Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol Security Hub untuk OpenSearch Layanan
Ini AWS Security Hub kontrol mengevaluasi layanan dan sumber daya OpenSearch OpenSearch Layanan Amazon (Layanan).
Kontrol ini mungkin tidak tersedia di semua Wilayah AWS Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
Persyaratan terkait: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, v3.2.1/7.2.1, (1), 3, 8, 8 (1), PCI DSS .800-53.r5 SI-7 (6) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST
Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::OpenSearch::Domain
AWS Config aturan: opensearch-encrypted-at-rest
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah OpenSearch domain memiliki encryption-at-rest konfigurasi yang diaktifkan. Pemeriksaan gagal jika enkripsi saat istirahat tidak diaktifkan.
Untuk lapisan keamanan tambahan untuk data sensitif, Anda harus mengonfigurasi domain OpenSearch Layanan Anda untuk dienkripsi saat istirahat. Saat Anda mengonfigurasi enkripsi data saat istirahat, AWS KMS menyimpan dan mengelola kunci enkripsi Anda. Untuk melakukan enkripsi, AWS KMS menggunakan algoritma Advanced Encryption Standard dengan kunci 256-bit (AES-256).
Untuk mempelajari lebih lanjut tentang enkripsi OpenSearch Layanan saat istirahat, lihat Enkripsi data saat istirahat untuk OpenSearch Layanan Amazon di Panduan Pengembang OpenSearch Layanan Amazon.
Remediasi
Untuk mengaktifkan enkripsi saat istirahat untuk OpenSearch domain baru dan yang sudah ada, lihat Mengaktifkan enkripsi data saat istirahat di Panduan Pengembang OpenSearch Layanan Amazon.
[Opensearch.2] OpenSearch domain tidak boleh diakses publik
Persyaratan terkait: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11), (16), (20) NIST.800-53.r5 AC-3, (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Kategori: Lindungi > Konfigurasi jaringan aman> Sumber daya dalam VPC
Tingkat keparahan: Kritis
Jenis sumber daya: AWS::OpenSearch::Domain
AWS Config aturan: opensearch-in-vpc-only
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah OpenSearch domain berada dalam aVPC. Itu tidak mengevaluasi konfigurasi perutean VPC subnet untuk menentukan akses publik.
Anda harus memastikan bahwa OpenSearch domain tidak dilampirkan ke subnet publik. Lihat Kebijakan berbasis sumber daya di Panduan Pengembang Layanan Amazon OpenSearch . Anda juga harus memastikan bahwa Anda VPC dikonfigurasi sesuai dengan praktik terbaik yang direkomendasikan. Lihat Praktik terbaik keamanan untuk Anda VPC di Panduan VPC Pengguna Amazon.
OpenSearch domain yang digunakan dalam VPC dapat berkomunikasi dengan VPC sumber daya melalui pribadi AWS jaringan, tanpa perlu melintasi internet publik. Konfigurasi ini meningkatkan postur keamanan dengan membatasi akses ke data dalam perjalanan. VPCsmenyediakan sejumlah kontrol jaringan untuk mengamankan akses ke OpenSearch domain, termasuk jaringan ACL dan grup keamanan. Security Hub menyarankan agar Anda memigrasikan OpenSearch domain publik VPCs untuk memanfaatkan kontrol ini.
Remediasi
Jika Anda membuat domain dengan titik akhir publik, Anda nantinya tidak dapat menempatkannya di dalam file. VPC Sebagai gantinya, Anda harus membuat domain baru dan memigrasi data Anda. Begitu juga sebaliknya. Jika Anda membuat domain dalam aVPC, itu tidak dapat memiliki titik akhir publik. Sebagai gantinya, Anda harus membuat domain lain atau menonaktifkan kontrol ini.
Untuk petunjuknya, lihat Meluncurkan domain OpenSearch Layanan Amazon Anda VPC dalam Panduan Pengembang OpenSearch Layanan Amazon.
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
Persyaratan terkait: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2)
Kategori: Lindungi > Perlindungan Data > Enkripsi data-in-transit
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::OpenSearch::Domain
AWS Config aturan: opensearch-node-to-node-encryption-check
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah OpenSearch domain telah mengaktifkan node-to-node enkripsi. Kontrol ini gagal jika node-to-node enkripsi dinonaktifkan pada domain.
HTTPS(TLS) dapat digunakan untuk membantu mencegah penyerang potensial menguping atau memanipulasi lalu lintas jaringan menggunakan atau serangan serupa. person-in-the-middle Hanya koneksi terenkripsi over HTTPS (TLS) yang diizinkan. Mengaktifkan node-to-node enkripsi untuk OpenSearch domain memastikan bahwa komunikasi intra-cluster dienkripsi dalam perjalanan.
Mungkin ada penalti kinerja yang terkait dengan konfigurasi ini. Anda harus mengetahui dan menguji trade-off kinerja sebelum mengaktifkan opsi ini.
Remediasi
Untuk mengaktifkan node-to-node enkripsi pada OpenSearch domain, lihat Mengaktifkan node-to-node enkripsi di Panduan Pengembang OpenSearch Layanan Amazon.
[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch
Persyaratan terkait: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST
Kategori: Identifikasi > Logging
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::OpenSearch::Domain
AWS Config aturan: opensearch-logs-to-cloudwatch
Jenis jadwal: Perubahan dipicu
Parameter:
logtype = 'error'(tidak dapat disesuaikan)
Kontrol ini memeriksa apakah OpenSearch domain dikonfigurasi untuk mengirim log kesalahan ke CloudWatch Log. Kontrol ini gagal jika error logging ke tidak CloudWatch diaktifkan untuk domain.
Anda harus mengaktifkan log kesalahan untuk OpenSearch domain dan mengirim log tersebut ke CloudWatch Log untuk penyimpanan dan respons. Log kesalahan domain dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan.
Remediasi
Untuk mengaktifkan penerbitan log, lihat Mengaktifkan penerbitan log (konsol) di Panduan Pengembang OpenSearch Layanan Amazon.
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
Persyaratan terkait: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST
Kategori: Identifikasi > Logging
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::OpenSearch::Domain
AWS Config aturan: opensearch-audit-logging-enabled
Jenis jadwal: Perubahan dipicu
Parameter:
cloudWatchLogsLogGroupArnList(tidak dapat disesuaikan) - Security Hub tidak mengisi parameter ini. Daftar grup CloudWatch log Log yang dipisahkan koma yang harus dikonfigurasi untuk log audit.
Aturan ini adalah NON_COMPLIANT jika grup CloudWatch log Log OpenSearch domain tidak ditentukan dalam daftar parameter ini.
Kontrol ini memeriksa apakah OpenSearch domain telah mengaktifkan pencatatan audit. Kontrol ini gagal jika OpenSearch domain tidak mengaktifkan pencatatan audit.
Log audit sangat dapat disesuaikan. Mereka memungkinkan Anda melacak aktivitas pengguna di OpenSearch klaster Anda, termasuk keberhasilan dan kegagalan otentikasi, permintaan, perubahan indeksOpenSearch, dan kueri penelusuran yang masuk.
Remediasi
Untuk petunjuk cara mengaktifkan log audit, lihat Mengaktifkan log audit di Panduan Pengembang OpenSearch Layanan Amazon.
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
Persyaratan terkait: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Kategori: Pulihkan > Ketahanan > Ketersediaan tinggi
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::OpenSearch::Domain
AWS Config aturan: opensearch-data-node-fault-tolerance
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah OpenSearch domain dikonfigurasi dengan setidaknya tiga node data dan zoneAwarenessEnabled adalahtrue. Kontrol ini gagal untuk OpenSearch domain jika instanceCount kurang dari 3 atau zoneAwarenessEnabled kurangfalse.
OpenSearch Domain membutuhkan setidaknya tiga node data untuk ketersediaan tinggi dan toleransi kesalahan. Menyebarkan OpenSearch domain dengan setidaknya tiga node data memastikan operasi cluster jika node gagal.
Remediasi
Untuk mengubah jumlah node data dalam OpenSearch domain
Masuk ke AWS konsol dan buka konsol OpenSearch Layanan Amazon di https://console.aws.amazon.com/aos/
. Di bawah Domain saya, pilih nama domain yang akan diedit, dan pilih Edit.
Di bawah Data node mengatur Jumlah node ke angka yang lebih besar dari
3. Jika Anda menerapkan ke tiga Availability Zone, setel nomor ke kelipatan tiga untuk memastikan distribusi yang sama di seluruh Availability Zone.Pilih Kirim.
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
Persyaratan terkait: NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
Kategori: Lindungi > Manajemen Akses Aman > API Tindakan sensitif dibatasi
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::OpenSearch::Domain
AWS Config aturan: opensearch-access-control-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah OpenSearch domain memiliki kontrol akses berbutir halus yang diaktifkan. Kontrol gagal jika kontrol akses berbutir halus tidak diaktifkan. Kontrol akses berbutir halus membutuhkan OpenSearch parameter advanced-security-options yang akan diaktifkanupdate-domain-config.
Kontrol akses berbutir halus menawarkan cara tambahan untuk mengontrol akses ke data Anda di Layanan Amazon. OpenSearch
Remediasi
Untuk mengaktifkan kontrol akses berbutir halus, lihat Kontrol akses berbutir halus di OpenSearch Layanan Amazon di Panduan Pengembang Layanan Amazon. OpenSearch
[Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan terbaru TLS
Persyaratan terkait: NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), NIST .800-53.r5 SI-7 (6)
Kategori: Lindungi > Perlindungan Data > Enkripsi data-in-transit
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::OpenSearch::Domain
AWS Config aturan: opensearch-https-required
Jenis jadwal: Perubahan dipicu
Parameter:
tlsPolicies: Policy-Min-TLS-1-2-PFS-2023-10(tidak dapat disesuaikan)
Kontrol ini memeriksa apakah titik akhir domain OpenSearch Layanan Amazon dikonfigurasi untuk menggunakan kebijakan TLS keamanan terbaru. Kontrol gagal jika titik akhir OpenSearch domain tidak dikonfigurasi untuk menggunakan kebijakan terbaru yang didukung atau jika HTTPs tidak diaktifkan.
HTTPS(TLS) dapat digunakan untuk membantu mencegah penyerang potensial menggunakan person-in-the-middle atau serangan serupa untuk menguping atau memanipulasi lalu lintas jaringan. Hanya koneksi terenkripsi over HTTPS (TLS) yang diizinkan. Mengenkripsi data dalam perjalanan dapat memengaruhi kinerja. Anda harus menguji aplikasi Anda dengan fitur ini untuk memahami profil kinerja dan dampaknyaTLS. TLS1.2 menyediakan beberapa peningkatan keamanan dibandingkan versi sebelumnya. TLS
Remediasi
Untuk mengaktifkan TLS enkripsi, gunakan UpdateDomainConfigAPIoperasi. Konfigurasikan DomainEndpointOptionsbidang untuk menentukan nilai untukTLSSecurityPolicy. Untuk informasi selengkapnya, lihat ode-to-node enkripsi N di Panduan Pengembang OpenSearch Layanan Amazon.
[Opensearch.9] domain harus ditandai OpenSearch
Kategori: Identifikasi > Inventaris > Penandaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::OpenSearch::Domain
AWS Config aturan: tagged-opensearch-domain (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList | Daftar tag yang memenuhi AWS persyaratan |
No default value
|
Kontrol ini memeriksa apakah domain OpenSearch Layanan Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika domain tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika domain tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat ABAC Untuk apa AWS? dalam IAMUser Guide.
catatan
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya di Referensi Umum AWS.
Remediasi
Untuk menambahkan tag ke domain OpenSearch Layanan, lihat Bekerja dengan tag di Panduan Pengembang OpenSearch Layanan Amazon.
[Opensearch.10] OpenSearch domain harus memiliki pembaruan perangkat lunak terbaru yang diinstal
Persyaratan terkait: NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), .800-53.r5 SI-2 (5) NIST NIST
Kategori: Identifikasi > Kerentanan, tambalan, dan manajemen versi
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::OpenSearch::Domain
AWS Config aturan: opensearch-update-check
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah domain OpenSearch Layanan Amazon memiliki pembaruan perangkat lunak terbaru yang diinstal. Kontrol gagal jika pembaruan perangkat lunak tersedia tetapi tidak diinstal untuk domain.
OpenSearch Pembaruan perangkat lunak layanan menyediakan perbaikan, pembaruan, dan fitur platform terbaru yang tersedia untuk lingkungan. Menjaga up-to-date instalasi patch membantu menjaga keamanan dan ketersediaan domain. Jika tidak ada tindakan yang diambil pada pembaruan yang diperlukan, perangkat lunak layanan diperbarui secara otomatis (biasanya setelah 2 minggu). Kami merekomendasikan penjadwalan pembaruan selama waktu lalu lintas rendah ke domain untuk meminimalkan gangguan layanan.
Remediasi
Untuk menginstal pembaruan perangkat lunak untuk OpenSearch domain, lihat Memulai pembaruan di Panduan Pengembang OpenSearch Layanan Amazon.
[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus
Persyaratan terkait: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 6, NIST .800-53.r5 SI-13
Kategori: Pulihkan > Ketahanan > Ketersediaan tinggi
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::OpenSearch::Domain
AWS Config aturan: opensearch-primary-node-fault-tolerance
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah domain OpenSearch Layanan Amazon dikonfigurasi dengan setidaknya tiga node utama khusus. Kontrol gagal jika domain memiliki kurang dari tiga node utama khusus.
OpenSearch Layanan menggunakan node primer khusus untuk meningkatkan stabilitas cluster. Node utama khusus melakukan tugas manajemen klaster, tetapi tidak menyimpan data atau menanggapi permintaan unggahan data. Kami menyarankan Anda menggunakan Multi-AZ dengan standby, yang menambahkan tiga node utama khusus untuk setiap domain produksi OpenSearch .
Remediasi
Untuk mengubah jumlah node utama untuk OpenSearch domain, lihat Membuat dan mengelola domain OpenSearch Layanan Amazon di Panduan Pengembang OpenSearch Layanan Amazon.
