Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol Security Hub untuk Amazon EMR
Ini AWS Security Hub kontrol mengevaluasi layanan dan sumber daya Amazon EMR (sebelumnya disebut Amazon Elastic MapReduce).
Kontrol ini mungkin tidak tersedia di semua Wilayah AWS Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[EMR.1] Node primer EMR cluster Amazon seharusnya tidak memiliki alamat IP publik
Persyaratan terkait: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11), (16), (20) NIST.800-53.r5 AC-3, (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Kategori: Lindungi > Konfigurasi jaringan aman
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::EMR::Cluster
AWS Config aturan: emr-master-no-public-ip
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah node master di EMR cluster Amazon memiliki alamat IP publik. Kontrol gagal jika alamat IP publik dikaitkan dengan salah satu instance node master.
Alamat IP publik ditunjuk di PublicIp bidang NetworkInterfaces konfigurasi untuk instance. Kontrol ini hanya memeriksa EMR klaster Amazon yang berada dalam WAITING status RUNNING atau.
Remediasi
Selama peluncuran, Anda dapat mengontrol apakah instance Anda di subnet default atau nondefault diberi alamat publikIPv4. Secara default, subnet default memiliki atribut ini disetel ketrue. Subnet nondefault memiliki atribut pengalamatan IPv4 publik yang disetel kefalse, kecuali jika dibuat oleh wizard instance EC2 peluncuran Amazon. Dalam hal ini, atribut diatur ketrue.
Setelah diluncurkan, Anda tidak dapat secara manual memisahkan IPv4 alamat publik dari instans Anda.
Untuk memulihkan temuan yang gagal, Anda harus meluncurkan cluster baru di subnet pribadi VPC dengan atribut pengalamatan IPv4 publik yang disetel ke. false Untuk petunjuknya, lihat Meluncurkan cluster ke VPC dalam Panduan EMR Manajemen Amazon.
[EMR.2] Pengaturan akses publik EMR blok Amazon harus diaktifkan
Persyaratan terkait: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Kategori: Lindungi > Manajemen akses aman > Sumber daya tidak dapat diakses publik
Tingkat keparahan: Kritis
Jenis sumber daya: AWS::::Account
AWS Config aturan: emr-block-public-access
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah akun Anda dikonfigurasi dengan Amazon EMR memblokir akses publik. Kontrol gagal jika pengaturan blokir akses publik tidak diaktifkan atau jika port apa pun selain port 22 diizinkan.
Amazon EMR memblokir akses publik mencegah Anda meluncurkan cluster di subnet publik jika cluster memiliki konfigurasi keamanan yang memungkinkan lalu lintas masuk dari alamat IP publik pada port. Ketika pengguna dari Anda Akun AWS meluncurkan cluster, Amazon EMR memeriksa aturan port di grup keamanan untuk cluster dan membandingkannya dengan peraturan lalu lintas masuk Anda. Jika grup keamanan memiliki aturan masuk yang membuka port ke alamat IP publik IPv4 0.0.0.0/0 atauIPv6:: /0, dan port tersebut tidak ditentukan sebagai pengecualian untuk akun Anda, EMR Amazon tidak mengizinkan pengguna membuat klaster.
catatan
Blokir akses publik diaktifkan secara default. Untuk meningkatkan perlindungan akun, kami sarankan Anda tetap mengaktifkannya.
Remediasi
Untuk mengonfigurasi blokir akses publik untuk AmazonEMR, lihat Menggunakan Amazon EMR memblokir akses publik di Panduan EMR Manajemen Amazon.
