Controlli Security Hub per Amazon EMR - AWS Security Hub
[EMR.1] I nodi primari EMR del cluster Amazon non devono avere indirizzi IP pubblici[EMR.2] L'impostazione di EMR blocco dell'accesso pubblico di Amazon deve essere abilitata

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlli Security Hub per Amazon EMR

Questi AWS Security Hub controlli valutano il servizio e le risorse Amazon EMR (precedentemente chiamato Amazon Elastic MapReduce).

Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.

[EMR.1] I nodi primari EMR del cluster Amazon non devono avere indirizzi IP pubblici

Requisiti correlati: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21), NIST.800-53.r5 AC-3, (11), (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (20) NIST.800-53.r5 AC-6, (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoria: Protezione > Configurazione di rete protetta

Gravità: alta

Tipo di risorsa: AWS::EMR::Cluster

Regola AWS Config : emr-master-no-public-ip

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se i nodi master sui EMR cluster Amazon dispongono di indirizzi IP pubblici. Il controllo fallisce se gli indirizzi IP pubblici sono associati a una qualsiasi delle istanze del nodo master.

Gli indirizzi IP pubblici sono indicati nel PublicIp campo della NetworkInterfaces configurazione dell'istanza. Questo controllo controlla solo EMR i cluster Amazon che si trovano in uno WAITING stato RUNNING o.

Correzione

Durante l'avvio, puoi controllare se alla tua istanza in una sottorete predefinita o non predefinita viene assegnato un indirizzo pubblico. IPv4 Per impostazione predefinita, le sottoreti predefinite hanno questo attributo impostato su. true L'attributo IPv4 public address delle sottoreti non predefinite è impostato sufalse, a meno che non sia stato creato dalla procedura guidata di EC2 avvio dell'istanza di Amazon. In tal caso, l'attributo è impostato su. true

Dopo il lancio, non puoi dissociare manualmente un IPv4 indirizzo pubblico dalla tua istanza.

Per rimediare a un risultato non riuscito, è necessario avviare un nuovo cluster in una sottorete privata VPC con l'attributo di indirizzamento IPv4 pubblico impostato su. false Per istruzioni, consulta Launch clusters into a VPC nella Amazon EMR Management Guide.

[EMR.2] L'impostazione di EMR blocco dell'accesso pubblico di Amazon deve essere abilitata

Requisiti correlati: PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7

Categoria: Protezione > Gestione sicura degli accessi > Risorsa non accessibile al pubblico

Severità: critica

Tipo di risorsa: AWS::::Account

Regola AWS Config : emr-block-public-access

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se il tuo account è configurato con Amazon EMR block public access. Il controllo fallisce se l'impostazione di blocco dell'accesso pubblico non è abilitata o se è consentita una porta diversa dalla porta 22.

Amazon EMR block public access ti impedisce di avviare un cluster in una sottorete pubblica se il cluster ha una configurazione di sicurezza che consente il traffico in entrata da indirizzi IP pubblici su una porta. Quando un tuo utente Account AWS avvia un cluster, Amazon EMR controlla le regole delle porte nel gruppo di sicurezza per il cluster e le confronta con le regole del traffico in entrata. Se il gruppo di sicurezza ha una regola in entrata che apre le porte agli indirizzi IP pubblici IPv4 0.0.0.0/0 oIPv6:: /0 e tali porte non sono specificate come eccezioni per il tuo account, EMR Amazon non consente all'utente di creare il cluster.

Nota

Il blocco dell'accesso pubblico è abilitato per impostazione predefinita. Per aumentare la protezione degli account, ti consigliamo di mantenerlo abilitato.

Correzione

Per configurare l'accesso pubblico a blocchi per AmazonEMR, consulta Using Amazon EMR block public access nella Amazon EMR Management Guide.