Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli del Security Hub per OpenSearch Service
Questi AWS Security Hub i controlli valutano il OpenSearch servizio e le risorse di Amazon OpenSearch Service (Service).
Questi controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, vedereDisponibilità dei controlli per regione.
I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata
Requisiti correlati: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, v3.2.1/7.2.1, (1), 3, 8, 8 (1), .800-53.r5 SI-7 PCI DSS (6) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST
Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest
Gravità: media
Tipo di risorsa: AWS::OpenSearch::Domain
AWS Config regola: opensearch-encrypted-at-rest
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se la encryption-at-rest configurazione dei OpenSearch domini è abilitata. Il controllo non riesce se la crittografia dei dati inattivi non è abilitata.
Per un ulteriore livello di sicurezza per i dati sensibili, è necessario configurare il dominio di OpenSearch servizio in modo che venga crittografato quando è inattivo. Quando configuri la crittografia dei dati inattivi, AWS KMS archivia e gestisce le chiavi di crittografia. Per eseguire la crittografia, AWS KMS utilizza l'algoritmo Advanced Encryption Standard con chiavi a 256 bit (AES-256).
Per ulteriori informazioni sulla crittografia dei OpenSearch servizi a riposo, consulta Encryption of data at rest for Amazon OpenSearch Service nella Amazon OpenSearch Service Developer Guide.
Correzione
Per abilitare la crittografia a riposo per OpenSearch domini nuovi ed esistenti, consulta Enabling encryption of data at rest nella Amazon OpenSearch Service Developer Guide.
I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico
Requisiti correlati: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21),,, (11), (16), (20), (21) NIST.800-53.r5 AC-3, (3), (4) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (9) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Categoria: Protezione > Configurazione di rete sicura > Risorse interne VPC
Severità: critica
Tipo di risorsa: AWS::OpenSearch::Domain
AWS Config regola: opensearch-in-vpc-only
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se i OpenSearch domini si trovano in un. VPC Non valuta la configurazione del routing della VPC sottorete per determinare l'accesso pubblico.
È necessario assicurarsi che i OpenSearch domini non siano collegati a sottoreti pubbliche. Consulta le politiche basate sulle risorse nella Amazon OpenSearch Service Developer Guide. Dovresti inoltre assicurarti che il tuo VPC sia configurato secondo le migliori pratiche consigliate. Consulta le migliori pratiche di sicurezza per te VPC nella Amazon VPC User Guide.
OpenSearch i domini distribuiti all'interno di una rete VPC possono comunicare con VPC le risorse in modalità privata AWS rete, senza la necessità di attraversare la rete Internet pubblica. Questa configurazione aumenta il livello di sicurezza limitando l'accesso ai dati in transito. VPCsforniscono una serie di controlli di rete per proteggere l'accesso ai OpenSearch domini, inclusi i gruppi di rete ACL e di sicurezza. Security Hub consiglia di migrare OpenSearch i domini pubblici VPCs per sfruttare questi controlli.
Correzione
Se si crea un dominio con un endpoint pubblico, non è possibile inserirlo successivamente all'interno di un. VPC Devi invece creare un nuovo dominio ed eseguire la migrazione dei dati. È vero anche il contrario. Se crei un dominio all'interno di unVPC, non può avere un endpoint pubblico. È invece necessario creare un altro dominio o disabilitare questo controllo.
Per istruzioni, consulta Launching your Amazon OpenSearch Service Domains all'interno di una VPC pagina della Amazon OpenSearch Service Developer Guide.
I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi
Requisiti correlati: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8
Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit
Gravità: media
Tipo di risorsa: AWS::OpenSearch::Domain
AWS Config regola: opensearch-node-to-node-encryption-check
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se i OpenSearch domini hanno la node-to-node crittografia abilitata. Questo controllo ha esito negativo se node-to-node la crittografia è disabilitata nel dominio.
HTTPS(TLS) può essere utilizzato per impedire a potenziali aggressori di intercettare o manipolare il traffico di rete utilizzando attacchi simili. person-in-the-middle Dovrebbero essere consentite solo le connessioni crittografate su (). HTTPS TLS L'abilitazione della node-to-node crittografia per i OpenSearch domini garantisce che le comunicazioni all'interno del cluster siano crittografate durante il transito.
Questa configurazione può comportare un calo delle prestazioni. È necessario conoscere e testare il compromesso in termini di prestazioni prima di attivare questa opzione.
Correzione
Per abilitare node-to-node la crittografia su un OpenSearch dominio, consulta node-to-node Enabling encryption nella Amazon OpenSearch Service Developer Guide.
La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch
Requisiti correlati: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), .800-53.r5 SI-7 (8) NIST NIST
Categoria: Identificazione > Registrazione
Gravità: media
Tipo di risorsa: AWS::OpenSearch::Domain
AWS Config regola: opensearch-logs-to-cloudwatch
Tipo di pianificazione: modifica attivata
Parametri:
logtype = 'error'
(non personalizzabile)
Questo controllo verifica se i OpenSearch domini sono configurati per inviare i log degli errori ai CloudWatch registri. Questo controllo ha esito negativo se la registrazione degli errori non CloudWatch è abilitata per un dominio.
È necessario abilitare i log degli errori per i OpenSearch domini e inviarli a Logs per la conservazione e la CloudWatch risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità.
Correzione
Per abilitare la pubblicazione dei log, consulta Enabling log publishing (console) nella Amazon OpenSearch Service Developer Guide.
I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata
Requisiti correlati: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), .800-53.r5 SI-7 (8) NIST NIST
Categoria: Identificazione > Registrazione
Gravità: media
Tipo di risorsa: AWS::OpenSearch::Domain
AWS Config regola: opensearch-audit-logging-enabled
Tipo di pianificazione: modifica attivata
Parametri:
cloudWatchLogsLogGroupArnList
(non personalizzabile): Security Hub non compila questo parametro. Elenco separato da virgole di gruppi di CloudWatch log che devono essere configurati per i log di controllo.
Questa regola si applica NON_COMPLIANT
se il gruppo di log CloudWatch Logs del OpenSearch dominio non è specificato in questo elenco di parametri.
Questo controllo verifica se nei OpenSearch domini è abilitata la registrazione di controllo. Questo controllo ha esito negativo se in un OpenSearch dominio non è abilitata la registrazione di controllo.
I log di controllo sono altamente personalizzabili. Ti consentono di tenere traccia delle attività degli utenti sui tuoi OpenSearch cluster, compresi i successi e gli errori di autenticazione, le richieste, le modifiche all'indicizzazione e le OpenSearch query di ricerca in arrivo.
Correzione
Per istruzioni su come abilitare i log di controllo, consulta Enabling audit logs nella Amazon OpenSearch Service Developer Guide.
I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati
Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Categoria: Recupero > Resilienza > Alta disponibilità
Gravità: media
Tipo di risorsa: AWS::OpenSearch::Domain
AWS Config regola: opensearch-data-node-fault-tolerance
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se i OpenSearch domini sono configurati con almeno tre nodi di dati e zoneAwarenessEnabled
lo è. true
Questo controllo ha esito negativo per un OpenSearch dominio se instanceCount
è inferiore a 3 o lo zoneAwarenessEnabled
èfalse
.
Un OpenSearch dominio richiede almeno tre nodi di dati per un'elevata disponibilità e tolleranza agli errori. L'implementazione di un OpenSearch dominio con almeno tre nodi di dati garantisce le operazioni del cluster in caso di guasto di un nodo.
Correzione
Per modificare il numero di nodi di dati in un dominio OpenSearch
Accedi a AWS console e apri la console Amazon OpenSearch Service all'indirizzo https://console.aws.amazon.com/aos/
. In I miei domini, scegli il nome del dominio da modificare e scegli Modifica.
In Nodi di dati imposta Numero di nodi su un numero maggiore di
3
. Se esegui la distribuzione in tre zone di disponibilità, imposta il numero su un multiplo di tre per garantire una distribuzione equa tra le zone di disponibilità.Scegli Invia.
I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato
Requisiti correlati: NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6
Categoria: Protezione > Gestione degli accessi sicuri > API Azioni sensibili limitate
Gravità: alta
Tipo di risorsa: AWS::OpenSearch::Domain
AWS Config regola: opensearch-access-control-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se nei OpenSearch domini è abilitato il controllo granulare degli accessi. Il controllo fallisce se il controllo di accesso a grana fine non è abilitato. Il controllo granulare degli accessi richiede advanced-security-options
che il parametro sia abilitato. OpenSearch update-domain-config
Il controllo granulare degli accessi offre modi aggiuntivi per controllare l'accesso ai tuoi dati su Amazon Service. OpenSearch
Correzione
Per abilitare il controllo granulare degli accessi, consulta la sezione Controllo granulare degli accessi in Amazon Service nella Amazon OpenSearch Service Developer Guide. OpenSearch
[Opensearch.8] Le connessioni ai domini devono essere crittografate utilizzando la politica di OpenSearch sicurezza più recente TLS
Requisiti correlati: NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)
Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit
Gravità: media
Tipo di risorsa: AWS::OpenSearch::Domain
AWS Config regola: opensearch-https-required
Tipo di pianificazione: modifica attivata
Parametri:
tlsPolicies: Policy-Min-TLS-1-2-PFS-2023-10
(non personalizzabile)
Questo controllo verifica se un endpoint di dominio Amazon OpenSearch Service è configurato per utilizzare la politica di TLS sicurezza più recente. Il controllo fallisce se l'endpoint del OpenSearch dominio non è configurato per utilizzare l'ultima politica supportata o se HTTPs non è abilitato.
HTTPS(TLS) può essere utilizzato per impedire a potenziali aggressori di utilizzare person-in-the-middle o attacchi simili per intercettare o manipolare il traffico di rete. Dovrebbero essere consentite solo le connessioni crittografate su HTTPS (). TLS La crittografia dei dati in transito può influire sulle prestazioni. È consigliabile testare l'applicazione con questa funzionalità per comprendere il profilo delle prestazioni e l'impatto diTLS. TLS1.2 offre diversi miglioramenti della sicurezza rispetto alle versioni precedenti di. TLS
Correzione
Per abilitare TLS la crittografia, utilizzare l'UpdateDomainConfigAPIoperazione. Configura il DomainEndpointOptionscampo per specificare il valore perTLSSecurityPolicy
. Per ulteriori informazioni, consulta N ode-to-node encryption nella Amazon OpenSearch Service Developer Guide.
I OpenSearch domini [Opensearch.9] devono essere etichettati
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::OpenSearch::Domain
AWS Config regola: tagged-opensearch-domain
(regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. | StringList | Elenco dei tag che soddisfano AWS requisiti |
No default value
|
Questo controllo verifica se un dominio Amazon OpenSearch Service ha tag con le chiavi specifiche definite nel parametrorequiredTagKeys
. Il controllo fallisce se il dominio non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys
. Se il parametro requiredTagKeys
non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il dominio non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:
, vengono ignorati.
Un tag è un'etichetta che si assegna a AWS risorsa ed è costituita da una chiave e da un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e a AWS risorse. È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i principali responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui AWS Billing. Per ulteriori best practice in materia di tagging, consulta Tagging your AWS risorse in Riferimenti generali di AWS.
Correzione
Per aggiungere tag a un dominio OpenSearch di servizio, consulta Working with tags nella Amazon OpenSearch Service Developer Guide.
Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software
Requisiti correlati: NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), .800-53.r5 SI-2 (5) NIST NIST
Categoria: Identificazione > Gestione di vulnerabilità, patch e versioni
Gravità: bassa
Tipo di risorsa: AWS::OpenSearch::Domain
AWS Config regola: opensearch-update-check
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se in un dominio Amazon OpenSearch Service è installato l'ultimo aggiornamento software. Il controllo fallisce se un aggiornamento software è disponibile ma non è installato per il dominio.
OpenSearch Gli aggiornamenti del software di servizio forniscono le correzioni, gli aggiornamenti e le funzionalità più recenti della piattaforma disponibili per l'ambiente. Mantenere up-to-date l'installazione delle patch aiuta a mantenere la sicurezza e la disponibilità del dominio. Se non viene intrapresa alcuna azione sugli aggiornamenti richiesti, il software di servizio viene aggiornato automaticamente (in genere dopo 2 settimane). Ti consigliamo di pianificare gli aggiornamenti in un periodo di scarso traffico verso il dominio per ridurre al minimo le interruzioni del servizio.
Correzione
Per installare gli aggiornamenti software per un OpenSearch dominio, consulta Starting an update nella Amazon OpenSearch Service Developer Guide.
I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati
Requisiti correlati:, 6 NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 .800-53.r5 SI-13 NIST
Categoria: Recupero > Resilienza > Alta disponibilità
Gravità: media
Tipo di risorsa: AWS::OpenSearch::Domain
AWS Config regola: opensearch-primary-node-fault-tolerance
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un dominio Amazon OpenSearch Service è configurato con almeno tre nodi primari dedicati. Il controllo fallisce se il dominio ha meno di tre nodi primari dedicati.
OpenSearch Il servizio utilizza nodi primari dedicati per aumentare la stabilità del cluster. Un nodo primario dedicato esegue attività di gestione del cluster, ma non contiene dati né risponde alle richieste di caricamento dei dati. Si consiglia di utilizzare Multi-AZ con standby, che aggiunge tre nodi primari dedicati a ciascun dominio di produzione OpenSearch .
Correzione
Per modificare il numero di nodi primari per un OpenSearch dominio, consulta Creazione e gestione dei domini Amazon OpenSearch Service nella Amazon OpenSearch Service Developer Guide.