Controles do Security Hub para Amazon EMR - AWS Security Hub
[EMR.1] Os nós primários EMR do cluster Amazon não devem ter endereços IP públicos[EMR.2] A configuração de EMR bloqueio de acesso público da Amazon deve estar ativada

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controles do Security Hub para Amazon EMR

Esses AWS Security Hub controles avaliam o serviço e os recursos da Amazon EMR (anteriormente chamada de Amazon Elastic MapReduce).

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.

[EMR.1] Os nós primários EMR do cluster Amazon não devem ter endereços IP públicos

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11), (16), (20), (21) NIST.800-53.r5 AC-3, (3), (4) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (9) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoria: Proteger > Configuração de rede segura

Severidade: alta

Tipo de recurso: AWS::EMR::Cluster

Regra do AWS Config : emr-master-no-public-ip

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se os nós principais nos EMR clusters da Amazon têm endereços IP públicos. O controle falhará se os endereços IP públicos estiverem associados a qualquer uma das instâncias do nó principal.

Os endereços IP públicos são designados no campo PublicIp da configuração NetworkInterfaces da instância. Esse controle verifica apenas os EMR clusters da Amazon que estão em um WAITING estado RUNNING ou.

Correção

Durante a execução, você pode controlar se sua instância em uma sub-rede padrão ou não padrão recebe um endereço públicoIPv4. Por padrão, as sub-redes padrão têm esse atributo definido como true. As sub-redes não padrão têm o atributo de endereçamento IPv4 público definido comofalse, a menos que tenham sido criadas pelo assistente de instância de EC2 inicialização da Amazon. Nesse caso, o atributo é definido como true.

Após o lançamento, você não pode desassociar manualmente um IPv4 endereço público da sua instância.

Para corrigir uma falha na descoberta, você deve iniciar um novo cluster em uma VPC sub-rede privada que tenha o atributo de endereçamento IPv4 público definido como. false Para obter instruções, consulte Iniciar clusters VPC em um no Amazon EMR Management Guide.

[EMR.2] A configuração de EMR bloqueio de acesso público da Amazon deve estar ativada

Requisitos relacionados: PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7

Categoria: Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público

Severidade: crítica

Tipo de recurso: AWS::::Account

Regra do AWS Config : emr-block-public-access

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se sua conta está configurada com o EMR bloqueio de acesso público da Amazon. O controle falhará se a configuração de bloqueio de acesso público não estiver habilitada ou se qualquer porta diferente da porta 22 for permitida.

O EMR bloqueio de acesso público da Amazon impede que você lance um cluster em uma sub-rede pública se o cluster tiver uma configuração de segurança que permita tráfego de entrada de endereços IP públicos em uma porta. Quando um usuário do seu Conta da AWS executa um cluster, a Amazon EMR verifica as regras de porta no grupo de segurança do cluster e as compara com suas regras de tráfego de entrada. Se o grupo de segurança tiver uma regra de entrada que abre portas para os endereços IP públicos IPv4 0.0.0.0/0 ouIPv6:: /0, e essas portas não forem especificadas como exceções para sua conta, a EMR Amazon não permitirá que o usuário crie o cluster.

nota

O bloqueio de acesso público é habilitado por padrão. Para aumentar a proteção da conta, é recomendável mantê-la habilitada.

Correção

Para configurar o bloqueio de acesso público para a AmazonEMR, consulte Usando o EMR bloqueio de acesso público da Amazon no Guia EMR de gerenciamento da Amazon.