Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol Security Hub untuk ElastiCache
AWS Security Hub Kontrol ini mengevaluasi ElastiCache layanan dan sumber daya Amazon.
Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis
Persyaratan terkait: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)
Kategori: Pulih> Ketahanan > Cadangan diaktifkan
Tingkat keparahan: Tinggi
Jenis sumber daya:AWS::ElastiCache::CacheCluster, AWS:ElastiCache:ReplicationGroup
AWS Config aturan: elasticache-redis-cluster-automatic-backup-check
Jenis jadwal: Periodik
Parameter:
| Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
|
|
Periode retensi snapshot minimum dalam beberapa hari |
Bilangan Bulat |
|
|
Kontrol ini mengevaluasi apakah klaster Amazon ElastiCache (Redis OSS) memiliki cadangan otomatis yang dijadwalkan. Kontrol gagal jika SnapshotRetentionLimit untuk cluster Redis kurang dari periode waktu yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode retensi snapshot, Security Hub menggunakan nilai default 1 hari.
Cluster Amazon ElastiCache (Redis OSS) dapat mencadangkan data mereka. Anda dapat menggunakan backup untuk memulihkan klaster atau menyemai klaster baru. Backup terdiri dari metadata klaster, beserta semua data di dalam klaster. Semua cadangan ditulis ke Amazon Simple Storage Service (Amazon S3), yang menyediakan penyimpanan durabel. Anda dapat memulihkan data Anda dengan membuat cluster Redis baru dan mengisinya dengan data dari cadangan. Anda dapat mengelola backup menggunakan AWS Management Console, the AWS Command Line Interface (AWS CLI), dan API. ElastiCache
Remediasi
Untuk menjadwalkan pencadangan otomatis pada klaster ElastiCache (Redis OSS), lihat Menjadwalkan pencadangan otomatis di Panduan Pengguna Amazon. ElastiCache
[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis
Persyaratan terkait: NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), Nist.800-53.R5 SI-2 (5) PCI DSS v4.0.1/6.3.3
Kategori: Identifikasi > Kerentanan, tambalan, dan manajemen versi
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::ElastiCache::CacheCluster
AWS Config aturan: elasticache-auto-minor-version-upgrade-check
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini mengevaluasi apakah Amazon ElastiCache secara otomatis menerapkan upgrade versi minor ke cluster cache. Kontrol gagal jika cluster cache tidak memiliki upgrade versi minor yang diterapkan secara otomatis.
catatan
Kontrol ini tidak berlaku untuk cluster ElastiCache Memcached.
Upgrade versi minor otomatis adalah fitur yang dapat Anda aktifkan di Amazon ElastiCache untuk secara otomatis meningkatkan cluster cache Anda ketika versi mesin cache minor baru tersedia. Upgrade ini mungkin termasuk patch keamanan dan perbaikan bug. Tetap up-to-date dengan instalasi patch adalah langkah penting dalam mengamankan sistem.
Remediasi
Untuk secara otomatis menerapkan upgrade versi minor ke cluster ElastiCache cache yang ada, lihat Pengelolaan versi untuk ElastiCache di Panduan ElastiCache Pengguna Amazon.
[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis
Persyaratan terkait: NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
Kategori: Pulihkan > Ketahanan > Ketersediaan tinggi
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::ElastiCache::ReplicationGroup
AWS Config aturan: elasticache-repl-grp-auto-failover-enabled
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah grup ElastiCache replikasi mengaktifkan failover otomatis. Kontrol gagal jika failover otomatis tidak diaktifkan untuk grup replikasi.
Ketika failover otomatis diaktifkan untuk grup replikasi, peran node utama akan secara otomatis gagal ke salah satu replika baca. Promosi failover dan replika ini memastikan bahwa Anda dapat melanjutkan penulisan ke primer baru setelah promosi selesai, yang mengurangi waktu henti secara keseluruhan jika terjadi kegagalan.
Remediasi
Untuk mengaktifkan failover otomatis untuk grup ElastiCache replikasi yang ada, lihat Memodifikasi ElastiCache klaster di Panduan Pengguna Amazon ElastiCache . Jika Anda menggunakan ElastiCache konsol, setel Auto failover ke diaktifkan.
[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::ElastiCache::ReplicationGroup
AWS Config aturan: elasticache-repl-grp-encrypted-at-rest
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah grup ElastiCache replikasi dienkripsi saat istirahat. Kontrol gagal jika grup replikasi tidak dienkripsi saat istirahat.
Mengenkripsi data saat istirahat mengurangi risiko bahwa pengguna yang tidak diautentikasi mendapatkan akses ke data yang disimpan pada disk. ElastiCache (Redis OSS) grup replikasi harus dienkripsi saat istirahat untuk lapisan keamanan tambahan.
Remediasi
Untuk mengonfigurasi enkripsi saat istirahat pada grup ElastiCache replikasi, lihat Mengaktifkan enkripsi saat istirahat di Panduan Pengguna Amazon. ElastiCache
[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi saat transit
Persyaratan terkait: NIST.800-53.r5 AC-1 7 (2),, NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 Nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1
Kategori: Lindungi > Perlindungan Data > Enkripsi data-in-transit
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::ElastiCache::ReplicationGroup
AWS Config aturan: elasticache-repl-grp-encrypted-in-transit
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah grup ElastiCache replikasi dienkripsi dalam perjalanan. Kontrol gagal jika grup replikasi tidak dienkripsi saat transit.
Mengenkripsi data dalam perjalanan mengurangi risiko bahwa pengguna yang tidak sah dapat menguping lalu lintas jaringan. Mengaktifkan enkripsi dalam transit pada grup ElastiCache replikasi mengenkripsi data Anda setiap kali data berpindah dari satu tempat ke tempat lain, seperti antar node di cluster Anda atau antara cluster Anda dan aplikasi Anda.
Remediasi
Untuk mengonfigurasi enkripsi dalam transit pada grup ElastiCache replikasi, lihat Mengaktifkan enkripsi dalam transit di Panduan Pengguna Amazon. ElastiCache
[ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH
Persyaratan terkait: NIST.800-53.r5 AC-2 (1),, NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6, PCI DSS v4.0.1/8.3.1
Kategori: Lindungi > Manajemen akses yang aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::ElastiCache::ReplicationGroup
AWS Config aturan: elasticache-repl-grp-redis-auth-enabled
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah grup replikasi ElastiCache (Redis OSS) mengaktifkan Redis OSS AUTH. Kontrol gagal jika versi Redis OSS dari node grup replikasi di bawah 6.0 dan AuthToken tidak digunakan.
Saat Anda menggunakan token otentikasi Redis, atau kata sandi, Redis memerlukan kata sandi sebelum mengizinkan klien menjalankan perintah, yang meningkatkan keamanan data. Untuk Redis 6.0 dan versi yang lebih baru, sebaiknya gunakan Role-Based Access Control (RBAC). Karena RBAC tidak didukung untuk versi Redis lebih awal dari 6.0, kontrol ini hanya mengevaluasi versi yang tidak dapat menggunakan fitur RBAC.
Remediasi
Untuk menggunakan Redis AUTH pada grup replikasi ElastiCache (Redis OSS), lihat Memodifikasi token AUTH pada klaster ElastiCache (Redis OSS) yang ada di Panduan Pengguna Amazon. ElastiCache
[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default
Persyaratan terkait: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)
Kategori: Lindungi > Konfigurasi jaringan aman
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::ElastiCache::CacheCluster
AWS Config aturan: elasticache-subnet-group-check
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah ElastiCache cluster dikonfigurasi dengan grup subnet kustom. Kontrol gagal jika CacheSubnetGroupName untuk ElastiCache cluster memiliki nilaidefault.
Saat meluncurkan ElastiCache cluster, grup subnet default dibuat jika belum ada. Grup default menggunakan subnet dari Virtual Private Cloud (VPC) default. Sebaiknya gunakan grup subnet khusus yang lebih membatasi subnet tempat cluster berada, dan jaringan yang diwarisi cluster dari subnet.
Remediasi
Untuk membuat grup subnet baru untuk ElastiCache klaster, lihat Membuat grup subnet di ElastiCache Panduan Pengguna Amazon.
