Pilier de ElastiCache sécurité Amazon Well-Architected Lens - Amazon ElastiCache

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pilier de ElastiCache sécurité Amazon Well-Architected Lens

Le pilier de sécurité se concentre sur la protection des informations et des systèmes. Les sujets clés sont les suivants : confidentialité et intégrité des données, identification et gestion de qui peut faire quoi grâce à la gestion basée sur les privilèges, protection des systèmes et mise en place de contrôles pour détecter les événements de sécurité.

SEC1 : Quelles mesures prenez-vous pour contrôler l'accès autorisé aux ElastiCache données ?

Introduction au niveau des questions : tous les ElastiCache clusters sont conçus pour être accessibles depuis des instances Amazon Elastic Compute Cloud dans des fonctions sans serveur (AWS Lambda) ou des conteneurs (Amazon Elastic Container Service). VPC Le scénario le plus courant consiste à accéder à un ElastiCache cluster depuis une instance Amazon Elastic Compute Cloud au sein du même Amazon Virtual Private Cloud (Amazon Virtual Private Cloud). Avant de pouvoir vous connecter à un cluster depuis une EC2 instance Amazon, vous devez autoriser l'EC2instance Amazon à accéder au cluster. Pour accéder à un ElastiCache cluster exécuté dans unVPC, il est nécessaire d'autoriser l'accès réseau au cluster.

Avantage au niveau des questions : l'entrée du réseau dans le cluster est contrôlée par VPC des groupes de sécurité. Un groupe de sécurité agit comme un pare-feu virtuel pour vos EC2 instances Amazon afin de contrôler le trafic entrant et sortant. Les règles entrantes contrôlent le trafic entrant vers votre instance, et les règles sortantes contrôlent le trafic sortant de votre instance. Dans le cas où ElastiCache, lors du lancement d'un cluster, il est nécessaire d'associer un groupe de sécurité. Cela garantit que les règles de trafic entrant et sortant sont en place pour tous les nœuds qui composent le cluster. En outre, ElastiCache il est configuré pour être déployé exclusivement sur des sous-réseaux privés, de sorte qu'ils ne soient accessibles que via le réseau privé VPC du.

  • [Obligatoire] Le groupe de sécurité associé à votre cluster contrôle l’entrée réseau et l'accès au cluster. Par défaut, aucune règle entrante n'est définie pour un groupe de sécurité et, par conséquent, aucun chemin d'entrée vers celui-ci ne sera défini. ElastiCache Pour activer cela, configurez une règle entrante sur le groupe de sécurité en spécifiant l'adresse/plage IP source, le TCP type de trafic et le port de votre ElastiCache cluster (port par défaut 6379 pour ElastiCache (RedisOSS) par exemple). Bien qu'il soit possible d'autoriser un très large éventail de sources d'entrée, comme toutes les ressources d'un VPC (0.0.0.0/0), il est conseillé d'être aussi précis que possible dans la définition des règles entrantes, par exemple en autorisant uniquement l'accès entrant aux clients Valkey ou Redis exécutés OSS sur des instances Amazon Amazon associées à un groupe de sécurité spécifique. EC2

    [Ressources] :

  • Des AWS Identity and Access Management politiques [obligatoires] peuvent être attribuées à des AWS Lambda fonctions leur permettant d'accéder aux ElastiCache données. Pour activer cette fonctionnalité, créez un rôle IAM d'exécution avec l'AWSLambdaVPCAccessExecutionRoleautorisation, puis attribuez le rôle à la AWS Lambda fonction.

    [Ressources] : Configuration d'une fonction Lambda pour accéder à Amazon ElastiCache dans un Amazon VPC : Tutoriel : Configuration d'une fonction Lambda pour accéder à Amazon dans un Amazon ElastiCache VPC

SEC2 : Vos applications nécessitent-elles une autorisation supplémentaire au-delà ElastiCache des contrôles basés sur le réseau ?

Introduction au niveau des questions : dans les scénarios où il est nécessaire de restreindre ou de contrôler l'accès aux clusters ElastiCache (RedisOSS) au niveau d'un client individuel, il est recommandé de s'authentifier via la commande ElastiCache (Redis). OSS AUTH ElastiCache Les jetons d'authentification (RedisOSS), avec gestion optionnelle des utilisateurs et des groupes d'utilisateurs, permettent à ElastiCache (RedisOSS) d'exiger un mot de passe avant d'autoriser les clients à exécuter des commandes et des clés d'accès, améliorant ainsi la sécurité du plan de données.

Avantage au niveau des questions : pour garantir la sécurité de vos données, ElastiCache (RedisOSS) fournit des mécanismes de protection contre tout accès non autorisé à vos données. Cela inclut l'application du contrôle d'accès basé sur les rôles (RBAC) AUTH ou du AUTH jeton (mot de passe) auquel les clients doivent se connecter ElastiCache avant d'exécuter des commandes autorisées.

  • [Idéal] Pour ElastiCache (RedisOSS) 6.x et versions ultérieures, définissez les contrôles d'authentification et d'autorisation en définissant les groupes d'utilisateurs, les utilisateurs et les chaînes d'accès. Attribuez des utilisateurs à des groupes d'utilisateurs, puis attribuez des groupes d'utilisateurs à des clusters. Pour être utiliséRBAC, il doit être sélectionné lors de la création du cluster, et le chiffrement en transit doit être activé. Assurez-vous d'utiliser un OSS client Valkey ou Redis compatible TLS pour pouvoir en tirer parti. RBAC

    [Ressources] :

  • [Idéal] Pour les versions ElastiCache (RedisOSS) antérieures à la version 6.x, en plus de définir un jeton/mot de passe fort et de maintenir une politique de mot de passe stricte pour ElastiCache (RedisOSS)AUTH, il est recommandé de faire pivoter le mot de passe/jeton. ElastiCache peut gérer jusqu'à deux (2) jetons d'authentification à la fois. Vous pouvez également modifier le cluster pour exiger explicitement l'utilisation de jetons d'authentification.

    [Ressources] : Modification du AUTH jeton sur un cluster existant ElastiCache (RedisOSS)

SEC3 : Existe-t-il un risque que des commandes soient exécutées par inadvertance, entraînant une perte ou une défaillance des données ?

Introduction au niveau des questions : Un certain nombre de OSS commandes Valkey ou Redis peuvent avoir un impact négatif sur les opérations si elles sont exécutées par erreur ou par des acteurs malveillants. Ces commandes peuvent avoir des conséquences imprévues du point de vue des performances et de la sécurité des données. Par exemple, un développeur peut appeler régulièrement la FLUSHALL commande dans un environnement de développement et, en raison d'une erreur, tenter par inadvertance d'appeler cette commande sur un système de production, entraînant une perte de données accidentelle.

Avantage au niveau des questions : à partir de ElastiCache (RedisOSS) 5.0.3, il est possible de renommer certaines commandes susceptibles de perturber votre charge de travail. Le fait de renommer les commandes permet d'éviter qu'elles ne soient exécutées par inadvertance sur le cluster.

SEC4 : Comment garantir le chiffrement des données au repos avec ElastiCache

Introduction au niveau des questions : Bien que ElastiCache (RedisOSS) soit un magasin de données en mémoire, il est possible de chiffrer toutes les données susceptibles d'être conservées (sur le stockage) dans le cadre des opérations standard du cluster. Cela inclut à la fois les sauvegardes planifiées et manuelles écrites sur Amazon S3, mais également les données enregistrées dans le stockage sur disque à la suite d'opérations de synchronisation et d'échange. Les types d'instances des familles M6g et R6g proposent également le chiffrement en mémoire permanent.

Avantage au niveau des questions : ElastiCache (RedisOSS) propose un chiffrement au repos en option pour renforcer la sécurité des données.

  • [Obligatoire] Le chiffrement au repos ne peut être activé sur un ElastiCache cluster (groupe de réplication) que lors de sa création. Un cluster existant ne peut pas être modifié pour commencer à chiffrer les données au repos. Par défaut, ElastiCache fournira et gérera les clés utilisées pour le chiffrement au repos.

    [Ressources] :

  • [Mieux] Tirez parti des types d'EC2instances Amazon qui chiffrent les données lorsqu'elles sont en mémoire (comme M6g ou R6g). Dans la mesure du possible, envisagez de gérer vos propres clés pour le chiffrement au repos. Pour les environnements de sécurité des données plus stricts, AWS Key Management Service (KMS) peut être utilisé pour gérer automatiquement les clés principales du client (CMK). Grâce à ElastiCache l'intégration avec AWS Key Management Service, vous pouvez créer, posséder et gérer les clés utilisées pour le chiffrement des données au repos pour votre cluster ElastiCache (RedisOSS).

    [Ressources] :

SEC5 : Comment cryptez-vous les données en transit ? ElastiCache

Introduction au niveau de la question : il est souvent exigé d'éviter que les données ne soient compromises pendant leur transit. Cela représente les données au sein des composants d'un système distribué, ainsi qu'entre les clients d'applications et les nœuds de cluster. ElastiCache (RedisOSS) répond à cette exigence en permettant de chiffrer les données en transit entre les clients et le cluster, et entre les nœuds du cluster eux-mêmes. Les types d'instances des familles M6g et R6g proposent également le chiffrement en mémoire permanent.

Avantage détaillé : le chiffrement ElastiCache en transit d'Amazon est une fonctionnalité facultative qui vous permet de renforcer la sécurité de vos données aux points les plus vulnérables, lorsqu'elles sont en transit d'un endroit à un autre.

  • [Obligatoire] Le chiffrement en transit ne peut être activé que sur un cluster ElastiCache (RedisOSS) (groupe de réplication) lors de sa création. Veuillez noter qu'en raison du traitement supplémentaire requis pour le chiffrement/déchiffrement des données, la mise en œuvre du chiffrement en transit aura un certain impact sur les performances. Pour comprendre l'impact, il est recommandé de comparer votre charge de travail avant et après l'activationencryption-in-transit.

    [Ressources] :

SEC6 : Comment restreignez-vous l'accès aux ressources du plan de contrôle ?

Introduction au niveau des questions : IAM politiques et ARN activation de contrôles d'accès précis pour ElastiCache (RedisOSS), permettant un contrôle plus strict de la gestion de la création, de la modification et de la suppression des ElastiCache clusters (Redis). OSS

Avantage au niveau des questions : la gestion des ElastiCache ressources Amazon, telles que les groupes de réplication, les nœuds, etc., peut être limitée aux AWS comptes dotés d'autorisations spécifiques en fonction de IAM politiques, ce qui améliore la sécurité et la fiabilité des ressources.

SEC7 : Comment détectez-vous les événements de sécurité et comment y répondez-vous ?

Introduction au niveau des questions : ElastiCache lorsqu'il est déployé avec RBAC cette option activée, exporte CloudWatch des métriques pour informer les utilisateurs des événements de sécurité. Ces mesures permettent d'identifier les tentatives infructueuses d'authentification, d'accès aux clés ou d'exécution de commandes pour lesquelles les RBAC utilisateurs connectés ne sont pas autorisés à se connecter.

En outre, AWS les ressources relatives aux produits et services contribuent à sécuriser votre charge de travail globale en automatisant les déploiements et en enregistrant toutes les actions et modifications pour un examen ou un audit ultérieurs.

Avantage au niveau de la question : en surveillant les événements, vous permettez à votre organisation de répondre conformément à vos exigences, vos politiques et vos procédures. L'automatisation de la surveillance et des réponses à ces événements de sécurité renforce votre posture de sécurité globale.