As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Security Hub CSPM para Elasticsearch
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Elasticsearch.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.
**Requisitos relacionados:** PCI DSS v3.2.1/3.4, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6)
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::Elasticsearch::Domain`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se os domínios do Elasticsearch têm a configuração da criptografia em repouso habilitada. Ocorrerá uma falha na verificação se a criptografia em repouso não estiver habilitada.
Para uma camada adicional de segurança para seus dados confidenciais OpenSearch, você deve configurá-los OpenSearch para serem criptografados em repouso. Os domínios do Elasticsearch oferecem criptografia de dados em repouso. O recurso é usado AWS KMS para armazenar e gerenciar suas chaves de criptografia. Para executar a criptografia, ele usa o algoritmo Advanced Encryption Standard com chaves de 256 bits (AES-256).
Para saber mais sobre OpenSearch criptografia em repouso, consulte [Criptografia de dados em repouso para o Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html) no *Amazon OpenSearch Service Developer Guide*.
Certos tipos de instâncias, como `t.small` e `t.medium`, não oferecem suporte à criptografia de dados em repouso. Para obter detalhes, consulte [Tipos de instância compatíveis](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/supported-instance-types.html) no *Amazon OpenSearch Service Developer Guide*.
### Correção
Para habilitar a criptografia em repouso para domínios novos e existentes do Elasticsearch, consulte [Habilitar a criptografia de dados em repouso no](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear) *Amazon OpenSearch Service* Developer Guide.
## [ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis
**Requisitos relacionados:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),, (11), (16), (20), (21), (3), (4), (9) NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria:** Proteger > Configuração de rede segura > Recursos na VPC
**Gravidade:** crítica
**Tipo de recurso:** `AWS::Elasticsearch::Domain`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se os domínios do Elasticsearch estão em uma VPC. Ele não avalia a configuração de roteamento da sub-rede da VPC para determinar a acessibilidade pública. É necessário garantir que os domínios do Elasticsearch não estejam anexados a sub-redes públicas. Consulte as [políticas baseadas em recursos](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource) no *Amazon OpenSearch Service Developer Guide*. Você também deve garantir que a VPC esteja configurada de acordo com as melhores práticas recomendadas. Para saber mais, consulte [Grupos de segurança para a VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html) no *Guia do usuário do Amazon VPC*.
Os domínios do Elasticsearch implantados em uma VPC podem se comunicar com os recursos da VPC pela rede AWS privada, sem a necessidade de atravessar a Internet pública. Essa configuração aumenta a postura de segurança ao limitar o acesso aos dados em trânsito. VPCs forneça vários controles de rede para proteger o acesso aos domínios do Elasticsearch, incluindo ACL de rede e grupos de segurança. O Security Hub CSPM recomenda que você migre domínios públicos do Elasticsearch VPCs para aproveitar esses controles.
### Correção
Se você criar um domínio com um endpoint público, não será possível colocá-lo em uma VPC posteriormente. Em vez disso, é necessário criar um novo domínio e migrar seus dados. O inverso também é verdadeiro. Se você criar um domínio com uma VPC, ele não poderá ter um endpoint público. Em vez disso, é necessário [criar outro domínio](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) ou desabilitar esse controle.
Consulte [Lançamento de seus domínios do Amazon OpenSearch Service em uma VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html) no * OpenSearch Amazon Service* Developer Guide.
## [ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós
**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4), (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::Elasticsearch::Domain`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um domínio do Elasticsearch tem node-to-node criptografia habilitada. O controle falhará se o domínio Elasticsearch não tiver a node-to-node criptografia habilitada. O controle também produz descobertas malsucedidas se uma versão do Elasticsearch não oferecer suporte a verificações de node-to-node criptografia.
O HTTPS (TLS) pode ser usado para ajudar a impedir que possíveis invasores espionem ou manipulem o tráfego da rede usando ataques similares. person-in-the-middle Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. Habilitar a node-to-node criptografia para domínios do Elasticsearch garante que as comunicações dentro do cluster sejam criptografadas em trânsito.
Pode haver uma penalidade de performance associada a essa configuração. É necessário estar ciente e testar a compensação de performance antes de habilitar essa opção.
### Correção
Para obter informações sobre como habilitar a node-to-node criptografia em domínios novos e existentes, consulte [Habilitar a node-to-node criptografia](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn) no *Amazon OpenSearch Service Developer Guide*.
## [ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8)
**Categoria:** Identificar – Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::Elasticsearch::Domain`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
+ `logtype = 'error'` (não personalizável)
Esse controle verifica se os domínios do Elasticsearch estão configurados para enviar registros de erros para o Logs. CloudWatch
Você deve habilitar os registros de erros para os domínios do Elasticsearch e enviá-los aos Logs para CloudWatch retenção e resposta. Os logs de erros do domínio podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.
### Correção
Para obter informações sobre como habilitar a publicação de registros, consulte [Habilitando a publicação de registros (console)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console) no *Amazon OpenSearch Service Developer Guide*.
## [ES.5] Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::Elasticsearch::Domain`
**AWS Config regra:** `elasticsearch-audit-logging-enabled` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
+ `cloudWatchLogsLogGroupArnList` (não personalizável). O CSPM do Security Hub não preenche esse parâmetro. Lista separada por vírgulas de grupos de CloudWatch registros de registros que devem ser configurados para registros de auditoria.
Essa regra é válida `NON_COMPLIANT` se o grupo de CloudWatch registros de registros do domínio Elasticsearch não estiver especificado nessa lista de parâmetros.
Esse controle verifica se os domínios do Elasticsearch têm o registro em log de auditoria ativado. Esse controle falhará se um domínio do Elasticsearch não tiver o registro em log de auditoria ativado.
Os registros em log de auditoria são altamente personalizáveis. Eles permitem que você acompanhe a atividade do usuário em seus clusters do Elasticsearch, incluindo sucessos e falhas de autenticação, solicitações, alterações de indexação e consultas de pesquisa recebidas. OpenSearch
### Correção
Para obter instruções detalhadas sobre como habilitar registros de auditoria, consulte [Habilitar registros de auditoria](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) no *Amazon OpenSearch Service Developer Guide*.
## [ES.6] Os domínios do Elasticsearch devem ter pelo menos três nós de dados
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** média
**Tipo de recurso:** `AWS::Elasticsearch::Domain`
**AWS Config regra:** `elasticsearch-data-node-fault-tolerance` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se os domínios do Elasticsearch estão configurados com pelo menos três nós de dados e `zoneAwarenessEnabled` é `true`.
Um domínio do Elasticsearch requer pelo menos três nós de dados para alta disponibilidade e tolerância a falhas. A implantação de um domínio do Elasticsearch com pelo menos três nós de dados garante as operações do cluster se um nó falhar.
### Correção
**Para modificar o número de nós de dados em um domínio do Elasticsearch**
1. Abra o console do Amazon OpenSearch Service em [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. Em **Domínios**, escolha o nome do domínio que você deseja editar.
1. Selecione **Edit domain (Editar domínio)**.
1. Em **Nós de dados**, defina **Número de nós** como um número maior ou igual a `3`.
Para três implantações de zona de disponibilidade, defina um múltiplo de três para garantir uma distribuição igual entre as zonas de disponibilidade.
1. Selecione **Enviar**.
## [ES.7] Os domínios do Elasticsearch devem ser configurados com pelo menos três nós principais dedicados
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** média
**Tipo de recurso:** `AWS::Elasticsearch::Domain`
**AWS Config regra:** `elasticsearch-primary-node-fault-tolerance` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se os domínios do Elasticsearch estão configurados com pelo menos três nós primários dedicados. Esse controle indicará falha se o domínio não usar nós primários dedicados. Esse controle indicará sucesso se os domínios do Elasticsearch tiverem cinco nós primários dedicados. Porém, usar mais de três nós primários pode ser desnecessário para reduzir o risco de disponibilidade e resultará em custos adicionais.
Um domínio do Elasticsearch requer pelo menos três nós primários dedicados para garantir alta disponibilidade e tolerância a falhas. Os recursos dedicados do nó primário podem ser sobrecarregados durante blue/green as implantações dos nós de dados porque há nós adicionais para gerenciar. A implantação de um domínio do Elasticsearch com pelo menos três nós primários dedicados garante suficiente capacidade de recursos dos nós primários e operações do cluster se um nó falhar.
### Correção
**Para modificar o número de nós primários dedicados em um OpenSearch domínio**
1. Abra o console do Amazon OpenSearch Service em [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. Em **Domínios**, escolha o nome do domínio que você deseja editar.
1. Selecione **Edit domain (Editar domínio)**.
1. Em **Nós principais dedicados**, defina o **Tipo de instância** como o tipo de instância desejado.
1. Defina o **Número de nós principais** igual a três ou mais.
1. Selecione **Enviar**.
## [ES.8] As conexões com os domínios do Elasticsearch devem ser criptografadas usando a política de segurança TLS mais recente
**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::Elasticsearch::Domain`
**AWS Config regra:** `elasticsearch-https-required` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um endpoint de domínio do Elasticsearch está configurado para usar a política de segurança TLS mais recente. O controle falhará se o endpoint do domínio Elasticsearch não estiver configurado para usar a política mais recente suportada ou se HTTPs não estiver habilitado. A política de segurança TLS mais recente compatível atualmente é a `Policy-Min-TLS-1-2-PFS-2023-10`.
O HTTPS (TLS) pode ser usado para ajudar a impedir que possíveis invasores usem ataques semelhantes para espionar person-in-the-middle ou manipular o tráfego da rede. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. A criptografia de dados em trânsito pode afetar a performance. É necessário testar sua aplicação com esse atributo para entender o perfil de performance e o impacto do TLS. O TLS 1.2 fornece vários aprimoramentos de segurança em relação às versões anteriores do TLS.
### Correção
Para habilitar a criptografia TLS, use a operação da API [https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html) para configurar o objeto [https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html). Isso define a `TLSSecurityPolicy`.
## [ES.9] Os domínios do Elasticsearch devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Elasticsearch::Domain`
**AWS Config regra:** `tagged-elasticsearch-domain` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se um domínio do Elasticsearch tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o domínio não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o domínio não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um domínio do Elasticsearch, consulte Como [trabalhar com tags](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console) no *Amazon OpenSearch Service Developer Guide*.