Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Controlli CSPM del Security Hub per Amazon EMR
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse di Amazon EMR (precedentemente chiamato Amazon Elastic MapReduce). I controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici
**Requisiti correlati:** PCI DSS versione 3.2.1/1.2.1, PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.2, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.6, PCI DSS versione 4.0.1/1.4.4, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21),, (11), (16), (20) NIST.800-53.r5 AC-3, (21), (3) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (4) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** alta
**Tipo di risorsa:** `AWS::EMR::Cluster`
**AWS Config regola: emr-master-no-public** [-ip](https://docs.aws.amazon.com/config/latest/developerguide/emr-master-no-public-ip.html)
**Tipo di pianificazione: periodica**
**Parametri:** nessuno
Questo controllo verifica se i nodi master sui cluster Amazon EMR hanno indirizzi IP pubblici. Il controllo fallisce se gli indirizzi IP pubblici sono associati a una qualsiasi delle istanze del nodo master.
Gli indirizzi IP pubblici sono indicati nel `PublicIp` campo della `NetworkInterfaces` configurazione dell'istanza. Questo controllo controlla solo i cluster Amazon EMR che si trovano in uno `RUNNING` stato or. `WAITING`
### Correzione
Durante il lancio, puoi controllare se alla tua istanza in una sottorete predefinita o non predefinita viene assegnato un indirizzo pubblico. IPv4 Per impostazione predefinita, le sottoreti predefinite hanno questo attributo impostato su. `true` Le sottoreti non predefinite hanno l'attributo IPv4 public address impostato su`false`, a meno che non sia stato creato dalla procedura guidata di EC2 avvio dell'istanza di Amazon. In tal caso, l'attributo è impostato su. `true`
Dopo il lancio, non puoi dissociare manualmente un IPv4 indirizzo pubblico dalla tua istanza.
Per correggere un risultato non riuscito, è necessario avviare un nuovo cluster in un VPC con una sottorete privata con IPv4 l'attributo di indirizzamento pubblico impostato su. `false` Per istruzioni, consulta [Launch clusters in un VPC](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-vpc-launching-job-flows.html) nella *Amazon EMR* Management Guide.
## [EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata
**Requisiti correlati:** PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6, (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria: Protezione > Gestione sicura degli accessi** > Risorsa non accessibile al pubblico
**Severità:** critica
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [emr-block-public-access](https://docs.aws.amazon.com/config/latest/developerguide/emr-block-public-access.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se il tuo account è configurato con l'accesso pubblico a blocchi di Amazon EMR. Il controllo fallisce se l'impostazione di blocco dell'accesso pubblico non è abilitata o se è consentita una porta diversa dalla porta 22.
L'accesso pubblico a blocchi di Amazon EMR impedisce l'avvio di un cluster in una sottorete pubblica se il cluster ha una configurazione di sicurezza che consente il traffico in entrata da indirizzi IP pubblici su una porta. Quando un utente dal tuo Account AWS avvia un cluster, Amazon EMR controlla le regole delle porte nel gruppo di sicurezza per il cluster e le confronta con le regole del traffico in entrata. Se il gruppo di sicurezza ha una regola in entrata che apre le porte agli indirizzi IP pubblici IPv4 0.0.0.0/0 o IPv6 : :/0 e tali porte non sono specificate come eccezioni per il tuo account, Amazon EMR non consente all'utente di creare il cluster.
**Nota**
Il blocco dell'accesso pubblico è abilitato per impostazione predefinita. Per aumentare la protezione degli account, ti consigliamo di mantenerlo abilitato.
### Correzione
Per configurare l'accesso pubblico a blocchi per Amazon EMR, consulta Using [Amazon EMR block public access nella](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-block-public-access.html) Amazon *EMR* Management Guide.
## [EMR.3] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CP-9 (8), NIST.800-53.r5 SI-12
**Categoria**: Protezione > Protezione dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::EMR::SecurityConfiguration`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una configurazione di sicurezza di Amazon EMR ha la crittografia a riposo abilitata. Il controllo fallisce se la configurazione di sicurezza non abilita la crittografia a riposo.
I dati inattivi si riferiscono ai dati archiviati in uno spazio di archiviazione persistente e non volatile per qualsiasi durata. La crittografia dei dati inutilizzati consente di proteggerne la riservatezza, riducendo il rischio che un utente non autorizzato possa accedervi.
### Correzione
Per abilitare la crittografia a riposo in una configurazione di sicurezza di Amazon EMR, consulta [Configurare la crittografia dei dati](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html) nella Amazon *EMR Management Guide.*
## [EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito
**Requisiti correlati:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2), NIST.800-53.r5 SC-1 3, 3, 3 ( NIST.800-53.r5 SC-23) NIST.800-53.r5 SC-2
**Categoria:** Protezione > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::EMR::SecurityConfiguration`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una configurazione di sicurezza di Amazon EMR ha la crittografia in transito abilitata. Il controllo fallisce se la configurazione di sicurezza non abilita la crittografia in transito.
I dati in transito si riferiscono ai dati che si spostano da una posizione all'altra, ad esempio tra i nodi del cluster o tra il cluster e l'applicazione. I dati possono spostarsi su Internet o all'interno di una rete privata. La crittografia dei dati in transito riduce il rischio che un utente non autorizzato possa intercettare il traffico di rete.
### Correzione
Per abilitare la crittografia in transito in una configurazione di sicurezza di Amazon EMR, consulta [Configurare la crittografia dei dati](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html) nella Amazon *EMR Management Guide.*