndpointOptionsobjeto. Esto establece la TLSSecurityPolicy.

[ES.9] Los dominios de Elasticsearch deben estar etiquetados

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::Elasticsearch::Domain

Regla de AWS Config : tagged-elasticsearch-domain (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub
requiredTagKeys Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. StringList Lista de etiquetas que cumplen los requisitos de AWS No default value

Este control comprueba si un dominio de Elasticsearch tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control falla si el dominio no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el dominio no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también lo ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a los recursos. AWS Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.

nota

No añada información de identificación personal (PII) ni ningún otro tipo de información confidencial o delicada en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluidas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS

Corrección

Para añadir etiquetas a un dominio de Elasticsearch, consulta Cómo trabajar con etiquetas en la Guía para desarrolladores de Amazon OpenSearch Service.