Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Security Hub CSPM untuk Elasticsearch
AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Elasticsearch.
Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).
## [ES.1] Domain Elasticsearch harus mengaktifkan enkripsi saat istirahat
**Persyaratan terkait:** PCI DSS v3.2.1/3.4, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (6)
**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::Elasticsearch::Domain`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html)**
**Jenis jadwal:** Periodik
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah domain Elasticsearch memiliki enkripsi saat konfigurasi istirahat diaktifkan. Pemeriksaan gagal jika enkripsi saat istirahat tidak diaktifkan.
Untuk lapisan keamanan tambahan untuk data sensitif Anda OpenSearch, Anda harus mengonfigurasi Anda OpenSearch untuk dienkripsi saat istirahat. Domain Elasticsearch menawarkan enkripsi data saat istirahat. Fitur ini digunakan AWS KMS untuk menyimpan dan mengelola kunci enkripsi Anda. Untuk melakukan enkripsi, ia menggunakan algoritma Advanced Encryption Standard dengan kunci 256-bit (AES-256).
Untuk mempelajari lebih lanjut tentang OpenSearch enkripsi saat istirahat, lihat [Enkripsi data saat istirahat untuk OpenSearch Layanan Amazon](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html) di *Panduan Pengembang OpenSearch Layanan Amazon*.
Jenis instance tertentu, seperti `t.small` dan`t.medium`, tidak mendukung enkripsi data saat istirahat. Untuk detailnya, lihat [Jenis instans yang didukung](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/supported-instance-types.html) di *Panduan Pengembang OpenSearch Layanan Amazon*.
### Remediasi
Untuk mengaktifkan enkripsi saat istirahat untuk domain Elasticsearch baru dan yang sudah ada, lihat [Mengaktifkan enkripsi data saat istirahat di Panduan Pengembang](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear) Layanan *Amazon OpenSearch *.
## [ES.2] Domain Elasticsearch tidak boleh diakses publik
**Persyaratan terkait:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11), (16), (20), (21), (3), (4), (9) NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Kategori:** Lindungi > Konfigurasi jaringan aman> Sumber daya dalam VPC
**Tingkat keparahan:** Kritis
**Jenis sumber daya:** `AWS::Elasticsearch::Domain`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html)**
**Jenis jadwal:** Periodik
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah domain Elasticsearch ada di VPC. Itu tidak mengevaluasi konfigurasi perutean subnet VPC untuk menentukan akses publik. Anda harus memastikan bahwa domain Elasticsearch tidak dilampirkan ke subnet publik. Lihat [Kebijakan berbasis sumber daya di Panduan Pengembang](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource) Layanan *Amazon OpenSearch *. Anda juga harus memastikan bahwa VPC Anda dikonfigurasi sesuai dengan praktik terbaik yang disarankan. Lihat [Praktik terbaik keamanan untuk VPC Anda](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html) di Panduan Pengguna Amazon *VPC*.
Domain Elasticsearch yang digunakan dalam VPC dapat berkomunikasi dengan sumber daya VPC melalui jaringan AWS pribadi, tanpa perlu melintasi internet publik. Konfigurasi ini meningkatkan postur keamanan dengan membatasi akses ke data dalam perjalanan. VPCs menyediakan sejumlah kontrol jaringan untuk mengamankan akses ke domain Elasticsearch, termasuk ACL jaringan dan grup keamanan. Security Hub CSPM merekomendasikan agar Anda memigrasikan domain Elasticsearch publik VPCs untuk memanfaatkan kontrol ini.
### Remediasi
Jika Anda membuat domain dengan titik akhir publik, Anda tidak dapat menempatkannya di dalam VPC nanti. Sebagai gantinya, Anda harus membuat domain baru dan memigrasi data Anda. Begitu juga sebaliknya. Jika Anda membuat domain dalam VPC, domain tersebut tidak dapat memiliki titik akhir publik. Sebagai gantinya, Anda harus [membuat domain lain](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) atau menonaktifkan kontrol ini.
Lihat [Meluncurkan domain OpenSearch Layanan Amazon Anda dalam VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html) di Panduan Pengembang *Layanan OpenSearch Amazon*.
## [ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node
**Persyaratan terkait:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, 3 ( NIST.800-53.r5 SC-23), (4),, NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1
**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::Elasticsearch::Domain`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah domain Elasticsearch telah mengaktifkan node-to-node enkripsi. Kontrol gagal jika domain Elasticsearch tidak mengaktifkan node-to-node enkripsi. Kontrol juga menghasilkan temuan yang gagal jika versi Elasticsearch tidak mendukung pemeriksaan node-to-node enkripsi.
HTTPS (TLS) dapat digunakan untuk membantu mencegah penyerang potensial menguping atau memanipulasi lalu lintas jaringan menggunakan atau serangan serupa. person-in-the-middle Hanya koneksi terenkripsi melalui HTTPS (TLS) yang diizinkan. Mengaktifkan node-to-node enkripsi untuk domain Elasticsearch memastikan bahwa komunikasi intra-cluster dienkripsi dalam perjalanan.
Mungkin ada penalti kinerja yang terkait dengan konfigurasi ini. Anda harus mengetahui dan menguji trade-off kinerja sebelum mengaktifkan opsi ini.
### Remediasi
Untuk informasi tentang mengaktifkan node-to-node enkripsi pada domain baru dan yang sudah ada, lihat [Mengaktifkan node-to-node enkripsi di Panduan](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn) Pengembang * OpenSearch Layanan Amazon*.
## [ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan
**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)
**Kategori:** Identifikasi - Logging
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::Elasticsearch::Domain`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
+ `logtype = 'error'`(tidak dapat disesuaikan)
Kontrol ini memeriksa apakah domain Elasticsearch dikonfigurasi untuk mengirim log kesalahan ke Log. CloudWatch
Anda harus mengaktifkan log kesalahan untuk domain Elasticsearch dan mengirim log tersebut ke CloudWatch Log untuk penyimpanan dan respons. Log kesalahan domain dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan.
### Remediasi
Untuk informasi tentang cara mengaktifkan penerbitan log, lihat [Mengaktifkan penerbitan log (konsol)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console) di *Panduan Pengembang OpenSearch Layanan Amazon*.
## [ES.5] Domain Elasticsearch harus mengaktifkan pencatatan audit
**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.R5 SI-4 (20), Nist.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Kategori:** Identifikasi > Logging
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::Elasticsearch::Domain`
**AWS Config aturan:** `elasticsearch-audit-logging-enabled` (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
+ `cloudWatchLogsLogGroupArnList`(tidak dapat disesuaikan). Security Hub CSPM tidak mengisi parameter ini. Daftar grup CloudWatch log Log yang dipisahkan koma yang harus dikonfigurasi untuk log audit.
Aturan ini adalah `NON_COMPLIANT` jika grup CloudWatch log Log dari domain Elasticsearch tidak ditentukan dalam daftar parameter ini.
Kontrol ini memeriksa apakah domain Elasticsearch mengaktifkan pencatatan audit. Kontrol ini gagal jika domain Elasticsearch tidak mengaktifkan pencatatan audit.
Log audit sangat dapat disesuaikan. Mereka memungkinkan Anda melacak aktivitas pengguna di cluster Elasticsearch Anda, termasuk keberhasilan dan kegagalan otentikasi, permintaan, perubahan indeks OpenSearch, dan kueri penelusuran yang masuk.
### Remediasi
Untuk petunjuk mendetail tentang mengaktifkan log audit, lihat [Mengaktifkan log audit di Panduan](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) *Pengembang OpenSearch Layanan Amazon*.
## [ES.6] Domain Elasticsearch harus memiliki setidaknya tiga node data
**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::Elasticsearch::Domain`
**AWS Config aturan:** `elasticsearch-data-node-fault-tolerance` (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah domain Elasticsearch dikonfigurasi dengan setidaknya tiga node data dan is. `zoneAwarenessEnabled` `true`
Domain Elasticsearch membutuhkan setidaknya tiga node data untuk ketersediaan tinggi dan toleransi kesalahan. Menerapkan domain Elasticsearch dengan setidaknya tiga node data memastikan operasi cluster jika node gagal.
### Remediasi
**Untuk mengubah jumlah node data dalam domain Elasticsearch**
1. Buka konsol OpenSearch Layanan Amazon di [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. Di bawah **Domain**, pilih nama domain yang ingin Anda edit.
1. Pilih **Edit domain**.
1. Di bawah **Node data**, atur **Jumlah node** ke angka yang lebih besar dari atau sama dengan`3`.
Untuk tiga penerapan Availability Zone, atur ke kelipatan tiga untuk memastikan distribusi yang sama di seluruh Availability Zone.
1. Pilih **Kirim**.
## [ES.7] Domain Elasticsearch harus dikonfigurasi dengan setidaknya tiga node master khusus
**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::Elasticsearch::Domain`
**AWS Config aturan:** `elasticsearch-primary-node-fault-tolerance` (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah domain Elasticsearch dikonfigurasi dengan setidaknya tiga node primer khusus. Kontrol ini gagal jika domain tidak menggunakan node primer khusus. Kontrol ini lolos jika domain Elasticsearch memiliki lima node primer khusus. Namun, menggunakan lebih dari tiga node primer mungkin tidak diperlukan untuk mengurangi risiko ketersediaan, dan akan menghasilkan biaya tambahan.
Domain Elasticsearch membutuhkan setidaknya tiga node primer khusus untuk ketersediaan tinggi dan toleransi kesalahan. Sumber daya node primer khusus dapat tegang selama blue/green penyebaran node data karena ada node tambahan untuk dikelola. Menerapkan domain Elasticsearch dengan setidaknya tiga node primer khusus memastikan kapasitas sumber daya node primer dan operasi cluster yang memadai jika sebuah node gagal.
### Remediasi
**Untuk memodifikasi jumlah node utama khusus dalam OpenSearch domain**
1. Buka konsol OpenSearch Layanan Amazon di [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. Di bawah **Domain**, pilih nama domain yang ingin Anda edit.
1. Pilih **Edit domain**.
1. Di bawah **Node master khusus**, setel **tipe Instance ke tipe** instans yang diinginkan.
1. Mengatur **Jumlah node master** sama dengan tiga atau lebih besar.
1. Pilih **Kirim**.
## [ES.8] Koneksi ke domain Elasticsearch harus dienkripsi menggunakan kebijakan keamanan TLS terbaru
**Persyaratan terkait:** NIST.800-53.r5 AC-1 7 (2),, NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 Nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1
**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::Elasticsearch::Domain`
**AWS Config aturan:** `elasticsearch-https-required` (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah titik akhir domain Elasticsearch dikonfigurasi untuk menggunakan kebijakan keamanan TLS terbaru. Kontrol gagal jika titik akhir domain Elasticsearch tidak dikonfigurasi untuk menggunakan kebijakan terbaru yang didukung atau jika HTTPs tidak diaktifkan. Kebijakan keamanan TLS terbaru yang didukung saat ini adalah`Policy-Min-TLS-1-2-PFS-2023-10`.
HTTPS (TLS) dapat digunakan untuk membantu mencegah penyerang potensial menggunakan person-in-the-middle atau serangan serupa untuk menguping atau memanipulasi lalu lintas jaringan. Hanya koneksi terenkripsi melalui HTTPS (TLS) yang diizinkan. Mengenkripsi data dalam perjalanan dapat memengaruhi kinerja. Anda harus menguji aplikasi Anda dengan fitur ini untuk memahami profil kinerja dan dampak TLS. TLS 1.2 menyediakan beberapa peningkatan keamanan dibandingkan versi TLS sebelumnya.
### Remediasi
Untuk mengaktifkan enkripsi TLS, gunakan operasi [https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html)API untuk mengkonfigurasi [https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html)objek. Ini menetapkan`TLSSecurityPolicy`.
## [ES.9] Domain Elasticsearch harus diberi tag
**Kategori:** Identifikasi > Inventaris > Penandaan
**Tingkat keparahan:** Rendah
**Jenis sumber daya:** `AWS::Elasticsearch::Domain`
**AWS Config aturan:** `tagged-elasticsearch-domain` (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Kontrol ini memeriksa apakah domain Elasticsearch memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika domain tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika domain tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.
**catatan**
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*
### Remediasi
Untuk menambahkan tag ke domain Elasticsearch, lihat [Bekerja dengan tag di Panduan](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console) *Pengembang OpenSearch Layanan Amazon*.