As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles do Security Hub para ElastiCache
Esses AWS Security Hub controles avaliam o ElastiCache serviço e os recursos da Amazon.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.
[ElastiCache.1] Os clusters ElastiCache (RedisOSS) devem ter backups automáticos habilitados
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST
Categoria: Recuperação > Resiliência > Backups ativados
Severidade: alta
Tipo de recurso: AWS::ElastiCache::CacheCluster,AWS:ElastiCache:ReplicationGroup
Regra do AWS Config : elasticache-redis-cluster-automatic-backup-check
Tipo de programação: Periódico
Parâmetros:
| Parameter | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
|
|
Período mínimo de retenção de snapshot em dias |
Inteiro |
|
|
Esse controle avalia se um cluster Amazon ElastiCache (RedisOSS) tem backups automáticos programados. O controle falhará se o SnapshotRetentionLimit para o cluster do Redis menor que o período de tempo especificado. A menos que você forneça um valor de parâmetro personalizado para o período de retenção do snapshot, o Security Hub usará um valor padrão de 1 dia.
Os clusters Amazon ElastiCache (RedisOSS) podem fazer backup de seus dados. O backup pode ser usado para restaurar um cluster ou propagar um novo cluster. O backup consiste nos metadados do cluster, juntamente com todos os dados do cluster. Todos os backups são gravados no Amazon Simple Storage Service (Amazon S3), que fornece armazenamento durável. Você pode restaurar seus dados criando um novo cluster Redis e preenchendo-o com dados de um backup. Você pode gerenciar backups usando o. AWS Management Console, the AWS Command Line Interface (AWS CLI) ElastiCache API e.
Correção
Para programar backups automáticos em um cluster ElastiCache (RedisOSS), consulte Programação de backups automáticos no Guia ElastiCache do usuário da Amazon.
[ElastiCache.2] os ElastiCache clusters devem ter atualizações automáticas de versões secundárias habilitadas
Requisitos relacionados: NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), .800-53.r5 SI-2 (5) NIST v4.0.1/6.3.3 NIST PCI DSS
Categoria: Identificar > Gerenciamento de vulnerabilidades, patches e versões
Severidade: alta
Tipo de recurso: AWS::ElastiCache::CacheCluster
Regra do AWS Config : elasticache-auto-minor-version-upgrade-check
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle avalia se a Amazon aplica ElastiCache automaticamente atualizações de versões menores a um cluster de cache. O controle falhará se o cluster de cache não tiver atualizações de versão secundárias aplicadas automaticamente.
nota
Esse controle não se aplica aos clusters do ElastiCache Memcached.
A atualização automática de versões secundárias é um recurso que você pode ativar na Amazon ElastiCache para atualizar automaticamente seus clusters de cache quando uma nova versão secundária do mecanismo de cache estiver disponível. Essas atualizações podem incluir patches de segurança e correções de erros. Continuar up-to-date com a instalação do patch é uma etapa importante para proteger os sistemas.
Correção
Para aplicar automaticamente pequenas atualizações de versões a um cluster de ElastiCache cache existente, consulte Gerenciamento de versões ElastiCache no Guia do ElastiCache usuário da Amazon.
[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Categoria: Recuperação > Resiliência > Alta disponibilidade
Severidade: média
Tipo de recurso: AWS::ElastiCache::ReplicationGroup
Regra do AWS Config : elasticache-repl-grp-auto-failover-enabled
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se um grupo de ElastiCache replicação tem o failover automático ativado. O controle falhará se o failover automático não estiver habilitado para um grupo de replicação.
Quando o failover automático é habilitado para um grupo de replicação, o perfil do nó primário fará failover automaticamente para uma das réplicas de leitura. O failover e a promoção de réplica garantem que você possa continuar a gravar no novo primário assim que a promoção estiver concluída, reduzindo o tempo de interrupção geral em caso de falha.
Correção
Para habilitar o failover automático para um grupo de ElastiCache replicação existente, consulte Modificação de um ElastiCache cluster no Guia do usuário da Amazon ElastiCache . Se você usa o ElastiCache console, defina o failover automático como ativado.
[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)
Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest
Severidade: média
Tipo de recurso: AWS::ElastiCache::ReplicationGroup
Regra do AWS Config : elasticache-repl-grp-encrypted-at-rest
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se um grupo de ElastiCache replicação está criptografado em repouso. O controle falhará se o grupo de replicação não estiver criptografado em repouso.
Criptografar dados em repouso reduz o risco de um usuário não autenticado ter acesso aos dados armazenados em disco. ElastiCache Os grupos de replicação (RedisOSS) devem ser criptografados em repouso para uma camada adicional de segurança.
Correção
Para configurar a criptografia em repouso em um grupo de ElastiCache replicação, consulte Habilitar a criptografia em repouso no Guia do usuário da Amazon ElastiCache .
[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito
Requisitos relacionados: NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-7 (1), (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), v4.0.1/4.2.1 PCI DSS
Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit
Severidade: média
Tipo de recurso: AWS::ElastiCache::ReplicationGroup
Regra do AWS Config : elasticache-repl-grp-encrypted-in-transit
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se um grupo de ElastiCache replicação está criptografado em trânsito. O controle falhará se o grupo de replicação não estiver criptografado em trânsito.
Criptografar dados em trânsito reduz o risco de um usuário não autorizado espionar o tráfego da rede. A ativação da criptografia em trânsito em um grupo de ElastiCache replicação criptografa seus dados sempre que eles são movidos de um lugar para outro, como entre os nós do cluster ou entre o cluster e o aplicativo.
Correção
Para configurar a criptografia em trânsito em um grupo de ElastiCache replicação, consulte Habilitar a criptografia em trânsito no Guia do usuário da Amazon ElastiCache .
[ElastiCache.6] ElastiCache (RedisOSS) grupos de replicação de versões anteriores devem ter o Redis ativado OSS AUTH
Requisitos relacionados: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6, PCI DSS v4.0.1/8.3.1
Categoria: Proteger > Gerenciamento de acesso seguro
Severidade: média
Tipo de recurso: AWS::ElastiCache::ReplicationGroup
Regra do AWS Config : elasticache-repl-grp-redis-auth-enabled
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se um grupo de replicação ElastiCache (RedisOSS) tem o Redis OSS AUTH ativado. O controle falhará se a OSS versão Redis dos nós do grupo de replicação estiver abaixo de 6.0 e AuthToken não estiver em uso.
Ao usar os tokens de autenticação do Redis, ou senhas, o Redis exige uma senha antes de permitir que os clientes executem comandos, melhorando assim a segurança dos dados. Para o Redis 6.0 e versões posteriores, recomendamos usar o Controle de Acesso Baseado em Função (). RBAC Como não RBAC é compatível com versões do Redis anteriores à 6.0, esse controle avalia apenas as versões que não podem usar o recurso. RBAC
Correção
Para usar o Redis AUTH em um grupo de replicação ElastiCache (RedisOSS), consulte Modificação do AUTH token em um OSS cluster existente ElastiCache (Redis) no Guia do usuário da Amazon. ElastiCache
[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão
Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)
Categoria: Proteger > Configuração de rede segura
Severidade: alta
Tipo de recurso: AWS::ElastiCache::CacheCluster
Regra do AWS Config : elasticache-subnet-group-check
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se um ElastiCache cluster está configurado com um grupo de sub-rede personalizado. O controle falhará se CacheSubnetGroupName for um ElastiCache cluster tiver o valordefault.
Ao iniciar um ElastiCache cluster, um grupo de sub-rede padrão é criado, caso ainda não exista um. O grupo padrão usa sub-redes da nuvem privada virtual padrão ()VPC. Recomendamos usar grupos de sub-redes personalizados que sejam mais restritivos em relação às sub-redes em que o cluster reside e à rede que o cluster herda das sub-redes.
Correção
Para criar um novo grupo de sub-redes para um ElastiCache cluster, consulte Criação de um grupo de sub-redes no Guia ElastiCache do usuário da Amazon.
