Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pilier de ElastiCache sécurité Amazon Well-Architected Lens

Le pilier de sécurité se concentre sur la protection des informations et des systèmes. Les sujets clés sont les suivants : confidentialité et intégrité des données, identification et gestion de qui peut faire quoi grâce à la gestion basée sur les privilèges, protection des systèmes et mise en place de contrôles pour détecter les événements de sécurité.

SEC1 : Quelles mesures prenez-vous pour contrôler l'accès autorisé aux ElastiCache données ?

Introduction au niveau des questions : tous les ElastiCache clusters sont conçus pour être accessibles depuis des instances Amazon Elastic Compute Cloud dans des fonctions sans serveur (AWS Lambda) ou des conteneurs (Amazon Elastic Container Service). VPC Le scénario le plus courant consiste à accéder à un ElastiCache cluster depuis une instance Amazon Elastic Compute Cloud au sein du même Amazon Virtual Private Cloud (Amazon Virtual Private Cloud). Avant de pouvoir vous connecter à un cluster depuis une EC2 instance Amazon, vous devez autoriser l'EC2instance Amazon à accéder au cluster. Pour accéder à un ElastiCache cluster exécuté dans unVPC, il est nécessaire d'autoriser l'accès réseau au cluster.

Avantage au niveau des questions : l'entrée du réseau dans le cluster est contrôlée par VPC des groupes de sécurité. Un groupe de sécurité agit comme un pare-feu virtuel pour vos EC2 instances Amazon afin de contrôler le trafic entrant et sortant. Les règles entrantes contrôlent le trafic entrant vers votre instance, et les règles sortantes contrôlent le trafic sortant de votre instance. Dans le cas où ElastiCache, lors du lancement d'un cluster, il est nécessaire d'associer un groupe de sécurité. Cela garantit que les règles de trafic entrant et sortant sont en place pour tous les nœuds qui composent le cluster. En outre, ElastiCache il est configuré pour être déployé exclusivement sur des sous-réseaux privés, de sorte qu'ils ne soient accessibles que via le réseau privé VPC du.

SEC2 : Vos applications nécessitent-elles une autorisation supplémentaire au-delà ElastiCache des contrôles basés sur le réseau ?

Introduction au niveau des questions : dans les scénarios où il est nécessaire de restreindre ou de contrôler l'accès aux clusters ElastiCache (RedisOSS) au niveau d'un client individuel, il est recommandé de s'authentifier via la commande ElastiCache (Redis). OSS AUTH ElastiCache Les jetons d'authentification (RedisOSS), avec gestion optionnelle des utilisateurs et des groupes d'utilisateurs, permettent à ElastiCache (RedisOSS) d'exiger un mot de passe avant d'autoriser les clients à exécuter des commandes et des clés d'accès, améliorant ainsi la sécurité du plan de données.

Avantage au niveau des questions : pour garantir la sécurité de vos données, ElastiCache (RedisOSS) fournit des mécanismes de protection contre tout accès non autorisé à vos données. Cela inclut l'application du contrôle d'accès basé sur les rôles (RBAC) AUTH ou du AUTH jeton (mot de passe) auquel les clients doivent se connecter ElastiCache avant d'exécuter des commandes autorisées.

SEC3 : Existe-t-il un risque que des commandes soient exécutées par inadvertance, entraînant une perte ou une défaillance des données ?

Introduction au niveau des questions : Un certain nombre de OSS commandes Valkey ou Redis peuvent avoir un impact négatif sur les opérations si elles sont exécutées par erreur ou par des acteurs malveillants. Ces commandes peuvent avoir des conséquences imprévues du point de vue des performances et de la sécurité des données. Par exemple, un développeur peut appeler régulièrement la FLUSHALL commande dans un environnement de développement et, en raison d'une erreur, tenter par inadvertance d'appeler cette commande sur un système de production, entraînant une perte de données accidentelle.

Avantage au niveau des questions : à partir de ElastiCache (RedisOSS) 5.0.3, il est possible de renommer certaines commandes susceptibles de perturber votre charge de travail. Le fait de renommer les commandes permet d'éviter qu'elles ne soient exécutées par inadvertance sur le cluster.

SEC4 : Comment garantir le chiffrement des données au repos avec ElastiCache

Introduction au niveau des questions : Bien que ElastiCache (RedisOSS) soit un magasin de données en mémoire, il est possible de chiffrer toutes les données susceptibles d'être conservées (sur le stockage) dans le cadre des opérations standard du cluster. Cela inclut à la fois les sauvegardes planifiées et manuelles écrites sur Amazon S3, mais également les données enregistrées dans le stockage sur disque à la suite d'opérations de synchronisation et d'échange. Les types d'instances des familles M6g et R6g proposent également le chiffrement en mémoire permanent.

Avantage au niveau des questions : ElastiCache (RedisOSS) propose un chiffrement au repos en option pour renforcer la sécurité des données.

SEC5 : Comment cryptez-vous les données en transit ? ElastiCache

Introduction au niveau de la question : il est souvent exigé d'éviter que les données ne soient compromises pendant leur transit. Cela représente les données au sein des composants d'un système distribué, ainsi qu'entre les clients d'applications et les nœuds de cluster. ElastiCache (RedisOSS) répond à cette exigence en permettant de chiffrer les données en transit entre les clients et le cluster, et entre les nœuds du cluster eux-mêmes. Les types d'instances des familles M6g et R6g proposent également le chiffrement en mémoire permanent.

Avantage détaillé : le chiffrement ElastiCache en transit d'Amazon est une fonctionnalité facultative qui vous permet de renforcer la sécurité de vos données aux points les plus vulnérables, lorsqu'elles sont en transit d'un endroit à un autre.

SEC6 : Comment restreignez-vous l'accès aux ressources du plan de contrôle ?

Introduction au niveau des questions : IAM politiques et ARN activation de contrôles d'accès précis pour ElastiCache (RedisOSS), permettant un contrôle plus strict de la gestion de la création, de la modification et de la suppression des ElastiCache clusters (Redis). OSS

Avantage au niveau des questions : la gestion des ElastiCache ressources Amazon, telles que les groupes de réplication, les nœuds, etc., peut être limitée aux AWS comptes dotés d'autorisations spécifiques en fonction de IAM politiques, ce qui améliore la sécurité et la fiabilité des ressources.

SEC7 : Comment détectez-vous les événements de sécurité et comment y répondez-vous ?

Introduction au niveau des questions : ElastiCache lorsqu'il est déployé avec RBAC cette option activée, exporte CloudWatch des métriques pour informer les utilisateurs des événements de sécurité. Ces mesures permettent d'identifier les tentatives infructueuses d'authentification, d'accès aux clés ou d'exécution de commandes pour lesquelles les RBAC utilisateurs connectés ne sont pas autorisés à se connecter.

En outre, AWS les ressources relatives aux produits et services contribuent à sécuriser votre charge de travail globale en automatisant les déploiements et en enregistrant toutes les actions et modifications pour un examen ou un audit ultérieurs.

Avantage au niveau de la question : en surveillant les événements, vous permettez à votre organisation de répondre conformément à vos exigences, vos politiques et vos procédures. L'automatisation de la surveillance et des réponses à ces événements de sécurité renforce votre posture de sécurité globale.