翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Elasticsearch の Security Hub

これらの AWS Security Hub コントロールは、Elasticsearch サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります

関連する要件： PCI DSS v3.2.1/3.4、 NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13、 NIST.800-53.r5 SC-28、 NIST.800-53.r5 SC-28(1)、 NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

カテゴリ： 保護 > データ保護 > の暗号化 data-at-rest

重要度: 中

リソースタイプ : AWS::Elasticsearch::Domain

AWS Config ルール : elasticsearch-encrypted-at-rest

スケジュールタイプ: 定期的

パラメータ: なし

このコントロールは、Elasticsearch ドメインで保管中の暗号化設定が有効になっているかどうかをチェックします。保管時の暗号化が有効になっていない場合、チェックは失敗します。

の機密データのセキュリティを強化するには OpenSearch、保管時に暗号化 OpenSearch するように を設定する必要があります。Elasticsearch ドメインは、保管中のデータの暗号化を提供します。この機能では AWS KMS 、 を使用して暗号化キーを保存および管理します。暗号化を実行するには、256 ビットキー (AES-256) の Advanced Encryption Standard アルゴリズムを使用します。

保管時の OpenSearch 暗号化の詳細については、「Amazon OpenSearch Service デベロッパーガイド」の「Amazon Service の保管中のデータの暗号化」を参照してください。 OpenSearch

t.small や t.medium などの特定のインスタンスタイプでは、保管中のデータの暗号化がサポートされていません。詳細については、「Amazon OpenSearch Service デベロッパーガイド」の「サポートされているインスタンスタイプ」を参照してください。

修正

新規および既存の Elasticsearch ドメインの保管時の暗号化を有効にするには、「Amazon OpenSearch Service デベロッパーガイド」の「保管中のデータの暗号化を有効にする」を参照してください。

[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります

関連する要件： PCI DSS v3.2.1/1.2.1、PCIDSSv3.2.1/1.3.1、PCIDSSv3.2.1/1.3.2、PCIDSSv3.2.1/1.3.4、PCIDSSv3.2.1/1.3.6, NIST.800-53.r5 AC-21 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(21)、 NIST.800-53.r5 SC-7(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(9)、PCIDSSv4.0.1/1.4.4

カテゴリ： 保護 > 安全なネットワーク設定 > 内のリソース VPC

重要度: 非常事態

リソースタイプ : AWS::Elasticsearch::Domain

AWS Config ルール : elasticsearch-in-vpc-only

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、Elasticsearch ドメインが にあるかどうかをチェックしますVPC。パブリックアクセスを決定するためにVPCサブネットルーティング設定は評価されません。Elasticsearch ドメインがパブリックサブネットに添付済みでないことを確認する必要があります。「Amazon OpenSearch Service デベロッパーガイド」の「リソースベースのポリシー」を参照してください。また、 VPCが推奨されるベストプラクティスに従って設定されていることを確認する必要があります。「Amazon VPCユーザーガイド」の「 のセキュリティのベストプラクティスVPC」を参照してください。

内にデプロイされた Elasticsearch ドメインVPCは、パブリックインターネットを経由することなく、プライベート AWS ネットワーク経由でVPCリソースと通信できます。この設定は、転送中のデータへのアクセスを制限することでセキュリティ体制を強化します。 は、ネットワークACLやセキュリティグループなど、Elasticsearch ドメインへのアクセスを保護するための多数のネットワークコントロールVPCsを提供します。Security Hub では、パブリック Elasticsearch ドメインを に移行VPCsして、これらのコントロールを利用することをお勧めします。

修正

パブリックエンドポイントを使用してドメインを作成する場合、後で 内に配置することはできませんVPC。代わりに、新規のドメインを作成して、データを移行する必要があります。逆の場合も同様です。内にドメインを作成する場合VPC、パブリックエンドポイントを持つことはできません。代わりに、別のドメインを作成するか、このコントロールを無効にする必要があります。

「Amazon OpenSearch Service デベロッパーガイド」の「 内での Amazon Service ドメインの起動VPC」を参照してください。 OpenSearch

[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります

関連する要件： NIST.800-53.r5 AC-4， NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8， NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), PCI DSS v4.0.1/4.2.1

カテゴリ： 保護 > データ保護 > の暗号化 data-in-transit

重要度: 中

リソースタイプ : AWS::Elasticsearch::Domain

AWS Config ルール : elasticsearch-node-to-node-encryption-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Elasticsearch ドメインで node-to-node暗号化が有効になっているかどうかを確認します。Elasticsearch ドメインで暗号化が有効になっていない場合、コントロールは node-to-node失敗します。Elasticsearch バージョンが暗号化チェックをサポート node-to-nodeしていない場合、コントロールは失敗した検出結果も生成します。

HTTPS (TLS) を使用すると、潜在的な攻撃者が または同様の攻撃を使用して person-in-the-middleネットワークトラフィックを盗聴または操作するのを防ぐことができます。HTTPS (TLS) 経由の暗号化された接続のみを許可する必要があります。Elasticsearch ドメインの暗号化を有効にする node-to-nodeと、クラスター内通信が転送中に暗号化されます。

この設定には、パフォーマンス上のペナルティが発生する可能性があります。このオプションを有効にする前に、パフォーマンスのトレードオフを認識してテストする必要があります。

修正

新規および既存のドメインで暗号化を有効にする node-to-node方法については、「Amazon OpenSearch Service デベロッパーガイド」の「暗号化の有効化 node-to-node」を参照してください。

[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーのログ記録を有効にする必要があります

関連する要件： NIST.800-53.r5 AC-2 (4) NIST.800-53.r5 AC-4、(26)、 NIST.800-53.r5 AC-6(9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)

カテゴリ: 識別 - ログ記録

重要度: 中

リソースタイプ : AWS::Elasticsearch::Domain

AWS Config ルール : elasticsearch-logs-to-cloudwatch

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

このコントロールは、Elasticsearch ドメインがエラーログを CloudWatch ログに送信するように設定されているかどうかを確認します。

Elasticsearch ドメインのエラーログを有効にし、保持と応答のために CloudWatch ログに送信する必要があります。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。

修正

ログ発行を有効にする方法については、「Amazon OpenSearch Service デベロッパーガイド」の「ログ発行の有効化 (コンソール）」を参照してください。

[ES.5] Elasticsearch ドメインで監査ログ記録が有効になっている必要があります

関連する要件： NIST.800-53.r5 AC-2 (4) NIST.800-53.r5 AC-4、(26)、 NIST.800-53.r5 AC-6(9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)、PCIDSSv4.0.1/10.4.2

カテゴリ: 識別 > ログ記録

重要度: 中

リソースタイプ : AWS::Elasticsearch::Domain

AWS Config ルール: elasticsearch-audit-logging-enabled (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

このコントロールは、Elasticsearch ドメインで監査ログ記録が有効になっているかどうかをチェックします。Elasticsearch ドメインで監査ログ記録が有効になっていない場合、このコントロールは失敗します。

監査ログは高度なカスタマイズが可能です。これにより、認証の成功と失敗、 へのリクエスト、インデックスの変更、受信検索クエリなど OpenSearch、Elasticsearch クラスターでのユーザーアクティビティを追跡できます。

修正

監査ログを有効にする詳細な手順については、「Amazon OpenSearch Service デベロッパーガイド」の「監査ログの有効化」を参照してください。

[ES.6] Elasticsearch ドメインには少なくとも 3 つのデータノードが必要です

関連する要件： NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

カテゴリ: リカバリ > 耐障害性 > 高可用性

重要度: 中

リソースタイプ : AWS::Elasticsearch::Domain

AWS Config ルール: elasticsearch-data-node-fault-tolerance (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Elasticsearch ドメインに少なくとも 3 つのデータノードが設定されていること、また zoneAwarenessEnabled が true かどうかをチェックします。

Elasticsearch ドメインでは、高可用性と耐障害性のために少なくとも 3 つのデータノードが必要です。少なくとも 3 つのデータノードを持つ Elasticsearch ドメインをデプロイすると、ノードに障害が発生した場合のクラスター操作が確保されます。

修正

[ES.7] Elasticsearch ドメインは、少なくとも 3 つの専用マスターノードを設定する必要があります。

関連する要件： NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

カテゴリ: リカバリ > 耐障害性 > 高可用性

重要度: 中

リソースタイプ : AWS::Elasticsearch::Domain

AWS Configルール: elasticsearch-primary-node-fault-tolerance (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Elasticsearch ドメインが、少なくとも 3 つの専用プライマリノードで構成されているかどうかをチェックします。ドメインが専用プライマリノードを使用しない場合、このコントロールは失敗します。Elasticsearch ドメインに 5 つの専用プライマリノードがある場合、このコントロールは成功します。ただし、3 つ以上のプライマリノードの使用は、可用性リスクを低減するために不要な場合があり、使用により追加コストが発生します。

Elasticsearch ドメインでは、高可用性と耐障害性のために、少なくとも 3 つの専用プライマリノードが必要です。専用プライマリノードのリソースは、データノードのブルー/グリーンのデプロイ中に管理が必要なノードが追加されるため、負荷がかかることがあります。少なくとも 3 つの専用プライマリノードを持つ Elasticsearch ドメインをデプロイすると、ノードに障害が発生した場合に十分なプライマリノードのリソース容量とクラスター操作が確保されます。

修正

[ES.8] Elasticsearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります

関連する要件： NIST.800-53.r5 AC-17(2) NIST.800-53.r5 AC-4、 NIST.800-53.r5 IA-5(1)、 NIST.800-53.r5 SC-12(3)、 NIST.800-53.r5 SC-13、 NIST.800-53.r5 SC-23、 NIST.800-53.r5 SC-23(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-8(1) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)、PCIDSSv4.0.1/4.2.1

カテゴリ： 保護 > データ保護 > の暗号化 data-in-transit

重要度: 中

リソースタイプ : AWS::Elasticsearch::Domain

AWS Config ルール: elasticsearch-https-required (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Elasticsearch ドメインエンドポイントが最新のTLSセキュリティポリシーを使用するように設定されているかどうかをチェックします。Elasticsearch ドメインエンドポイントがサポートされている最新のポリシーを使用するように設定されていない場合、または が有効になっていない場合、コントロールHTTPsは失敗します。現在サポートされている最新のTLSセキュリティポリシーは ですPolicy-Min-TLS-1-2-PFS-2023-10。

HTTPS (TLS) を使用すると、潜在的な攻撃者が や同様の攻撃を使用して person-in-the-middleネットワークトラフィックを傍受または操作するのを防ぐことができます。HTTPS (TLS) 経由の暗号化された接続のみを許可する必要があります。転送中のデータの暗号化は、パフォーマンスに影響する可能性があります。パフォーマンスプロファイルと の影響を理解するには、この機能を使用してアプリケーションをテストする必要がありますTLS。 TLS 1.2 では、 の以前のバージョンに対するいくつかのセキュリティ強化が提供されますTLS。

修正

TLS 暗号化を有効にするには、 を使用します。 UpdateDomainConfig API を設定するための オペレーション DomainEndpointOptions オブジェクト。これにより、TLSSecurityPolicy が設定されます。

[ES.9] Elasticsearch ドメインにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ : AWS::Elasticsearch::Domain

AWS Config ルール: tagged-elasticsearch-domain (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

このコントロールは、Elasticsearch ドメインにパラメータ requiredTagKeys で定義された特定のキーを持つタグがあるかどうかをチェックします。ドメインにタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ドメインにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) と AWS リソースにアタッチできます。プリンシIAMパルに対して 1 つのABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーは、プリンシパルの タグがリソースタグと一致するときにオペレーションを許可するように設計できます。詳細については、「 IAMユーザーガイド」の「 とは AWS ABAC」を参照してください。

修正

Elasticsearch ドメインにタグを追加するには、「Amazon OpenSearch Service デベロッパーガイド」の「タグの使用」を参照してください。