Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kontrol CSPM Security Hub untuk ElastiCache
AWS Security Hub CSPM Kontrol ini mengevaluasi ElastiCache layanan dan sumber daya Amazon. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).
## [ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis
**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)
**Kategori:** Pulih> Ketahanan > Cadangan diaktifkan
**Tingkat keparahan:** Tinggi
**Jenis sumber daya:**`AWS::ElastiCache::CacheCluster`, `AWS:ElastiCache:ReplicationGroup`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html)**
**Jenis jadwal:** Periodik
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| `snapshotRetentionPeriod` | Periode retensi snapshot minimum dalam beberapa hari | Bilangan Bulat | `1` untuk `35` | `1` |
Kontrol ini mengevaluasi apakah klaster Amazon ElastiCache (Redis OSS) mengaktifkan pencadangan otomatis. Kontrol gagal jika `SnapshotRetentionLimit` untuk cluster Redis OSS kurang dari periode waktu yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode retensi snapshot, Security Hub CSPM menggunakan nilai default 1 hari.
ElastiCache (Redis OSS) cluster dapat mencadangkan data mereka. Anda dapat menggunakan backup untuk memulihkan klaster atau menyemai klaster baru. Cadangan terdiri dari metadata cluster, bersama dengan semua data di cluster. Semua cadangan ditulis ke Amazon S3, yang menyediakan penyimpanan tahan lama. Anda dapat memulihkan data Anda dengan membuat ElastiCache cluster baru dan mengisinya dengan data dari cadangan. Anda dapat mengelola backup menggunakan Konsol Manajemen AWS, the AWS CLI, dan API. ElastiCache
**catatan**
Kontrol ini juga mengevaluasi kelompok replikasi ElastiCache (Redis OSS dan Valkey).
### Remediasi
*Untuk informasi tentang penjadwalan pencadangan otomatis untuk ElastiCache klaster, lihat [Menjadwalkan pencadangan otomatis](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups-automatic.html) di Panduan Pengguna Amazon. ElastiCache *
## [ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis
**Persyaratan terkait:** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), Nist.800-53.R5 SI-2 (5) PCI DSS v4.0.1/6.3.3
**Kategori:** Identifikasi > Kerentanan, tambalan, dan manajemen versi
**Tingkat keparahan:** Tinggi
**Jenis sumber daya:** `AWS::ElastiCache::CacheCluster`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html)**
**Jenis jadwal:** Periodik
**Parameter:** Tidak ada
Kontrol ini mengevaluasi apakah Amazon ElastiCache secara otomatis menerapkan upgrade versi minor ke cluster cache. Kontrol gagal jika cluster cache tidak memiliki upgrade versi minor secara otomatis diterapkan.
**catatan**
Kontrol ini tidak berlaku untuk cluster ElastiCache Memcached.
Upgrade versi minor otomatis adalah fitur yang dapat Anda aktifkan di Amazon ElastiCache untuk secara otomatis meningkatkan cluster cache Anda ketika versi mesin cache minor baru tersedia. Upgrade ini mungkin termasuk patch keamanan dan perbaikan bug. Tetap up-to-date dengan instalasi patch adalah langkah penting dalam mengamankan sistem.
### Remediasi
Untuk secara otomatis menerapkan upgrade versi minor ke cluster ElastiCache cache yang ada, lihat [Pengelolaan versi untuk ElastiCache](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VersionManagement.html) di *Panduan ElastiCache Pengguna Amazon*.
## [ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis
**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::ElastiCache::ReplicationGroup`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html)**
**Jenis jadwal:** Periodik
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah grup ElastiCache replikasi mengaktifkan failover otomatis. Kontrol gagal jika failover otomatis tidak diaktifkan untuk grup replikasi.
Ketika failover otomatis diaktifkan untuk grup replikasi, peran node utama akan secara otomatis gagal ke salah satu replika baca. Promosi failover dan replika ini memastikan bahwa Anda dapat melanjutkan penulisan ke primer baru setelah promosi selesai, yang mengurangi waktu henti secara keseluruhan jika terjadi kegagalan.
### Remediasi
Untuk mengaktifkan failover otomatis untuk grup ElastiCache replikasi yang ada, lihat [Memodifikasi ElastiCache klaster di Panduan](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/Clusters.Modify.html#Clusters.Modify.CON) Pengguna *Amazon ElastiCache *. Jika Anda menggunakan ElastiCache konsol, setel **Auto failover** ke diaktifkan.
## [ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat
**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::ElastiCache::ReplicationGroup`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html)**
**Jenis jadwal:** Periodik
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah grup ElastiCache replikasi dienkripsi saat istirahat. Kontrol gagal jika grup replikasi tidak dienkripsi saat istirahat.
Mengenkripsi data saat istirahat mengurangi risiko bahwa pengguna yang tidak diautentikasi mendapatkan akses ke data yang disimpan pada disk. ElastiCache (Redis OSS) grup replikasi harus dienkripsi saat istirahat untuk lapisan keamanan tambahan.
### Remediasi
*Untuk mengonfigurasi enkripsi saat istirahat pada grup ElastiCache replikasi, lihat [Mengaktifkan enkripsi saat istirahat di Panduan Pengguna](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/at-rest-encryption.html#at-rest-encryption-enable) Amazon. ElastiCache *
## [ElastiCache.5] grup ElastiCache replikasi harus dienkripsi saat transit
**Persyaratan terkait:** NIST.800-53.r5 AC-1 7 (2),, NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 Nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1
**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::ElastiCache::ReplicationGroup`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html)**
**Jenis jadwal:** Periodik
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah grup ElastiCache replikasi dienkripsi dalam perjalanan. Kontrol gagal jika grup replikasi tidak dienkripsi saat transit.
Mengenkripsi data dalam perjalanan mengurangi risiko bahwa pengguna yang tidak sah dapat menguping lalu lintas jaringan. Mengaktifkan enkripsi dalam transit pada grup ElastiCache replikasi mengenkripsi data Anda setiap kali data berpindah dari satu tempat ke tempat lain, seperti antar node di cluster Anda atau antara cluster Anda dan aplikasi Anda.
### Remediasi
*Untuk mengonfigurasi enkripsi dalam transit pada grup ElastiCache replikasi, lihat [Mengaktifkan enkripsi dalam transit di Panduan Pengguna](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/in-transit-encryption.html) Amazon. ElastiCache *
## [ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH
**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1),, NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6, PCI DSS v4.0.1/8.3.1
**Kategori:** Lindungi > Manajemen akses yang aman
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::ElastiCache::ReplicationGroup`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html)**
**Jenis jadwal:** Periodik
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah grup replikasi ElastiCache (Redis OSS) mengaktifkan Redis OSS AUTH. Kontrol gagal jika versi Redis OSS dari node grup replikasi di bawah 6.0 dan `AuthToken` tidak digunakan.
Saat Anda menggunakan token otentikasi Redis, atau kata sandi, Redis memerlukan kata sandi sebelum mengizinkan klien menjalankan perintah, yang meningkatkan keamanan data. Untuk Redis 6.0 dan versi yang lebih baru, sebaiknya gunakan Role-Based Access Control (RBAC). Karena RBAC tidak didukung untuk versi Redis lebih awal dari 6.0, kontrol ini hanya mengevaluasi versi yang tidak dapat menggunakan fitur RBAC.
### Remediasi
*Untuk menggunakan Redis AUTH pada grup replikasi ElastiCache (Redis OSS), lihat [Memodifikasi token AUTH pada klaster ElastiCache (Redis OSS) yang ada](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/auth.html#auth-modifyng-token) di Panduan Pengguna Amazon. ElastiCache *
## [ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default
**Persyaratan terkait:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)
**Kategori:** Lindungi > Konfigurasi jaringan aman
**Tingkat keparahan:** Tinggi
**Jenis sumber daya:** `AWS::ElastiCache::CacheCluster`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html)**
**Jenis jadwal:** Periodik
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah ElastiCache cluster dikonfigurasi dengan grup subnet kustom. Kontrol gagal jika `CacheSubnetGroupName` untuk ElastiCache cluster memiliki nilai`default`.
Saat meluncurkan ElastiCache cluster, grup subnet default dibuat jika belum ada. Grup default menggunakan subnet dari Virtual Private Cloud (VPC) default. Sebaiknya gunakan grup subnet khusus yang lebih membatasi subnet tempat cluster berada, dan jaringan yang diwarisi cluster dari subnet.
### Remediasi
Untuk membuat grup subnet baru untuk ElastiCache klaster, lihat [Membuat grup subnet](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SubnetGroups.Creating.html) di * ElastiCache Panduan Pengguna Amazon*.