SEC1: Quali misure state adottando per controllare l'accesso autorizzato ai dati? ElastiCache SEC2: Le vostre applicazioni richiedono un'autorizzazione aggiuntiva ElastiCache rispetto ai controlli basati sulla rete? SEC3: Esiste il rischio che i comandi possano essere eseguiti inavvertitamente, causando la perdita o il fallimento dei dati? SEC4: Come si garantisce la crittografia dei dati inattivi con ElastiCache SEC5: Come si crittografano i dati in transito? ElastiCache SEC6: Come si limita l'accesso alle risorse del piano di controllo? SEC7: Come rilevi e rispondi agli eventi di sicurezza?

Pilastro della sicurezza delle ElastiCache lenti Amazon Well-Architected

Il pilastro della sicurezza si concentra sulla protezione delle informazioni e dei sistemi. Gli argomenti chiave includono la riservatezza e l'integrità dei dati, l'identificazione e la gestione di chi può fare cosa mediante la gestione basata su privilegi, la protezione dei sistemi e l'istituzione di controlli per rilevare gli eventi di sicurezza.

Argomenti

SEC1: Quali misure state adottando per controllare l'accesso autorizzato ai dati? ElastiCache
SEC2: Le vostre applicazioni richiedono un'autorizzazione aggiuntiva ElastiCache rispetto ai controlli basati sulla rete?
SEC3: Esiste il rischio che i comandi possano essere eseguiti inavvertitamente, causando la perdita o il fallimento dei dati?
SEC4: Come si garantisce la crittografia dei dati inattivi con ElastiCache
SEC5: Come si crittografano i dati in transito? ElastiCache
SEC6: Come si limita l'accesso alle risorse del piano di controllo?
SEC7: Come rilevi e rispondi agli eventi di sicurezza?

SEC1: Quali misure state adottando per controllare l'accesso autorizzato ai dati? ElastiCache

Introduzione a livello di domanda: tutti i ElastiCache cluster sono progettati per essere accessibili da istanze di Amazon Elastic Compute Cloud in funzioni serverless () o contenitori (AWS Lambda Amazon Elastic Container Service). VPC Lo scenario più comune consiste nell'accedere a un ElastiCache cluster da un'istanza Amazon Elastic Compute Cloud all'interno dello stesso Amazon Virtual Private Cloud (Amazon Virtual Private Cloud). Prima di poterti connettere a un cluster da un'EC2istanza Amazon, devi autorizzare l'EC2istanza Amazon ad accedere al cluster. Per accedere a un ElastiCache cluster in esecuzione in aVPC, è necessario concedere l'accesso alla rete al cluster.

Vantaggio a livello di domanda: l'ingresso della rete nel cluster è controllato tramite gruppi di sicurezza. VPC Un gruppo di sicurezza funge da firewall virtuale per le tue EC2 istanze Amazon per controllare il traffico in entrata e in uscita. Le regole in entrata controllano il traffico in entrata verso l'istanza e le regole in uscita controllano il traffico in uscita dall'istanza. Nel caso di ElastiCache, quando si avvia un cluster, è necessario associare un gruppo di sicurezza. In tal modo si garantisce che le regole del traffico in entrata e in uscita siano in atto per tutti i nodi che costituiscono il cluster. Inoltre, ElastiCache è configurato per l'implementazione esclusivamente su sottoreti private in modo che siano accessibili solo tramite la rete privata della rete. VPC

[Obbligatorio] Il gruppo di sicurezza associato al cluster controlla l'ingresso e l'accesso della rete al cluster. Per impostazione predefinita, un gruppo di sicurezza non avrà alcuna regola in entrata definita e, quindi, nessun percorso di ingresso. ElastiCache Per abilitare questa funzionalità, configura una regola in entrata sul gruppo di sicurezza specificando l'indirizzo/intervallo IP di origine, TCP digita il traffico e la porta per il ElastiCache cluster (ad esempio la porta predefinita 6379 per (Redis)). ElastiCache OSS Sebbene sia possibile consentire un set molto ampio di fonti di ingresso, come tutte le risorse all'interno di un VPC (0.0.0.0/0), si consiglia di essere il più granulari possibile nella definizione delle regole in entrata, ad esempio autorizzando solo l'accesso in entrata ai client Valkey o Redis in OSS esecuzione su istanze Amazon Amazon associate a un gruppo di sicurezza specifico. EC2

[Risorse]:
[Obbligatorio]AWS Identity and Access Management è possibile assegnare politiche a funzioni che consentono loro di accedere ai dati. AWS Lambda ElastiCache Per abilitare questa funzionalità, crea un ruolo di IAM esecuzione con l'AWSLambdaVPCAccessExecutionRoleautorizzazione, quindi assegna il ruolo alla AWS Lambda funzione.

[Risorse]: Configurazione di una funzione Lambda per accedere ad Amazon in ElastiCache VPC Amazon: Tutorial: Configurazione di una funzione Lambda per accedere ad ElastiCache Amazon in Amazon VPC

SEC2: Le vostre applicazioni richiedono un'autorizzazione aggiuntiva ElastiCache rispetto ai controlli basati sulla rete?

Introduzione a livello di domanda: negli scenari in cui è necessario limitare o controllare l'accesso ai cluster ElastiCache (RedisOSS) a livello di singolo client, si consiglia di effettuare l'autenticazione tramite il comando (Redis). ElastiCache OSS AUTH ElastiCache I token di autenticazione (RedisOSS), con gestione opzionale di utenti e gruppi di utenti, consentono a ElastiCache (RedisOSS) di richiedere una password prima di consentire ai client di eseguire comandi e chiavi di accesso, migliorando così la sicurezza del piano dati.

Vantaggio a livello di domanda: per contribuire a proteggere i dati, ElastiCache (RedisOSS) fornisce meccanismi di protezione contro l'accesso non autorizzato ai dati. Ciò include l'applicazione del Role-Based Access Control (RBAC) AUTH o del AUTH token (password) a cui i client devono connettersi prima di eseguire comandi autorizzati. ElastiCache

[Ideale] Per ElastiCache (RedisOSS) 6.x e versioni successive, definisci i controlli di autenticazione e autorizzazione definendo gruppi di utenti, utenti e stringhe di accesso. Assegna gli utenti ai gruppi di utenti, quindi assegna i gruppi di utenti ai cluster. Per utilizzarloRBAC, deve essere selezionato al momento della creazione del cluster e la crittografia in transito deve essere abilitata. Assicurati di utilizzare un OSS client Valkey o Redis che supporti TLS per poterlo sfruttare. RBAC

[Risorse]:
[Ideale] Per le versioni ElastiCache (RedisOSS) precedenti alla 6.x, oltre a impostare token/password complessi e mantenere una politica rigorosa in materia di password per ElastiCache (RedisOSS)AUTH, è consigliabile ruotare la password/il token. ElastiCache può gestire fino a due (2) token di autenticazione in un dato momento. Puoi anche modificare il cluster per richiedere esplicitamente l'uso di token di autenticazione.

[Risorse]: modifica del AUTH token su un cluster esistente ElastiCache (RedisOSS)

SEC3: Esiste il rischio che i comandi possano essere eseguiti inavvertitamente, causando la perdita o il fallimento dei dati?

Introduzione a livello di domanda: Esistono diversi OSS comandi Valkey o Redis che possono avere un impatto negativo sulle operazioni se eseguiti per errore o da attori malintenzionati. Questi comandi possono avere conseguenze impreviste dal punto di vista delle prestazioni e della sicurezza dei dati. Ad esempio, uno sviluppatore può richiamare regolarmente il FLUSHALL comando in un ambiente di sviluppo e, a causa di un errore, può tentare inavvertitamente di richiamare questo comando su un sistema di produzione, con conseguente perdita accidentale di dati.

Vantaggio a livello di domanda: a partire da ElastiCache (RedisOSS) 5.0.3, è possibile rinominare determinati comandi che potrebbero compromettere il carico di lavoro. La ridenominazione dei comandi può aiutare a evitare che vengano eseguiti inavvertitamente sul cluster.

[Obbligatorio]

[Risorse]:

SEC4: Come si garantisce la crittografia dei dati inattivi con ElastiCache

Introduzione a livello di domanda: sebbene ElastiCache (RedisOSS) sia un archivio dati in memoria, è possibile crittografare qualsiasi dato che possa essere reso persistente (in archiviazione) come parte delle operazioni standard del cluster. Ad esempio i backup pianificati e manuali scritti su Amazon S3, nonché i dati salvati nello spazio di archiviazione su disco a seguito di operazioni di sincronizzazione e scambio. I tipi di istanza delle famiglie M6g e R6g offrono anche la crittografia in memoria sempre attiva.

Vantaggio a livello di domanda: ElastiCache (RedisOSS) offre una crittografia opzionale a riposo per aumentare la sicurezza dei dati.

[Obbligatorio] La crittografia a riposo può essere abilitata su un ElastiCache cluster (gruppo di replica) solo al momento della creazione. Un cluster esistente non può essere modificato per iniziare a crittografare i dati a riposo. Per impostazione predefinita, ElastiCache fornirà e gestirà le chiavi utilizzate nella crittografia at-rest.

[Risorse]:
- Vincoli di crittografia At-Rest
- Abilitazione della crittografia dei dati inattivi
[Ideale] Sfrutta i tipi di EC2 istanze Amazon che crittografano i dati mentre sono in memoria (come M6g o R6g). Ove possibile, valuta la possibilità di gestire le chiavi per la crittografia a riposo. Per ambienti di sicurezza dei dati più rigorosi, AWS Key Management Service (KMS) può essere utilizzato per gestire automaticamente le Customer Master Keys (). CMK Grazie ElastiCache all'integrazione con AWS Key Management Service, puoi creare, possedere e gestire le chiavi utilizzate per la crittografia dei dati inattivi per il tuo cluster ElastiCache (RedisOSS).

[Risorse]:

SEC5: Come si crittografano i dati in transito? ElastiCache

Introduzione della domanda: è un requisito comune per evitare che i dati vengano compromessi durante il transito. Rappresenta i dati all'interno dei componenti di un sistema distribuito, nonché tra i client delle applicazioni e i nodi del cluster. ElastiCache (RedisOSS) supporta questo requisito consentendo la crittografia dei dati in transito tra client e cluster e tra i nodi del cluster stessi. I tipi di istanza delle famiglie M6g e R6g offrono anche la crittografia in memoria sempre attiva.

Vantaggio a livello di domanda: la crittografia ElastiCache in transito di Amazon è una funzionalità opzionale che consente di aumentare la sicurezza dei dati nei punti più vulnerabili, quando sono in transito da una posizione all'altra.

[Obbligatorio] La crittografia in transito può essere abilitata solo su un cluster ElastiCache (RedisOSS) (gruppo di replica) al momento della creazione. Tieni presente che, a causa dell'elaborazione aggiuntiva richiesta per la crittografia/decrittografia dei dati, l'implementazione della crittografia in transito avrà un certo impatto sulle prestazioni. Per comprenderne l'impatto, si consiglia di eseguire un benchmark del carico di lavoro prima e dopo l'attivazione. encryption-in-transit

[Risorse]:
- Panoramica della crittografia dei dati in transito

SEC6: Come si limita l'accesso alle risorse del piano di controllo?

Introduzione a livello di domanda: IAM le politiche e ARN abilitano controlli di accesso granulari per ElastiCache (RedisOSS), che consentono un controllo più rigoroso della gestione della creazione, della modifica e dell'eliminazione dei ElastiCache cluster (Redis). OSS

Vantaggio a livello di domanda: la gestione ElastiCache delle risorse Amazon, come gruppi di replica, nodi, ecc., può essere limitata agli AWS account che dispongono di autorizzazioni specifiche basate su IAM policy, migliorando la sicurezza e l'affidabilità delle risorse.

[Obbligatorio] Gestisci l'accesso alle ElastiCache risorse di Amazon assegnando AWS Identity and Access Management policy specifiche agli AWS utenti, permettendo un controllo più preciso su quali account possono eseguire quali azioni sui cluster.

[Risorse]:
- Panoramica della gestione delle autorizzazioni di accesso alle tue risorse ElastiCache
- Utilizzo di politiche (IAMpolitiche) basate sull'identità per Amazon ElastiCache

SEC7: Come rilevi e rispondi agli eventi di sicurezza?

Introduzione a livello di domanda:ElastiCache, se distribuito con RBAC enabled, esporta le CloudWatch metriche per notificare agli utenti gli eventi di sicurezza. Queste metriche aiutano a identificare i tentativi falliti di autenticazione, accesso alle chiavi o esecuzione di comandi per i quali gli utenti che effettuano la connessione RBAC non sono autorizzati.

Inoltre, le risorse relative a AWS prodotti e servizi aiutano a proteggere il carico di lavoro complessivo automatizzando le implementazioni e registrando tutte le azioni e le modifiche per una revisione o un controllo successivi.

Vantaggio della domanda: monitorando gli eventi, consenti all'organizzazione di rispondere in base a requisiti, policy e procedure. L'automazione del monitoraggio e delle risposte a questi eventi rafforza il livello generale di sicurezza.

[Obbligatorio] Acquisisci familiarità con le metriche pubblicate relative agli errori di autenticazione e autorizzazioneCloudWatch . RBAC
- AuthenticationFailures = Tentativi falliti di autenticazione su Valkey o Redis OSS
- KeyAuthorizationFailures = Tentativi falliti da parte degli utenti di accedere alle chiavi senza autorizzazione
- CommandAuthorizationFailures = Tentativi falliti da parte degli utenti di eseguire comandi senza autorizzazione
[Risorse]:
- Metriche per Valkey o Redis OSS
[Best practice] Ti consigliamo di configurare avvisi e notifiche su queste metriche e rispondere se necessario.

[Risorse]:
- Utilizzo degli CloudWatch allarmi Amazon
[Ottimale] Usa il OSS ACL LOG comando Valkey o Redis per raccogliere ulteriori dettagli

[Risorse]:
- ACL LOG
[Migliore] Acquisisci familiarità con le funzionalità dei AWS prodotti e dei servizi per quanto riguarda il monitoraggio, la registrazione e l'analisi delle implementazioni e degli eventi ElastiCache

[Risorse]:

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Pilastro dell'eccellenza operativa

Pilastro dell'affidabilità