Controles do Security Hub para o Amazon EMR - AWS Security Hub
[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controles do Security Hub para o Amazon EMR

Esses AWS Security Hub controles avaliam o serviço e os recursos do Amazon EMR (anteriormente chamado de Amazon Elastic MapReduce).

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.

[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4, 1, (7), (21),, (11), (16), (20)), (21), (3), (4), (9) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoria: Proteger > Configuração de rede segura

Severidade: alta

Tipo de recurso: AWS::EMR::Cluster

Regra do AWS Config : emr-master-no-public-ip

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se os nós principais nos clusters do Amazon EMR têm endereços IP públicos. O controle falhará se os endereços IP públicos estiverem associados a qualquer uma das instâncias do nó principal.

Os endereços IP públicos são designados no campo PublicIp da configuração NetworkInterfaces da instância. Esse controle verifica somente os clusters do Amazon EMR que estão em um estado RUNNING ou WAITING.

Correção

Durante a execução, você pode controlar se sua instância em uma sub-rede padrão ou não padrão recebe um endereço público IPv4 . Por padrão, as sub-redes padrão têm esse atributo definido como true. As sub-redes não padrão têm o atributo de endereçamento IPv4 público definido comofalse, a menos que tenham sido criadas pelo assistente de instância de EC2 inicialização da Amazon. Nesse caso, o atributo é definido como true.

Após o lançamento, você não pode desassociar manualmente um IPv4 endereço público da sua instância.

Para corrigir uma falha na descoberta, você deve iniciar um novo cluster em uma VPC com uma sub-rede privada que tenha IPv4 o atributo de endereçamento público definido como. false Para obter instruções, consulte Executar clusters em uma VPC no Guia de gerenciamento do Amazon EMR.

[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada

Requisitos relacionados: PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3,, (21) NIST.800-53.r5 AC-4,,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoria: Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público

Severidade: crítica

Tipo de recurso: AWS::::Account

Regra do AWS Config : emr-block-public-access

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se sua conta está configurada com o bloqueio de acesso público do Amazon EMR. O controle falhará se a configuração de bloqueio de acesso público não estiver habilitada ou se qualquer porta diferente da porta 22 for permitida.

O bloqueio de acesso público do Amazon EMR impede que você inicie um cluster em uma sub-rede pública se o cluster tiver uma configuração de segurança que permita tráfego de entrada de endereços IP públicos em uma porta. Quando um usuário de sua Conta da AWS inicia um cluster, o Amazon EMR verifica as regras de porta no grupo de segurança do cluster e as compara com as regras de tráfego de entrada. Se o grupo de segurança tiver uma regra de entrada que abre portas para os endereços IP públicos IPv4 0.0.0.0/0 ou IPv6 : :/0, e essas portas não forem especificadas como exceções para sua conta, o Amazon EMR não permitirá que o usuário crie o cluster.

nota

O bloqueio de acesso público é habilitado por padrão. Para aumentar a proteção da conta, é recomendável mantê-la habilitada.

Correção

Para configurar o bloqueio de acesso público para o Amazon EMR, consulte Uso do bloqueio de acesso público do Amazon EMR no Guia de gerenciamento do Amazon EMR.

[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso

Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest

Severidade: média

Tipo de recurso: AWS::EMR::SecurityConfiguration

Regra do AWS Config : emr-security-configuration-encryption-rest

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se uma configuração de segurança do Amazon EMR está criptografada em repouso. O controle falhará se a configuração de segurança não estiver criptografada em repouso.

Dados em repouso se referem a dados armazenados em um armazenamento persistente e não volátil por qualquer período. Criptografar os dados em repouso ajuda a proteger sua confidencialidade, reduzindo o risco de que um usuário não autorizado possa acessá-los.

Correção

Para criptografar uma configuração de segurança do Amazon EMR em repouso, consulte Configurar criptografia de dados no Guia de gerenciamento do Amazon EMR.

[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito

Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit

Severidade: média

Tipo de recurso: AWS::EMR::SecurityConfiguration

Regra do AWS Config : emr-security-configuration-encryption-transit

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se uma configuração de segurança do Amazon EMR está criptografada em trânsito. O controle falhará se a configuração de segurança não estiver criptografada em trânsito.

Dados em trânsito se referem a dados que se movem de um local para outro, como entre os nós do cluster ou entre o cluster e a aplicação. Os dados podem se mover pela Internet ou em uma rede privada. Criptografar dados em trânsito reduz o risco de um usuário não autorizado espionar o tráfego da rede.

Correção

Para criptografar uma configuração de segurança do Amazon EMR em trânsito, consulte Configurar criptografia de dados no Guia de gerenciamento do Amazon EMR.