Contrôles Security Hub pour ElastiCache - AWS Security Hub
[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (RedisOSS) doivent être activées[ElastiCache.2] Les mises à niveau automatiques des versions mineures des clusters ElastiCache (RedisOSS) devraient être activées[ElastiCache.3] Le basculement automatique doit être activé pour les groupes de ElastiCache réplication[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport[ElastiCache.6] Redis doit être activé sur les groupes de réplication ElastiCache (RedisOSS) des versions antérieures OSS AUTH[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles Security Hub pour ElastiCache

Ces AWS Security Hub contrôles évaluent le ElastiCache service et les ressources Amazon.

Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.

[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (RedisOSS) doivent être activées

Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST

Catégorie : Restauration > Résilience > Sauvegardes activées

Gravité : Élevée

Type de ressource :AWS::ElastiCache::CacheCluster, AWS:ElastiCache:ReplicationGroup

Règle AWS Config  : elasticache-redis-cluster-automatic-backup-check

Type de calendrier : Périodique

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub

snapshotRetentionPeriod

Durée minimale de conservation des instantanés en jours

Entier

1 sur 35

1

Ce contrôle évalue si des sauvegardes automatiques sont planifiées pour un cluster Amazon ElastiCache (RedisOSS). Le contrôle échoue si SnapshotRetentionLimit le cluster Redis est inférieur à la période spécifiée. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de conservation des instantanés, Security Hub utilise une valeur par défaut de 1 jour.

Les clusters Amazon ElastiCache (RedisOSS) peuvent sauvegarder leurs données. La sauvegarde peut être utilisée pour restaurer un cluster ou en implanter un nouveau. La sauvegarde se compose des métadonnées du cluster, ainsi que toutes les données figurant dans le cluster. Toutes les sauvegardes sont écrites sur Amazon Simple Storage Service (Amazon S3), qui fournit un stockage durable. Vous pouvez restaurer vos données en créant un nouveau cluster Redis et en le remplissant avec les données d'une sauvegarde. Vous pouvez gérer les sauvegardes à l'aide du AWS Management Console, du AWS Command Line Interface (AWS CLI) et du ElastiCache API.

Correction

Pour planifier des sauvegardes automatiques sur un cluster ElastiCache (RedisOSS), consultez la section Planification de sauvegardes automatiques dans le guide de l' ElastiCache utilisateur Amazon.

[ElastiCache.2] Les mises à niveau automatiques des versions mineures des clusters ElastiCache (RedisOSS) devraient être activées

Exigences connexes : NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), NIST .800-53.r5 SI-2 (5) NIST

Catégorie : Identifier > Gestion des vulnérabilités, des correctifs et des versions

Gravité : Élevée

Type de ressource : AWS::ElastiCache::CacheCluster

Règle AWS Config  : elasticache-auto-minor-version-upgrade-check

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle évalue si ElastiCache (RedisOSS) applique automatiquement des mises à niveau de versions mineures aux clusters de cache. Le contrôle échoue si aucune mise à niveau de version mineure n'est automatiquement appliquée aux clusters de cache ElastiCache (RedisOSS).

AutoMinorVersionUpgradeest une fonctionnalité que vous pouvez activer ElastiCache (RedisOSS) pour que vos clusters de cache soient automatiquement mis à niveau lorsqu'une nouvelle version mineure du moteur de cache est disponible. Ces mises à niveau peuvent inclure des correctifs de sécurité et des corrections de bogues. S'en up-to-date tenir à l'installation des correctifs est une étape importante de la sécurisation des systèmes.

Correction

Pour appliquer des mises à niveau automatiques de versions mineures à un cluster de cache ElastiCache (RedisOSS) existant, consultez la section Mise à niveau des versions du moteur dans le guide de ElastiCache l'utilisateur Amazon.

[ElastiCache.3] Le basculement automatique doit être activé pour les groupes de ElastiCache réplication

Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Catégorie : Restauration > Résilience > Haute disponibilité

Gravité : Moyenne

Type de ressource : AWS::ElastiCache::ReplicationGroup

Règle AWS Config  : elasticache-repl-grp-auto-failover-enabled

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si le basculement automatique est activé pour un groupe de réplication ElastiCache (RedisOSS). Le contrôle échoue si le basculement automatique n'est pas activé pour un groupe de OSS réplication Redis.

Lorsque le basculement automatique est activé pour un groupe de réplication, le rôle du nœud principal passe automatiquement à l'une des répliques lues. Cette promotion basée sur le basculement et les répliques vous permet de reprendre l'écriture vers le nouveau serveur principal une fois la promotion terminée, ce qui réduit le temps d'arrêt global en cas de panne.

Correction

Pour activer le basculement automatique pour un groupe de réplication ElastiCache (RedisOSS) existant, consultez la section Modification d'un ElastiCache cluster dans le guide de ElastiCache l'utilisateur Amazon. Si vous utilisez la ElastiCache console, réglez le basculement automatique sur Activé.

[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos

Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)

Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest

Gravité : Moyenne

Type de ressource : AWS::ElastiCache::ReplicationGroup

Règle AWS Config  : elasticache-repl-grp-encrypted-at-rest

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si un groupe de réplication ElastiCache (RedisOSS) est chiffré au repos. Le contrôle échoue si un groupe de réplication ElastiCache (RedisOSS) n'est pas chiffré au repos.

Le chiffrement des données au repos réduit le risque qu'un utilisateur non authentifié accède aux données stockées sur disque. ElastiCache Les groupes de réplication (RedisOSS) doivent être chiffrés au repos pour renforcer la sécurité.

Correction

Pour configurer le chiffrement au repos sur un groupe de réplication ElastiCache (RedisOSS), consultez la section Activation du chiffrement au repos dans le guide de l'utilisateur Amazon ElastiCache .

[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport

Exigences connexes : NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), NIST .800-53.r5 SI-7 (6)

Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit

Gravité : Moyenne

Type de ressource : AWS::ElastiCache::ReplicationGroup

Règle AWS Config  : elasticache-repl-grp-encrypted-in-transit

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si un groupe de réplication ElastiCache (RedisOSS) est chiffré en transit. Le contrôle échoue si un groupe de réplication ElastiCache (RedisOSS) n'est pas chiffré en transit.

Le chiffrement des données en transit réduit le risque qu'un utilisateur non autorisé puisse espionner le trafic réseau. L'activation du chiffrement en transit sur un groupe de réplication ElastiCache (RedisOSS) chiffre vos données chaque fois qu'elles sont déplacées d'un endroit à un autre, par exemple entre les nœuds de votre cluster ou entre votre cluster et votre application.

Correction

Pour configurer le chiffrement en transit sur un groupe de réplication ElastiCache (RedisOSS), consultez la section Activation du chiffrement en transit dans le guide de l'utilisateur Amazon ElastiCache .

[ElastiCache.6] Redis doit être activé sur les groupes de réplication ElastiCache (RedisOSS) des versions antérieures OSS AUTH

Exigences connexes : NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::ElastiCache::ReplicationGroup

Règle AWS Config  : elasticache-repl-grp-redis-auth-enabled

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si Redis est activé sur un groupe de réplication ElastiCache (Redis OSS OSSAUTH). Le contrôle échoue si la OSS version Redis des nœuds du groupe de réplication est inférieure à 6.0 et AuthToken n'est pas utilisée.

Lorsque vous utilisez des jetons d'authentification ou des mots de passe Redis, Redis exige un mot de passe avant d'autoriser les clients à exécuter des commandes, ce qui améliore la sécurité des données. Pour Redis 6.0 et les versions ultérieures, nous recommandons d'utiliser le contrôle d'accès basé sur les rôles (). RBAC Comme RBAC il n'est pas pris en charge pour les versions de Redis antérieures à 6.0, ce contrôle évalue uniquement les versions qui ne peuvent pas utiliser cette fonctionnalité. RBAC

Correction

Pour utiliser Redis AUTH sur un groupe de réplication ElastiCache (RedisOSS), consultez la section Modification du AUTH jeton sur un cluster ElastiCache (RedisOSS) existant dans le guide de l'utilisateur Amazon ElastiCache .

[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut

Exigences connexes : NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

Catégorie : Protéger - Configuration réseau sécurisée

Gravité : Élevée

Type de ressource : AWS::ElastiCache::CacheCluster

Règle AWS Config  : elasticache-subnet-group-check

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si un cluster ElastiCache (RedisOSS) est configuré avec un groupe de sous-réseaux personnalisé. Le contrôle échoue si CacheSubnetGroupName un ElastiCache cluster possède la valeurdefault.

Lors du lancement d'un ElastiCache cluster, un groupe de sous-réseaux par défaut est créé s'il n'en existe pas déjà un. Le groupe par défaut utilise les sous-réseaux du cloud privé virtuel par défaut (VPC). Nous vous recommandons d'utiliser des groupes de sous-réseaux personnalisés qui limitent davantage les sous-réseaux dans lesquels réside le cluster et le réseau dont le cluster hérite des sous-réseaux.

Correction

Pour créer un nouveau groupe de sous-réseaux pour un ElastiCache cluster, consultez la section Création d'un groupe de sous-réseaux dans le guide de ElastiCache l'utilisateur Amazon.