As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Controles de CSPM do Security Hub para Amazon EMR
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon EMR (anteriormente chamado de Amazon Elastic MapReduce). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos
**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4, 1, (7), (21),, (11), (16), (20)), (21), (3), (4), (9) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** alta
**Tipo de recurso:** `AWS::EMR::Cluster`
**AWS Config regra: emr-master-no-public** [-ip](https://docs.aws.amazon.com/config/latest/developerguide/emr-master-no-public-ip.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se os nós principais nos clusters do Amazon EMR têm endereços IP públicos. O controle falhará se os endereços IP públicos estiverem associados a qualquer uma das instâncias do nó principal.
Os endereços IP públicos são designados no campo `PublicIp` da configuração `NetworkInterfaces` da instância. Esse controle verifica somente os clusters do Amazon EMR que estão em um estado `RUNNING` ou `WAITING`.
### Correção
Durante a execução, você pode controlar se sua instância em uma sub-rede padrão ou não padrão recebe um endereço público IPv4 . Por padrão, as sub-redes padrão têm esse atributo definido como `true`. As sub-redes não padrão têm o atributo de endereçamento IPv4 público definido como`false`, a menos que tenham sido criadas pelo assistente de instância de EC2 inicialização da Amazon. Nesse caso, o atributo é definido como `true`.
Após o lançamento, você não pode desassociar manualmente um IPv4 endereço público da sua instância.
Para corrigir uma falha na descoberta, você deve iniciar um novo cluster em uma VPC com uma sub-rede privada que tenha IPv4 o atributo de endereçamento público definido como. `false` Para obter instruções, consulte [Executar clusters em uma VPC](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-vpc-launching-job-flows.html) no *Guia de gerenciamento do Amazon EMR*.
## [EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada
**Requisitos relacionados:** PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3,, (21) NIST.800-53.r5 AC-4,,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria:** Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público
**Gravidade:** crítica
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [emr-block-public-access](https://docs.aws.amazon.com/config/latest/developerguide/emr-block-public-access.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se sua conta está configurada com o bloqueio de acesso público do Amazon EMR. O controle falhará se a configuração de bloqueio de acesso público não estiver habilitada ou se qualquer porta diferente da porta 22 for permitida.
O bloqueio de acesso público do Amazon EMR impede que você inicie um cluster em uma sub-rede pública se o cluster tiver uma configuração de segurança que permita tráfego de entrada de endereços IP públicos em uma porta. Quando um usuário de sua Conta da AWS inicia um cluster, o Amazon EMR verifica as regras de porta no grupo de segurança do cluster e as compara com as regras de tráfego de entrada. Se o grupo de segurança tiver uma regra de entrada que abre portas para os endereços IP públicos IPv4 0.0.0.0/0 ou IPv6 : :/0, e essas portas não forem especificadas como exceções para sua conta, o Amazon EMR não permitirá que o usuário crie o cluster.
**nota**
O bloqueio de acesso público é habilitado por padrão. Para aumentar a proteção da conta, é recomendável mantê-la habilitada.
### Correção
Para configurar o bloqueio de acesso público para o Amazon EMR, consulte [Uso do bloqueio de acesso público do Amazon EMR](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-block-public-access.html) no *Guia de gerenciamento do Amazon EMR*.
## [EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CP-9 (8), NIST.800-53.r5 SI-12
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::EMR::SecurityConfiguration`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Este controle verifica se uma configuração de segurança do Amazon EMR tem a criptografia em repouso habilitada. O controle falhará se a configuração de segurança não habilitar a criptografia em repouso.
Dados em repouso se referem a dados armazenados em um armazenamento persistente e não volátil por qualquer período. Criptografar os dados em repouso ajuda a proteger sua confidencialidade, reduzindo o risco de que um usuário não autorizado possa acessá-los.
### Correção
Para habilitar a criptografia em repouso em uma configuração de segurança do Amazon EMR, consulte [Configuração da criptografia de dados](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html) no *Guia de gerenciamento do Amazon EMR*.
## [EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito
**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-8,, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3)
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::EMR::SecurityConfiguration`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Este controle verifica se uma configuração de segurança do Amazon EMR tem a criptografia em trânsito habilitada. O controle falhará se a configuração de segurança não habilitar a criptografia em trânsito.
Dados em trânsito se referem a dados que se movem de um local para outro, como entre os nós do cluster ou entre o cluster e a aplicação. Os dados podem se mover pela Internet ou em uma rede privada. Criptografar dados em trânsito reduz o risco de um usuário não autorizado espionar o tráfego da rede.
### Correção
Para habilitar a criptografia em trânsito em uma configuração de segurança do Amazon EMR, consulte [Configuração da criptografia de dados](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html) no *Guia de gerenciamento do Amazon EMR*.