Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Controlli CSPM Security Hub per ElastiCache
Questi AWS Security Hub CSPM controlli valutano il ElastiCache servizio e le risorse Amazon. I controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)
**Categoria**: Ripristino > Resilienza > Backup abilitati
**Gravità:** alta
**Tipo di risorsa:**, `AWS::ElastiCache::CacheCluster` `AWS:ElastiCache:ReplicationGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html)
**Tipo di pianificazione:** periodica
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `snapshotRetentionPeriod` | Periodo minimo di conservazione delle istantanee in giorni | Numero intero | `1` Da a `35` | `1` |
Questo controllo valuta se un cluster Amazon ElastiCache (Redis OSS) ha i backup automatici abilitati. Il controllo fallisce se il periodo di `SnapshotRetentionLimit` tempo per il cluster Redis OSS è inferiore al periodo di tempo specificato. A meno che non si fornisca un valore di parametro personalizzato per il periodo di conservazione delle istantanee, Security Hub CSPM utilizza un valore predefinito di 1 giorno.
ElastiCache I cluster (Redis OSS) possono eseguire il backup dei propri dati. Il backup può essere utilizzato per ripristinare un cluster o dare fonte a un nuovo cluster. Il backup è costituito dai metadati del cluster, insieme a tutti i dati del cluster. Tutti i backup vengono scritti su Amazon S3, che fornisce uno storage durevole. Puoi ripristinare i dati creando un nuovo ElastiCache cluster e popolandolo con i dati di un backup. È possibile gestire i backup utilizzando l' Console di gestione AWS AWS CLI, l'e l' ElastiCache API.
**Nota**
Questo controllo valuta anche i gruppi di replica ElastiCache (Redis OSS e Valkey).
### Correzione
*Per informazioni sulla pianificazione dei backup automatici per un ElastiCache cluster, consulta la sezione [Pianificazione dei backup automatici nella](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups-automatic.html) Amazon User Guide. ElastiCache *
## [ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati
**Requisiti correlati:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5) PCI DSS v4.0.1/6.3.3
**Categoria**: Identificazione > Gestione di vulnerabilità, patch e versioni
**Gravità:** alta
**Tipo di risorsa:** `AWS::ElastiCache::CacheCluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo valuta se Amazon applica ElastiCache automaticamente aggiornamenti di versione minori a un cluster di cache. Il controllo fallisce se al cluster di cache non vengono applicati automaticamente aggiornamenti di versione minori.
**Nota**
Questo controllo non si applica ai cluster ElastiCache Memcached.
L'aggiornamento automatico della versione secondaria è una funzionalità che puoi abilitare in Amazon ElastiCache per aggiornare automaticamente i tuoi cluster di cache quando è disponibile una nuova versione del motore di cache secondario. Questi aggiornamenti potrebbero includere patch di sicurezza e correzioni di bug. Continuare up-to-date a installare le patch è un passo importante per proteggere i sistemi.
### Correzione
Per applicare automaticamente aggiornamenti di versioni minori a un cluster di ElastiCache cache esistente, consulta la sezione [Gestione delle versioni ElastiCache](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VersionManagement.html) nella *Amazon ElastiCache User Guide*.
## [ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
**Categoria: Recupero > Resilienza > Alta disponibilità**
**Gravità:** media
**Tipo di risorsa:** `AWS::ElastiCache::ReplicationGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un gruppo di ElastiCache replica ha il failover automatico abilitato. Il controllo fallisce se il failover automatico non è abilitato per un gruppo di replica.
Quando il failover automatico è abilitato per un gruppo di replica, il ruolo del nodo primario eseguirà automaticamente il failover su una delle repliche di lettura. Questa promozione del failover e della replica consente di riprendere la scrittura sul nuovo sistema primario una volta completata la promozione, riducendo così i tempi di inattività complessivi in caso di guasto.
### Correzione
Per abilitare il failover automatico per un gruppo di ElastiCache replica esistente, consulta [Modifying an ElastiCache cluster](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/Clusters.Modify.html#Clusters.Modify.CON) nella *Amazon ElastiCache * User Guide. Se usi la ElastiCache console, imposta il **failover automatico** su abilitato.
## [ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
**Categoria: Protezione > Protezione** dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::ElastiCache::ReplicationGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un gruppo di ElastiCache replica è crittografato quando è inattivo. Il controllo ha esito negativo se il gruppo di replica non è crittografato a riposo.
La crittografia dei dati inattivi riduce il rischio che un utente non autenticato acceda ai dati archiviati su disco. ElastiCache I gruppi di replica (Redis OSS) devono essere crittografati quando sono inattivi per un ulteriore livello di sicurezza.
### Correzione
Per configurare la crittografia a riposo su un gruppo di ElastiCache replica, consulta [Enabling at-rest encryption](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/at-rest-encryption.html#at-rest-encryption-enable) nella *Amazon ElastiCache * User Guide.
## [ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito
**Requisiti correlati:** NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1
**Categoria**: Protezione > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::ElastiCache::ReplicationGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un gruppo di ElastiCache replica è crittografato in transito. Il controllo ha esito negativo se il gruppo di replica non è crittografato in transito.
La crittografia dei dati in transito riduce il rischio che un utente non autorizzato possa intercettare il traffico di rete. L'attivazione della crittografia in transito su un gruppo di ElastiCache replica crittografa i dati ogni volta che vengono spostati da una posizione all'altra, ad esempio tra i nodi del cluster o tra il cluster e l'applicazione.
### Correzione
Per configurare la crittografia in transito su un gruppo di ElastiCache replica, consulta [Enabling in-transit encryption](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/in-transit-encryption.html) nella *Amazon ElastiCache * User Guide.
## [ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato
**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 (7), PCI DSS v4.0.1/8.3.1 NIST.800-53.r5 AC-6
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** media
**Tipo di risorsa:** `AWS::ElastiCache::ReplicationGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un gruppo di replica ElastiCache (Redis OSS) ha Redis OSS AUTH abilitato. Il controllo ha esito negativo se la versione Redis OSS dei nodi del gruppo di replica è inferiore alla 6.0 e non è in uso. `AuthToken`
Quando si utilizzano token di autenticazione o password Redis, Redis richiede una password prima di consentire ai client di eseguire i comandi, il che migliora la sicurezza dei dati. Per Redis 6.0 e versioni successive, consigliamo di utilizzare Role-Based Access Control (RBAC). Poiché RBAC non è supportato per le versioni di Redis precedenti alla 6.0, questo controllo valuta solo le versioni che non possono utilizzare la funzionalità RBAC.
### Correzione
*Per utilizzare Redis AUTH su un gruppo di replica ElastiCache (Redis OSS), consulta [Modifica del token AUTH su un cluster esistente ElastiCache (Redis OSS)](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/auth.html#auth-modifyng-token) nella Amazon User Guide. ElastiCache *
## [ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito
**Requisiti correlati:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), (4), NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** alta
**Tipo di risorsa:** `AWS::ElastiCache::CacheCluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un ElastiCache cluster è configurato con un gruppo di sottoreti personalizzato. Il controllo ha esito negativo se `CacheSubnetGroupName` per un ElastiCache cluster ha il valore`default`.
Quando si avvia un ElastiCache cluster, viene creato un gruppo di sottoreti predefinito se non ne esiste già uno. Il gruppo predefinito utilizza le sottoreti del Virtual Private Cloud (VPC) predefinito. Si consiglia di utilizzare gruppi di sottoreti personalizzati che limitino le sottoreti in cui risiede il cluster e la rete che il cluster eredita dalle sottoreti.
### Correzione
Per creare un nuovo gruppo di sottoreti per un ElastiCache cluster, consulta la sezione [Creazione di un gruppo di sottoreti](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SubnetGroups.Creating.html) nella *Amazon ElastiCache User Guide*.