本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Security Hub CSPM 控件适用于 ElastiCache
这些 AWS Security Hub CSPM 控制措施用于评估 Amazon ElastiCache 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息,请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。
## [ElastiCache.1] ElastiCache (Redis OSS) 集群应启用自动备份
**相关要求:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、nist.800-53.r5 SI-12、nist.800-53.r5 SI-13 (5)
**类别:**恢复 > 弹性 > 启用备份
**严重性:**高
**资源类型:**`AWS::ElastiCache::CacheCluster`、`AWS:ElastiCache:ReplicationGroup`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html)
**计划类型:**定期
**参数:**
| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 |
| --- | --- | --- | --- | --- |
| `snapshotRetentionPeriod` | 最短快照保留期(以天为单位) | 整数 | `1` 到 `35` | `1` |
此控件评估亚马逊 ElastiCache (Redis OSS)集群是否启用了自动备份。如果 Redis OSS 集群的 `SnapshotRetentionLimit` 小于指定时间段,则该控件会失败。除非您为快照保留期提供自定义参数值,否则 Security Hub CSPM 将使用默认值 1 天。
ElastiCache (Redis OSS)集群可以备份其数据。可以使用备份还原集群或为新集群做种。备份包含集群的元数据以及集群中的所有数据。所有备份都写入 Amazon S3,后者提供持久性存储。您可以通过创建新 ElastiCache 集群并在其中填充备份中的数据来恢复数据。您可以使用 AWS 管理控制台 AWS CLI、和 ElastiCache API 管理备份。
**注意**
此控件还会评估 ElastiCache (Redis OSS 和 Valkey)复制组。
### 修复
有关为 ElastiCache 集群安排自动备份的信息,请参阅 *Amazon ElastiCache 用户指南*中的[安排自动备份](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups-automatic.html)。
## [ElastiCache.2] ElastiCache 集群应启用自动次要版本升级
**相关要求:**NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)PCI DSS v4.0.1/6.3.3
**类别:**识别 > 漏洞、补丁和版本管理
**严重性:**高
**资源类型:**`AWS::ElastiCache::CacheCluster`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html)
**计划类型:**定期
**参数:**无
此控件用于评估 Amazon 是否 ElastiCache 自动对缓存集群应用次要版本升级。如果缓存集群未自动应用次要版本升级,则此控件会失败。
**注意**
此控件不适用于 ElastiCache Memcached 集群。
自动次要版本升级是您可以在 Amazon 中启用的一项功能,以便在新的次 ElastiCache 要缓存引擎版本可用时自动升级您的缓存集群。这些升级可能包括安全补丁和错误修复。继续 up-to-date安装补丁是保护系统的重要一步。
### 修复
要自动对现有 ElastiCache 缓存集群应用次要[版本升级,请参阅 *Amazon ElastiCache 用户指南 ElastiCache*中的版本管理](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VersionManagement.html)。
## [ElastiCache.3] ElastiCache 复制组应启用自动故障切换
**相关要求:** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、nist.800-53.r5 SI-13 (5)
**类别:**恢复 > 弹性 > 高可用性
**严重性:**中
**资源类型:**`AWS::ElastiCache::ReplicationGroup`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html)
**计划类型:**定期
**参数:**无
此控件检查 ElastiCache 复制组是否启用了自动故障转移。如果未为复制组启用自动失效转移,则此控件会失败。
为复制组启用自动失效转移后,主节点的角色将自动将失效转移到其中一个只读副本。此失效转移和副本升级可确保您可以在升级完成后恢复写入新的主数据库,从而减少发生故障时的总体停机时间。
### 修复
要为现有 ElastiCache 复制组启用自动故障转移,请参阅 *Amazon ElastiCache 用户指南*中的[修改 ElastiCache 集群](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/Clusters.Modify.html#Clusters.Modify.CON)。如果您使用 ElastiCache 控制台,请将**自动故障转移**设置为启用。
## [ElastiCache.4] ElastiCache 复制组应进行静态加密
**相关要求:** NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8、 NIST.800-53.r5 SC-2 8 (1)、 NIST.800-53.r5 SC-7 (10)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI-7 (6)
**类别:**保护 > 数据保护 > 加密 data-at-rest
**严重性:**中
**资源类型:**`AWS::ElastiCache::ReplicationGroup`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html)
**计划类型:**定期
**参数:**无
此控件检查 ElastiCache 复制组是否处于静态加密状态。如果未对复制组进行静态加密,则此控件会失败。
对静态数据进行加密可降低未经身份验证的用户访问存储在磁盘上的数据的风险。 ElastiCache (Redis OSS)复制组应进行静态加密,以增加安全性。
### 修复
要在 ElastiCache 复制组上配置静态加密,请参阅 A *mazon ElastiCache 用户*指南中的[启用静态加密](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/at-rest-encryption.html#at-rest-encryption-enable)。
## [ElastiCache.5] ElastiCache 复制组在传输过程中应加密
**相关要求:** NIST.800-53.r5 AC-17 (2)、、(1) NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3)、3、3 (3)、( NIST.800-53.r5 SC-13)、 NIST.800-53.r5 SC-2 (4)、 NIST.800-53.r5 SC-2 (1)、 NIST.800-53.r5 SC-7 (2)、nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)、PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8
**类别:**保护 > 数据保护 > 加密 data-in-transit
**严重性:**中
**资源类型:**`AWS::ElastiCache::ReplicationGroup`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html)
**计划类型:**定期
**参数:**无
此控件检查 ElastiCache 复制组在传输过程中是否已加密。如果未在传输过程中加密复制组,则此控件会失败。
对传输中数据进行加密可降低未经授权的用户侦听网络流量的风险。在 ElastiCache 复制组上启用传输中的加密可在数据从一个位置移动到另一个位置时对其进行加密,例如在集群中的节点之间或集群与应用程序之间。
### 修复
要在 ElastiCache 复制组上配置传输中加密,请参阅 A *mazon ElastiCache 用户*指南中的[启用传输中加密](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/in-transit-encryption.html)。
## [ElastiCache.6] ElastiCache (Redis OSS)早期版本的复制组应启用 Redis OSS 身份验证
**相关要求:** NIST.800-53.r5 AC-2(1)、(15) NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-6、PCI DSS v4.0.1/8.3.1
**类别:**保护 > 安全访问管理
**严重性:**中
**资源类型:**`AWS::ElastiCache::ReplicationGroup`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html)
**计划类型:**定期
**参数:**无
此控件检查 ElastiCache (Redis OSS)复制组是否启用了 Redis OSS 身份验证。如果复制组节点的 Redis OSS 版本低于 6.0 且未使用 `AuthToken`,则此控件将失败。
当您使用 Redis 身份验证令牌或密码时,Redis 在允许客户端运行命令之前需要密码,这提高了数据安全性。对于Redis 6.0及更高版本,我们建议使用基于角色的访问控制(RBAC)。由于 6.0 之前的 Redis 版本不支持 RBAC,因此此控件仅评估无法使用 RBAC 功能的版本。
### 修复
*要在 ElastiCache (Redis OSS)复制组上使用 Redis [身份验证,请参阅亚马逊用户指南中的修改现有 ElastiCache (Redis OSS)集群上的身份验证令牌](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/auth.html#auth-modifyng-token)。 ElastiCache *
## [ElastiCache.7] ElastiCache 群集不应使用默认子网组
**相关要求:** NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 (5)
**类别:**保护 > 安全网络配置
**严重性:**高
**资源类型:**`AWS::ElastiCache::CacheCluster`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html)
**计划类型:**定期
**参数:**无
此控件检查集 ElastiCache 群是否配置了自定义子网组。如果 ElastiCache 群集的值`CacheSubnetGroupName`为该值,则控制失败`default`。
启动 ElastiCache 集群时,如果尚不存在默认子网组,则会创建一个默认子网组。默认组使用来自默认虚拟私有云(VPC)的子网。我们建议使用对集群所在子网以及集群从子网继承的网络进行更严格的限制的自定义子网组。
### 修复
要为 ElastiCache 集群创建新的子网组,请参阅 *Amazon ElastiCache 用户指南*中的[创建子网组](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SubnetGroups.Creating.html)。