As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Pilar de segurança do Amazon ElastiCache Well-Architected Lens
O foco do pilar Segurança está na proteção de informações e sistemas. Os principais tópicos incluem confidencialidade e integridade dos dados, identificação e gerenciamento de quem pode fazer o quê com o gerenciamento baseado em privilégios, proteção de sistemas e estabelecimento de controles para detectar eventos de segurança.
Tópicos
- SEC1: Quais etapas você está tomando para controlar o acesso autorizado aos ElastiCache dados?
- SEC2: Seus aplicativos exigem autorização adicional para além ElastiCache dos controles baseados em rede?
- SEC3: Existe o risco de que os comandos possam ser executados inadvertidamente, causando perda ou falha de dados?
- SEC4: Como você garante a criptografia de dados em repouso com ElastiCache
- SEC5: Como você criptografa dados em trânsito? ElastiCache
- SEC6: Como você restringe o acesso aos recursos do avião de controle?
- SEC7: Como você detecta e responde aos eventos de segurança?
SEC1: Quais etapas você está tomando para controlar o acesso autorizado aos ElastiCache dados?
Introdução em nível de pergunta: Todos os ElastiCache clusters são projetados para serem acessados a partir de instâncias do Amazon Elastic Compute Cloud em umaVPC, funções sem servidor (AWS Lambda) ou contêineres (Amazon Elastic Container Service). O cenário mais encontrado é acessar um ElastiCache cluster de uma instância do Amazon Elastic Compute Cloud dentro da mesma Amazon Virtual Private Cloud (Amazon Virtual Private Cloud). Antes de se conectar a um cluster a partir de uma EC2 instância da Amazon, você deve autorizar a EC2 instância da Amazon a acessar o cluster. Para acessar um ElastiCache cluster em execução em umVPC, é necessário conceder a entrada de rede ao cluster.
Benefício em nível de pergunta: a entrada da rede no cluster é controlada por meio VPC de grupos de segurança. Um grupo de segurança atua como um firewall virtual para suas EC2 instâncias da Amazon para controlar o tráfego de entrada e saída. As regras de entrada controlam o tráfego de entrada para a instância e as regras de saída controlam o tráfego de saída da instância. No caso de ElastiCache, ao iniciar um cluster, é necessário associar um grupo de segurança. Isso garante que as regras de tráfego de entrada e saída estejam em vigor para todos os nós que compõem o cluster. Além disso, ElastiCache está configurado para ser implantado exclusivamente em sub-redes privadas, de forma que elas só possam ser acessadas por meio da rede privada VPC do.
-
[Obrigatório] O grupo de segurança associado ao seu cluster controla a entrada na rede e o acesso ao cluster. Por padrão, um grupo de segurança não terá nenhuma regra de entrada definida e, portanto, nenhum caminho de entrada para. ElastiCache Para habilitar isso, configure uma regra de entrada no grupo de segurança especificando o endereço/intervalo IP de origem, o TCP tipo de tráfego e a porta do seu ElastiCache cluster (porta padrão 6379 para (Redis), por exemplo ElastiCache ). OSS Embora seja possível permitir um conjunto muito amplo de fontes de entrada, como todos os recursos em um VPC (0.0.0.0/0), é recomendável ser o mais granular possível na definição das regras de entrada, como autorizar somente o acesso de entrada a clientes Valkey ou Redis OSS executados em instâncias da Amazon Amazon associadas a um grupo de segurança específico. EC2
[Recursos]:
-
AWS Identity and Access Management As políticas [obrigatórias] podem ser atribuídas a AWS Lambda funções que lhes permitem acessar ElastiCache dados. Para ativar esse recurso, crie uma função de IAM execução com a
AWSLambdaVPCAccessExecutionRole
permissão e, em seguida, atribua a função à AWS Lambda função.[Recursos]: Configurando uma função Lambda para acessar a Amazon em uma ElastiCache VPC Amazon: Tutorial: Configurando uma função Lambda para ElastiCache acessar a Amazon em uma Amazon VPC
SEC2: Seus aplicativos exigem autorização adicional para além ElastiCache dos controles baseados em rede?
Introdução em nível de pergunta: em cenários em que é necessário restringir ou controlar o acesso aos clusters ElastiCache (RedisOSS) em um nível de cliente individual, é recomendável autenticar por meio do comando ElastiCache (Redis). OSS AUTH ElastiCache Os tokens de autenticação (RedisOSS), com gerenciamento opcional de usuários e grupos de usuários, permitem que o ElastiCache (RedisOSS) exija uma senha antes de permitir que os clientes executem comandos e acessem chaves, melhorando assim a segurança do plano de dados.
Benefício em nível de pergunta: para ajudar a manter seus dados seguros, o ElastiCache (RedisOSS) fornece mecanismos de proteção contra o acesso não autorizado aos seus dados. Isso inclui impor o controle de acesso baseado em funções (RBAC) AUTH ou o AUTH token (senha) a serem usados pelos clientes para se conectarem ElastiCache antes de executar os comandos autorizados.
-
[Melhor] Para ElastiCache (RedisOSS) 6.x e superior, defina controles de autenticação e autorização definindo grupos de usuários, usuários e cadeias de acesso. Atribua usuários a grupos de usuários, depois atribua grupos de usuários a clusters. Para ser utilizadoRBAC, ele deve ser selecionado na criação do cluster e a criptografia em trânsito deve estar ativada. Certifique-se de usar um OSS cliente Valkey ou Redis que ofereça suporte TLS para poder aproveitar. RBAC
[Recursos]:
-
[Melhor] Para versões ElastiCache (RedisOSS) anteriores à 6.x, além de definir um token/senha forte e manter uma política de senha rígida para ElastiCache (RedisOSS)AUTH, é uma prática recomendada alternar a senha/token. ElastiCache pode gerenciar até dois (2) tokens de autenticação a qualquer momento. Você também pode modificar o cluster para exigir explicitamente o uso de tokens de autenticação.
[Recursos]: modificando o AUTH token em um cluster existente ElastiCache (Redis OSS)
SEC3: Existe o risco de que os comandos possam ser executados inadvertidamente, causando perda ou falha de dados?
Introdução em nível de pergunta: há vários OSS comandos do Valkey ou do Redis que podem ter impactos adversos nas operações se executados por engano ou por agentes mal-intencionados. Esses comandos podem ter consequências não intencionais do ponto de vista da performance e da segurança dos dados. Por exemplo, um desenvolvedor pode chamar rotineiramente o FLUSHALL comando em um ambiente de desenvolvimento e, devido a um erro, pode tentar inadvertidamente chamar esse comando em um sistema de produção, resultando em perda acidental de dados.
Benefício em nível de pergunta: a partir do ElastiCache (RedisOSS) 5.0.3, você pode renomear determinados comandos que podem prejudicar sua carga de trabalho. Renomear os comandos pode ajudar a evitar que sejam executados acidentalmente no cluster.
-
[Obrigatório]
[Recursos]:
SEC4: Como você garante a criptografia de dados em repouso com ElastiCache
Introdução em nível de pergunta: Embora o ElastiCache (RedisOSS) seja um armazenamento de dados na memória, é possível criptografar qualquer dado que possa ser persistido (no armazenamento) como parte das operações padrão do cluster. Isso inclui backups programados e manuais gravados no Amazon S3, bem como dados salvos no armazenamento em disco como resultado de operações de sincronização e troca. Os tipos de instância nas famílias M6g e R6g também oferecem criptografia sempre ativa em memória.
Benefício em nível de pergunta: ElastiCache (RedisOSS) fornece criptografia opcional em repouso para aumentar a segurança dos dados.
-
[Obrigatório] A criptografia em repouso só pode ser ativada em um ElastiCache cluster (grupo de replicação) quando é criada. Um cluster existente não pode ser modificado para começar a criptografar dados em repouso. Por padrão, ElastiCache fornecerá e gerenciará as chaves usadas na criptografia em repouso.
[Recursos]:
-
[Melhor] Aproveite os tipos de EC2 instância da Amazon que criptografam dados enquanto eles estão na memória (como M6g ou R6g). Sempre que possível, considere gerenciar suas próprias chaves para criptografia em repouso. Para ambientes de segurança de dados mais rigorosos, AWS Key Management Service (KMS) pode ser usado para autogerenciar chaves mestras de cliente (). CMK Por meio da ElastiCache integração com AWS Key Management Service, você pode criar, possuir e gerenciar as chaves usadas para criptografia de dados em repouso para seu cluster ElastiCache (RedisOSS).
[Recursos]:
SEC5: Como você criptografa dados em trânsito? ElastiCache
Introdução: é um requisito comum evitar que os dados sejam comprometidos em trânsito. Isso representa dados dentro de componentes de um sistema distribuído, bem como entre clientes de aplicativos e nós de cluster. ElastiCache (RedisOSS) suporta esse requisito ao permitir a criptografia de dados em trânsito entre clientes e cluster e entre os próprios nós do cluster. Os tipos de instância nas famílias M6g e R6g também oferecem criptografia sempre ativa em memória.
Benefício em nível de pergunta: a criptografia ElastiCache em trânsito da Amazon é um recurso opcional que permite aumentar a segurança de seus dados nos pontos mais vulneráveis, quando eles estão em trânsito de um local para outro.
-
[Obrigatório] A criptografia em trânsito só pode ser habilitada em um cluster ElastiCache (RedisOSS) (grupo de replicação) após a criação. Observe que, devido ao processamento adicional necessário para criptografar/descriptografar dados, a implementação da criptografia em trânsito vai afetar a performance. Para entender o impacto, é recomendável comparar sua carga de trabalho antes e depois da ativação. encryption-in-transit
[Recursos]:
SEC6: Como você restringe o acesso aos recursos do avião de controle?
Introdução em nível de pergunta: IAM políticas e ARN habilite controles de acesso refinados para ElastiCache (RedisOSS), permitindo um controle mais rígido para gerenciar a criação, modificação e exclusão de clusters (Redis). ElastiCache OSS
Benefício em nível de pergunta: o gerenciamento de ElastiCache recursos da Amazon, como grupos de replicação, nós etc. pode ser restrito a AWS contas que tenham permissões específicas com base em IAM políticas, melhorando a segurança e a confiabilidade dos recursos.
-
[Obrigatório] Gerencie o acesso aos ElastiCache recursos da Amazon atribuindo AWS Identity and Access Management políticas específicas aos AWS usuários, permitindo um controle mais preciso sobre quais contas podem realizar quais ações nos clusters.
[Recursos]:
SEC7: Como você detecta e responde aos eventos de segurança?
Introdução em nível de pergunta:ElastiCache, quando implantado com RBAC ativado, exporta CloudWatch métricas para notificar os usuários sobre eventos de segurança. Essas métricas ajudam a identificar tentativas malsucedidas de autenticação, acesso a chaves ou execução de comandos para os quais RBAC os usuários de conexão não estão autorizados.
Além disso, AWS os recursos de produtos e serviços ajudam a proteger sua carga de trabalho geral automatizando implantações e registrando todas as ações e modificações para posterior revisão/auditoria.
Benefício: ao monitorar eventos, sua organização consegue responder de acordo com seus requisitos, políticas e procedimentos. Automatizar o monitoramento e as respostas a esses eventos de segurança fortalece sua postura geral de segurança.
-
[Obrigatório] Familiarize-se com as CloudWatch métricas publicadas relacionadas a falhas de RBAC autenticação e autorização.
-
AuthenticationFailures = Tentativas falhadas de autenticação no Valkey ou no Redis OSS
-
KeyAuthorizationFailures = Tentativas fracassadas dos usuários de acessar as chaves sem permissão
-
CommandAuthorizationFailures = Tentativas falhadas dos usuários de executar comandos sem permissão
[Recursos]:
-
-
[Ideal] É recomendável configurar alertas e notificações sobre essas métricas e responder conforme necessário.
[Recursos]:
-
[Melhor] Use o OSS ACL LOG comando Valkey ou Redis para obter mais detalhes
[Recursos]:
-
[Melhor] Familiarize-se com os recursos de AWS produtos e serviços relacionados ao monitoramento, registro e análise de ElastiCache implantações e eventos
[Recursos]: