기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

ElastiCache에 대한 Security Hub 제어

이러한 AWS Security Hub 제어는 Amazon ElastiCache 서비스 및 리소스를 평가합니다.

이러한 제어는 일부만 사용할 수 있습니다 AWS 리전. 자세한 내용은 리전별 제어 기능 사용 가능 여부 단원을 참조하십시오.

[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13(5)

범주: 복구 > 복원력 > 백업 활성화

심각도: 높음

리소스 유형: AWS::ElastiCache::CacheCluster, AWS:ElastiCache:ReplicationGroup

AWS Config 규칙: elasticache-redis-cluster-automatic-backup-check

스케줄 유형: 주기적

파라미터:

이 제어는 Amazon ElastiCache(Redis OSS) 클러스터에 자동 백업이 예약되어 있는지 여부를 평가합니다. Redis 클러스터에 대한 SnapshotRetentionLimit가 지정된 기간 미만이면 제어가 실패합니다. 스냅샷 보존 기간에 대한 사용자 지정 파라미터 값을 제공하지 않는 한 Security Hub는 기본값인 1일을 사용합니다.

Amazon ElastiCache(Redis OSS) 클러스터는 데이터를 백업할 수 있습니다. 클러스터를 복원하거나 새로운 클러스터를 시드하기 위해 백업을 사용할 수 있습니다. 백업은 클러스터의 모든 데이터와 클러스터의 메타데이터로 구성됩니다. 모든 백업은 Amazon Simple Storage Service(S3)에 쓰여지므로 내구성 있는 스토리지가 확보됩니다. 새로운 Redis 클러스터를 생성하고 백업 데이터로 채워 데이터를 복원할 수 있습니다. AWS Management Console, AWS Command Line Interface (AWS CLI) 및 ElastiCache API를 사용하여 백업을 관리할 수 있습니다.

문제 해결

ElastiCache(Redis OSS) 클러스터에서 자동 백업을 예약하려면 Amazon ElastiCache 사용 설명서의 자동 백업 일정 예약을 참조하세요.

[ElastiCache.2] ElastiCache 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5) PCI DSS v4.0.1/6.3.3

범주: 식별 > 취약성, 패치 및 버전 관리

심각도: 높음

리소스 유형: AWS::ElastiCache::CacheCluster

AWS Config 규칙: elasticache-auto-minor-version-upgrade-check

스케줄 유형: 주기적

파라미터: 없음

이 제어는 Amazon ElastiCache가 캐시 클러스터에 마이너 버전 업그레이드를 자동으로 적용하는지 여부를 평가합니다. 캐시 클러스터에 마이너 버전 업그레이드가 자동으로 적용되지 않으면 제어가 실패합니다.

마이너 버전 자동 업그레이드는 Amazon ElastiCache에서 새 마이너 캐시 엔진 버전을 사용할 수 있을 때 캐시 클러스터를 자동으로 업그레이드하도록 활성화할 수 있는 기능입니다. 이러한 업그레이드에는 보안 패치 및 버그 수정이 포함될 수 있습니다. 패치 설치를 통해 최신 상태를 유지하는 것은 시스템 보안을 유지하기 위한 중요한 단계입니다.

문제 해결

기존 ElastiCache 캐시 클러스터에 마이너 버전 업그레이드를 자동으로 적용하려면 Amazon ElastiCache 사용 설명서의 ElastiCache 버전 관리를 참조하세요. Amazon ElastiCache

[ElastiCache.3] ElastiCache 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

범주: 복구 > 복원력 > 고가용성

심각도: 중간

리소스 유형: AWS::ElastiCache::ReplicationGroup

AWS Config 규칙: elasticache-repl-grp-auto-failover-enabled

스케줄 유형: 주기적

파라미터: 없음

이 제어는 ElastiCache 복제 그룹에 자동 장애 조치가 활성화되어 있는지 확인합니다. 복제 그룹에 대해 자동 장애 조치가 활성화되지 않은 경우 제어가 실패합니다.

복제 그룹에 대해 자동 장애 조치가 활성화된 경우, 기본 노드의 역할은 자동으로 읽기 전용 복제본 중 하나로 장애 조치됩니다. 이러한 장애 조치 및 복제본 승격을 통해 승격이 완료된 후 새로운 기본 복제본에 대한 쓰기를 재개할 수 있으므로 실패 시 전체 가동 중지 시간이 줄어듭니다.

문제 해결

기존 ElastiCache 복제 그룹에 대해 자동 장애 조치를 활성화하려면 Amazon ElastiCache 사용 설명서의 ElastiCache 클러스터 수정을 참조하세요. Amazon ElastiCache ElastiCache 콘솔을 사용하는 경우, 자동 장애 조치를 활성화됨으로 설정하세요.

[ElastiCache.4] ElastiCache 복제 그룹은 저장 시 암호화해야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)

범주: 보호 > 데이터 보호 > 저장 데이터 암호화

심각도: 중간

리소스 유형: AWS::ElastiCache::ReplicationGroup

AWS Config 규칙: elasticache-repl-grp-encrypted-at-rest

스케줄 유형: 주기적

파라미터: 없음

이 제어는 ElastiCache 복제 그룹이 저장 시 암호화되는지 확인합니다. 복제 그룹이 저장 시 암호화되지 않으면 제어가 실패합니다.

데이터를 저장 시 암호화하면 인증되지 않은 사용자가 디스크에 저장된 데이터에 액세스할 위험이 줄어듭니다. ElastiCache(Redis OSS)복제 그룹은 추가 보안 계층을 위해 저장 시 암호화되어야 합니다.

문제 해결

ElastiCache 복제 그룹에서 유휴 데이터 암호화를 구성하려면 Amazon ElastiCache 사용 설명서의 유휴 데이터 암호화 활성화를 참조하세요.

[ElastiCache.5] ElastiCache 복제 그룹은 전송 중 암호화되어야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-17(2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5(1), NIST.800-53.r5 SC-12(3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8NIST.800-53.r5 SC-853 SI-7.

범주: 보호 > 데이터 보호 > 전송 중인 데이터 암호화

심각도: 중간

리소스 유형: AWS::ElastiCache::ReplicationGroup

AWS Config 규칙: elasticache-repl-grp-encrypted-in-transit

스케줄 유형: 주기적

파라미터: 없음

이 제어는 ElastiCache 복제 그룹이 전송 중에 암호화되는지 확인합니다. 복제 그룹이 전송 중에 암호화되지 않으면 제어가 실패합니다.

전송 데이터를 암호화하면 권한이 없는 사용자가 네트워크 트래픽을 도청할 위험이 줄어듭니다. ElastiCache 복제 그룹에서 전송 중 암호화를 활성화하면 클러스터의 노드 간 또는 클러스터와 애플리케이션 간과 같이 데이터가 한 위치에서 다른 위치로 이동할 때마다 데이터가 암호화됩니다.

문제 해결

ElastiCache 복제 그룹에서 전송 중 암호화를 구성하려면 Amazon ElastiCache 사용 설명서의 전송 중 암호화 활성화를 참조하세요.

[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-6, PCI DSS v4.0.1/8.3.1

범주: 보호 > 보안 액세스 관리

심각도: 중간

리소스 유형: AWS::ElastiCache::ReplicationGroup

AWS Config 규칙: elasticache-repl-grp-redis-auth-enabled

스케줄 유형: 주기적

파라미터: 없음

이 제어는 ElastiCache(Redis OSS) 복제 그룹에 Redis OSS AUTH가 활성화되어 있는지 확인합니다. 해당 복제 그룹 노드의 Redis OSS 버전이 6.0 미만이고 AuthToken이 사용되지 않는 경우, 제어가 실패합니다.

Redis 인증 토큰 또는 비밀번호를 사용하는 경우, Redis는 클라이언트가 명령을 실행하도록 허용하기 전에 비밀번호를 요구하므로 데이터 보안이 향상됩니다. Redis 6.0 이상 버전의 경우, RBAC(역할 기반 액세스 제어)를 사용하는 것이 좋습니다. 6.0 이전의 Redis 버전에서는 RBAC가 지원되지 않으므로 이 제어는 RBAC 기능을 사용할 수 없는 버전만 평가합니다.

문제 해결

ElastiCache(Redis OSS) 복제 그룹에서 Redis AUTH를 사용하려면 Amazon ElastiCache 사용 설명서의 기존 ElastiCache(Redis OSS) 클러스터에서 AUTH 토큰 수정을 참조하세요.

[ElastiCache.7] ElastiCache 클러스터는 기본 서브넷 그룹을 사용해서는 안 됩니다.

관련 요구 사항: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(5)

범주: 보호 > 보안 네트워크 구성

심각도: 높음

리소스 유형: AWS::ElastiCache::CacheCluster

AWS Config 규칙: elasticache-subnet-group-check

스케줄 유형: 주기적

파라미터: 없음

이 제어는 ElastiCache 클러스터가 사용자 지정 서브넷 그룹으로 구성되어 있는지 확인합니다. ElastiCache 클러스터에 대한 CacheSubnetGroupName에 default 값이 있는 경우, 제어가 실패합니다.

ElastiCache 클러스터를 시작할 때 기본 서브넷 그룹이 아직 없는 경우, 기본 서브넷 그룹이 생성됩니다. 기본 그룹은 기본 Virtual Private Cloud(VPC)의 서브넷을 사용합니다. 클러스터가 있는 서브넷과 클러스터가 서브넷에서 상속하는 네트워킹을 더욱 제한하는 사용자 지정 서브넷 그룹을 사용하는 것이 좋습니다.

문제 해결

ElastiCache 클러스터를 위한 새로운 서브넷 그룹을 생성하려면 Amazon ElastiCache 사용 설명서의 서브넷 그룹 생성을 참조하세요.