Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pilar Keamanan Lensa ElastiCache Well-Architected Amazon
Pilar keamanan berfokus pada perlindungan informasi dan sistem. Topik utama yang dibahas meliputi kerahasiaan dan integritas data, mengidentifikasi dan mengelola "siapa yang dapat melakukan apa" dengan manajemen berbasis hak akses, melindungi sistem, dan menetapkan kontrol untuk mendeteksi peristiwa keamanan.
Topik
- SEC1: Langkah apa yang Anda ambil dalam mengendalikan akses resmi ke ElastiCache data?
- SEC2: Apakah aplikasi Anda memerlukan otorisasi tambahan untuk kontrol berbasis jaringan di ElastiCache atas dan di atas?
- SEC3: Apakah ada risiko bahwa perintah dapat dijalankan secara tidak sengaja, menyebabkan kehilangan atau kegagalan data?
- SEC4: Bagaimana Anda memastikan enkripsi data saat istirahat ElastiCache
- SEC5: Bagaimana Anda mengenkripsi data dalam transit? ElastiCache
- SEC6: Bagaimana Anda membatasi akses untuk mengontrol sumber daya pesawat?
- SEC7: Bagaimana Anda mendeteksi dan menanggapi peristiwa keamanan?
SEC1: Langkah apa yang Anda ambil dalam mengendalikan akses resmi ke ElastiCache data?
Pengenalan tingkat pertanyaan: Semua ElastiCache cluster dirancang untuk diakses dari instans Amazon Elastic Compute Cloud dalam fungsi ()VPC, atau wadah tanpa server (Amazon Elastic Container AWS Lambda Service). Skenario yang paling sering ditemui adalah mengakses ElastiCache cluster dari instans Amazon Elastic Compute Cloud dalam Amazon Virtual Private Cloud yang sama (Amazon Virtual Private Cloud). Sebelum dapat terhubung ke cluster dari EC2 instans Amazon, Anda harus mengotorisasi EC2 instans Amazon untuk mengakses klaster. Untuk mengakses ElastiCache cluster yang berjalan di aVPC, perlu untuk memberikan masuknya jaringan ke cluster.
Manfaat tingkat pertanyaan: Masuknya jaringan ke dalam cluster dikendalikan melalui grup keamanan. VPC Grup keamanan bertindak sebagai firewall virtual untuk EC2 instans Amazon Anda untuk mengontrol lalu lintas masuk dan keluar. Aturan masuk mengontrol lalu lintas yang masuk ke instans Anda, dan aturan keluar mengontrol lalu lintas yang keluar dari instans Anda. Dalam kasus ElastiCache, ketika meluncurkan cluster, itu membutuhkan asosiasi grup keamanan. Hal ini memastikan bahwa aturan lalu lintas masuk dan keluar berlaku untuk semua simpul yang membentuk klaster. Selain itu, ElastiCache dikonfigurasi untuk menyebarkan pada subnet pribadi secara eksklusif sehingga mereka hanya dapat diakses dari melalui jaringan VPC pribadi.
-
[Wajib] Grup keamanan yang dikaitkan dengan klaster Anda mengontrol lalu lintas masuk dan akses jaringan ke klaster. Secara default, grup keamanan tidak akan memiliki aturan masuk yang ditentukan dan, oleh karena itu, tidak ada jalur masuk ke. ElastiCache Untuk mengaktifkan ini, konfigurasikan aturan masuk pada grup keamanan yang menentukan alamat/rentang IP sumber, TCP ketik lalu lintas dan port untuk ElastiCache cluster Anda (port default 6379 untuk (Redis) misalnya ElastiCache ). OSS Meskipun dimungkinkan untuk mengizinkan serangkaian sumber masuk yang sangat luas, seperti semua sumber daya dalam VPC (0.0.0.0/0), disarankan untuk sedetail mungkin dalam mendefinisikan aturan masuk seperti hanya mengotorisasi akses masuk ke klien Valkey atau Redis yang berjalan OSS di Amazon Amazon Amazon yang terkait dengan grup keamanan tertentu. EC2
[Sumber Daya]:
-
AWS Identity and Access Management Kebijakan [Wajib] dapat ditetapkan ke AWS Lambda fungsi yang memungkinkan mereka mengakses ElastiCache data. Untuk mengaktifkan fitur ini, buat peran IAM eksekusi dengan
AWSLambdaVPCAccessExecutionRoleizin, lalu tetapkan peran ke AWS Lambda fungsi tersebut.[Sumber Daya]: Mengonfigurasi fungsi Lambda untuk mengakses Amazon di ElastiCache VPC Amazon: Tutorial: Mengonfigurasi fungsi Lambda untuk ElastiCache mengakses Amazon di Amazon VPC
SEC2: Apakah aplikasi Anda memerlukan otorisasi tambahan untuk kontrol berbasis jaringan di ElastiCache atas dan di atas?
Pengenalan tingkat pertanyaan: Dalam skenario di mana perlu untuk membatasi atau mengontrol akses ke klaster ElastiCache (RedisOSS) pada tingkat klien individu, disarankan untuk mengautentikasi melalui perintah (Redis). ElastiCache OSS AUTH ElastiCache Token otentikasi (RedisOSS), dengan manajemen pengguna dan grup pengguna opsional, memungkinkan ElastiCache (RedisOSS) untuk meminta kata sandi sebelum mengizinkan klien menjalankan perintah dan kunci akses, sehingga meningkatkan keamanan bidang data.
Manfaat tingkat pertanyaan: Untuk membantu menjaga keamanan data Anda, ElastiCache (RedisOSS) menyediakan mekanisme untuk melindungi terhadap akses data Anda yang tidak sah. Ini termasuk menegakkan Kontrol Akses Berbasis Peran (RBAC)AUTH, atau AUTH token (kata sandi) yang digunakan oleh klien untuk terhubung ElastiCache sebelum melakukan perintah resmi.
-
[Terbaik] Untuk ElastiCache (RedisOSS) 6.x dan yang lebih tinggi, tentukan kontrol otentikasi dan otorisasi dengan mendefinisikan grup pengguna, pengguna, dan string akses. Tetapkan pengguna ke grup pengguna, lalu tetapkan grup pengguna ke klaster. Untuk memanfaatkannyaRBAC, itu harus dipilih pada pembuatan cluster, dan enkripsi dalam transit harus diaktifkan. Pastikan Anda menggunakan OSS klien Valkey atau Redis yang mendukung TLS untuk dapat memanfaatkan. RBAC
[Sumber Daya]:
-
[Terbaik] Untuk versi ElastiCache (RedisOSS) sebelum 6.x, selain mengatur token/kata sandi yang kuat dan mempertahankan kebijakan kata sandi yang ketat untuk ElastiCache (RedisOSS)AUTH, praktik terbaik adalah memutar kata sandi/token. ElastiCache dapat mengelola hingga dua (2) token otentikasi pada waktu tertentu. Anda juga dapat mengubah klaster untuk secara eksplisit mewajibkan penggunaan token autentikasi.
[Sumber Daya]: Memodifikasi AUTH token pada cluster ElastiCache (RedisOSS) yang ada
SEC3: Apakah ada risiko bahwa perintah dapat dijalankan secara tidak sengaja, menyebabkan kehilangan atau kegagalan data?
Pengenalan tingkat pertanyaan: Ada sejumlah OSS perintah Valkey atau Redis yang dapat berdampak buruk pada operasi jika dijalankan secara tidak sengaja atau oleh aktor jahat. Perintah ini dapat memiliki konsekuensi yang tidak diinginkan dari perspektif performa dan keamanan data. Misalnya pengembang dapat secara rutin memanggil FLUSHALL perintah di lingkungan dev, dan karena kesalahan mungkin secara tidak sengaja mencoba memanggil perintah ini pada sistem produksi, yang mengakibatkan kehilangan data yang tidak disengaja.
Manfaat tingkat pertanyaan: Dimulai dengan ElastiCache (RedisOSS) 5.0.3, Anda memiliki kemampuan untuk mengganti nama perintah tertentu yang mungkin mengganggu beban kerja Anda. Mengganti nama perintah dapat membantu mencegahnya dieksekusi secara tidak sengaja di klaster.
-
[Wajib]
[Sumber Daya]:
SEC4: Bagaimana Anda memastikan enkripsi data saat istirahat ElastiCache
Pengenalan tingkat pertanyaan: Meskipun ElastiCache (RedisOSS) adalah penyimpanan data dalam memori, dimungkinkan untuk mengenkripsi data apa pun yang mungkin bertahan (pada penyimpanan) sebagai bagian dari operasi standar cluster. Hal ini termasuk pencadangan terjadwal dan manual yang ditulis ke Amazon S3, serta data yang disimpan ke penyimpanan disk sebagai hasil dari operasi sinkronisasi dan swap. Jenis instans dalam keluarga M6g dan R6g juga memiliki fitur enkripsi dalam memori yang selalu aktif.
Manfaat tingkat pertanyaan: ElastiCache (RedisOSS) menyediakan enkripsi opsional saat istirahat untuk meningkatkan keamanan data.
-
[Diperlukan] Enkripsi AT-rest dapat diaktifkan pada ElastiCache cluster (grup replikasi) hanya ketika dibuat. Klaster yang ada tidak dapat diubah untuk mulai mengenkripsi data diam. Secara default, ElastiCache akan menyediakan dan mengelola kunci yang digunakan dalam enkripsi saat istirahat.
[Sumber Daya]:
-
[Terbaik] Manfaatkan jenis EC2 instans Amazon yang mengenkripsi data saat berada di memori (seperti M6g atau R6g). Jika memungkinkan, pertimbangkan untuk mengelola kunci Anda sendiri untuk enkripsi diam. Untuk lingkungan keamanan data yang lebih ketat, AWS Key Management Service (KMS) dapat digunakan untuk mengelola sendiri Customer Master Keys (). CMK Melalui ElastiCache integrasi dengan AWS Key Management Service, Anda dapat membuat, memiliki, dan mengelola kunci yang digunakan untuk enkripsi data saat istirahat untuk cluster ElastiCache (RedisOSS) Anda.
[Sumber Daya]:
SEC5: Bagaimana Anda mengenkripsi data dalam transit? ElastiCache
Pengantar tingkat pertanyaan: Adalah persyaratan umum untuk memitigasi risiko data disusupi saat bergerak. Ini mewakili data dalam komponen sistem terdistribusi, serta antara klien aplikasi dan node cluster. ElastiCache (RedisOSS) mendukung persyaratan ini dengan memungkinkan untuk mengenkripsi data dalam perjalanan antara klien dan cluster, dan antara node cluster itu sendiri. Jenis instans dalam keluarga M6g dan R6g juga memiliki fitur enkripsi dalam memori yang selalu aktif.
Manfaat tingkat pertanyaan: Enkripsi ElastiCache in-transit Amazon adalah fitur opsional yang memungkinkan Anda meningkatkan keamanan data Anda di titik-titik yang paling rentan, ketika sedang dalam perjalanan dari satu lokasi ke lokasi lain.
-
[Diperlukan] Enkripsi dalam transit hanya dapat diaktifkan pada klaster ElastiCache (RedisOSS) (grup replikasi) setelah pembuatan. Perlu diketahui bahwa karena pemrosesan tambahan yang diperlukan untuk mengenkripsi/mendekripsi data, penerapan enkripsi bergerak akan memiliki beberapa dampak terhadap performa. Untuk memahami dampaknya, disarankan untuk membandingkan beban kerja Anda sebelum dan sesudah mengaktifkan. encryption-in-transit
[Sumber Daya]:
SEC6: Bagaimana Anda membatasi akses untuk mengontrol sumber daya pesawat?
Pengenalan tingkat pertanyaan: IAM kebijakan dan ARN mengaktifkan kontrol akses berbutir halus untuk ElastiCache (RedisOSS), memungkinkan kontrol yang lebih ketat untuk mengelola pembuatan, modifikasi, dan penghapusan klaster (Redis). ElastiCache OSS
Manfaat tingkat pertanyaan: Pengelolaan ElastiCache sumber daya Amazon, seperti grup replikasi, node, dll. Dapat dibatasi ke AWS akun yang memiliki izin khusus berdasarkan IAM kebijakan, meningkatkan keamanan, dan keandalan sumber daya.
-
[Diperlukan] Kelola akses ke ElastiCache sumber daya Amazon dengan menetapkan AWS Identity and Access Management kebijakan khusus kepada AWS pengguna, memungkinkan kontrol yang lebih baik atas akun mana yang dapat melakukan tindakan apa pada klaster.
[Sumber Daya]:
SEC7: Bagaimana Anda mendeteksi dan menanggapi peristiwa keamanan?
Pengenalan tingkat pertanyaan:ElastiCache, saat digunakan dengan RBAC diaktifkan, mengekspor CloudWatch metrik untuk memberi tahu pengguna tentang peristiwa keamanan. Metrik ini membantu mengidentifikasi upaya gagal untuk mengautentikasi, mengakses kunci, atau menjalankan perintah yang menghubungkan RBAC pengguna tidak diizinkan.
Selain itu, sumber daya AWS produk dan layanan membantu mengamankan beban kerja Anda secara keseluruhan dengan mengotomatiskan penerapan dan mencatat semua tindakan dan modifikasi untuk peninjauan/audit nanti.
Manfaat tingkat pertanyaan: Dengan memantau peristiwa, Anda memungkinkan organisasi Anda untuk merespons sesuai dengan persyaratan, kebijakan, dan prosedur Anda. Mengotomatiskan pemantauan dan respons terhadap peristiwa keamanan ini memperkuat postur keamanan Anda secara keseluruhan.
-
[Wajib] Biasakan diri Anda dengan CloudWatch Metrik yang diterbitkan yang berkaitan dengan kegagalan RBAC otentikasi dan otorisasi.
-
AuthenticationFailures = Upaya gagal untuk mengautentikasi ke Valkey atau Redis OSS
-
KeyAuthorizationFailures = Upaya gagal oleh pengguna untuk mengakses kunci tanpa izin
-
CommandAuthorizationFailures = Upaya gagal oleh pengguna untuk menjalankan perintah tanpa izin
[Sumber Daya]:
-
-
[Terbaik] Sebaiknya siapkan peringatan dan notifikasi pada metrik ini dan respons sesuai kebutuhan.
[Sumber Daya]:
-
[Terbaik] Gunakan OSS ACL LOG perintah Valkey atau Redis untuk mengumpulkan rincian lebih lanjut
[Sumber Daya]:
-
[Terbaik] Biasakan diri Anda dengan kemampuan AWS produk dan layanan yang berkaitan dengan pemantauan, pencatatan, dan analisis ElastiCache penyebaran dan peristiwa
[Sumber Daya]:
