Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlli Security Hub per ElastiCache

Questi AWS Security Hub controlli valutano il ElastiCache servizio e le risorse Amazon.

Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.

I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)

Categoria: Ripristino > Resilienza > Backup abilitati

Gravità: alta

Tipo di risorsa:, AWS::ElastiCache::CacheCluster AWS:ElastiCache:ReplicationGroup

Regola AWS Config : elasticache-redis-cluster-automatic-backup-check

Tipo di pianificazione: periodica

Parametri:

Questo controllo valuta se un cluster Amazon ElastiCache (Redis OSS) ha pianificato backup automatici. Il controllo fallisce se il periodo di SnapshotRetentionLimit tempo per il cluster Redis è inferiore al periodo di tempo specificato. A meno che non si fornisca un valore di parametro personalizzato per il periodo di conservazione delle istantanee, Security Hub utilizza un valore predefinito di 1 giorno.

I cluster Amazon ElastiCache (Redis OSS) possono eseguire il backup dei propri dati. Il backup può essere utilizzato per ripristinare un cluster o dare fonte a un nuovo cluster. Il backup è costituito dai metadati del cluster, insieme a tutti i dati nel cluster. Tutti i backup vengono scritti su Amazon Simple Storage Service (Amazon S3), che fornisce uno storage durevole. Puoi ripristinare i dati creando un nuovo cluster Redis e popolandolo con i dati di un backup. Puoi gestire i backup utilizzando AWS Management Console, the AWS Command Line Interface (AWS CLI) e l'API. ElastiCache

Correzione

Per pianificare backup automatici su un cluster ElastiCache (Redis OSS), consulta Scheduling automatic backup nella Amazon User Guide. ElastiCache

[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati

Requisiti correlati: NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5) PCI DSS v4.0.1/6.3.3

Categoria: Identificazione > Gestione di vulnerabilità, patch e versioni

Gravità: alta

Tipo di risorsa: AWS::ElastiCache::CacheCluster

Regola AWS Config : elasticache-auto-minor-version-upgrade-check

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo valuta se Amazon applica ElastiCache automaticamente aggiornamenti di versione minori a un cluster di cache. Il controllo fallisce se al cluster di cache non vengono applicati automaticamente aggiornamenti di versione minori.

L'aggiornamento automatico della versione secondaria è una funzionalità che puoi abilitare in Amazon ElastiCache per aggiornare automaticamente i tuoi cluster di cache quando è disponibile una nuova versione del motore di cache secondario. Questi aggiornamenti potrebbero includere patch di sicurezza e correzioni di bug. Continuare up-to-date a installare le patch è un passo importante per proteggere i sistemi.

Correzione

Per applicare automaticamente aggiornamenti di versioni minori a un cluster di ElastiCache cache esistente, consulta la sezione Gestione delle versioni ElastiCache nella Amazon ElastiCache User Guide.

[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

Categoria: Recupero > Resilienza > Alta disponibilità

Gravità: media

Tipo di risorsa: AWS::ElastiCache::ReplicationGroup

Regola AWS Config : elasticache-repl-grp-auto-failover-enabled

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se un gruppo di ElastiCache replica ha il failover automatico abilitato. Il controllo fallisce se il failover automatico non è abilitato per un gruppo di replica.

Quando il failover automatico è abilitato per un gruppo di replica, il ruolo del nodo primario eseguirà automaticamente il failover su una delle repliche di lettura. Questa promozione del failover e della replica consente di riprendere la scrittura sul nuovo sistema primario una volta completata la promozione, riducendo così i tempi di inattività complessivi in caso di guasto.

Correzione

Per abilitare il failover automatico per un gruppo di ElastiCache replica esistente, consulta Modifying an ElastiCache cluster nella Amazon ElastiCache User Guide. Se usi la ElastiCache console, imposta il failover automatico su abilitato.

[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi

Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest

Gravità: media

Tipo di risorsa: AWS::ElastiCache::ReplicationGroup

Regola AWS Config : elasticache-repl-grp-encrypted-at-rest

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se un gruppo di ElastiCache replica è crittografato quando è inattivo. Il controllo ha esito negativo se il gruppo di replica non è crittografato a riposo.

La crittografia dei dati inattivi riduce il rischio che un utente non autenticato acceda ai dati archiviati su disco. ElastiCache I gruppi di replica (Redis OSS) devono essere crittografati quando sono inattivi per un ulteriore livello di sicurezza.

Correzione

Per configurare la crittografia a riposo su un gruppo di ElastiCache replica, consulta Enabling at-rest encryption nella Amazon ElastiCache User Guide.

[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito

Requisiti correlati: NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1

Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit

Gravità: media

Tipo di risorsa: AWS::ElastiCache::ReplicationGroup

Regola AWS Config : elasticache-repl-grp-encrypted-in-transit

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se un gruppo di ElastiCache replica è crittografato in transito. Il controllo ha esito negativo se il gruppo di replica non è crittografato in transito.

La crittografia dei dati in transito riduce il rischio che un utente non autorizzato possa intercettare il traffico di rete. L'attivazione della crittografia in transito su un gruppo di ElastiCache replica crittografa i dati ogni volta che vengono spostati da una posizione all'altra, ad esempio tra i nodi del cluster o tra il cluster e l'applicazione.

Correzione

Per configurare la crittografia in transito su un gruppo di ElastiCache replica, consulta Enabling in-transit encryption nella Amazon ElastiCache User Guide.

[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato

Requisiti correlati: NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 (7), PCI DSS v4.0.1/8.3.1 NIST.800-53.r5 AC-6

Categoria: Protezione > Gestione degli accessi sicuri

Gravità: media

Tipo di risorsa: AWS::ElastiCache::ReplicationGroup

Regola AWS Config : elasticache-repl-grp-redis-auth-enabled

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se un gruppo di replica ElastiCache (Redis OSS) ha Redis OSS AUTH abilitato. Il controllo ha esito negativo se la versione Redis OSS dei nodi del gruppo di replica è inferiore alla 6.0 e non è in uso. AuthToken

Quando si utilizzano token di autenticazione o password Redis, Redis richiede una password prima di consentire ai client di eseguire i comandi, il che migliora la sicurezza dei dati. Per Redis 6.0 e versioni successive, consigliamo di utilizzare Role-Based Access Control (RBAC). Poiché RBAC non è supportato per le versioni di Redis precedenti alla 6.0, questo controllo valuta solo le versioni che non possono utilizzare la funzionalità RBAC.

Correzione

Per utilizzare Redis AUTH su un gruppo di replica ElastiCache (Redis OSS), consulta Modifica del token AUTH su un cluster esistente ElastiCache (Redis OSS) nella Amazon User Guide. ElastiCache

[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito

Requisiti correlati: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), (4), NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 SC-7

Categoria: Protezione > Configurazione di rete protetta

Gravità: alta

Tipo di risorsa: AWS::ElastiCache::CacheCluster

Regola AWS Config : elasticache-subnet-group-check

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se un ElastiCache cluster è configurato con un gruppo di sottoreti personalizzato. Il controllo ha esito negativo se CacheSubnetGroupName per un ElastiCache cluster ha il valoredefault.

Quando si avvia un ElastiCache cluster, viene creato un gruppo di sottoreti predefinito se non ne esiste già uno. Il gruppo predefinito utilizza le sottoreti del Virtual Private Cloud (VPC) predefinito. Si consiglia di utilizzare gruppi di sottoreti personalizzati che limitino le sottoreti in cui risiede il cluster e la rete che il cluster eredita dalle sottoreti.

Correzione

Per creare un nuovo gruppo di sottoreti per un ElastiCache cluster, consulta la sezione Creazione di un gruppo di sottoreti nella Amazon ElastiCache User Guide.