本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
适用于亚马逊的 Security Hub 控件 EMR
这些 AWS Security Hub 控制评估亚马逊EMR(以前称为 Amazon Elastic MapReduce)服务和资源。
这些控件可能并非全部可用 AWS 区域。 有关更多信息,请参阅按地区划分的控件可用性。
[EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址
相关要求:PCIDSSv3.2.1/1.2.1、v3.2.1/1.3.1、PCI DSS v3.2.1/1.3. PCI DSS 2、v3.2.1/1.3. PCI DSS 4、v3.2.1/1.3. PCI DSS 6、 NIST.800-53.r5 AC-2 1、、 NIST.800-53.r5 AC-3(7)、、(21)、、(11)、(11)、(16) NIST.800-53.r5 AC-3、(20)、(21) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4(21)、(3) NIST.800-53.r5 AC-6、(4) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
类别:保护 > 安全网络配置
严重性:高
资源类型:AWS::EMR::Cluster
AWS Config 规则:emr-master-no-public-ip
计划类型:定期
参数:无
此控件检查 Amazon EMR 集群上的主节点是否具有公有 IP 地址。如果公有 IP 地址与任何主节点实例相关联,则控制失败。
公有 IP 地址是在实例的 NetworkInterfaces
配置 PublicIp
字段中指定的。此控件仅检查处于RUNNING
或WAITING
状态的 Amazon EMR 集群。
修复
在启动期间,您可以控制是否为默认子网或非默认子网中的实例分配公有IPv4地址。默认情况下,默认子网的此属性设置为 true
。非默认子网的IPv4公共寻址属性设置为false
,除非它是由 Amazon EC2 启动实例向导创建的。在这种情况下,会将属性设置为 true
。
启动后,您无法手动取消公有IPv4地址与您的实例的关联。
要修复失败的查找结果,您必须在私有子网中启动一个VPC新集群,该子网的IPv4公有寻址属性设置为false
。有关说明,请参阅《Amazon EMR 管理指南》VPC中的将集群启动到中。
[EMR.2] 应启用 Amazon EMR 禁止公开访问设置
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 (9)
类别:保护 > 安全访问管理 > 资源不公开访问
严重性:严重
资源类型:AWS::::Account
AWS Config 规则:emr-block-public-access
计划类型:定期
参数:无
此控件会检查您的账户是否配置了 Amazon EMR 禁止公开访问。如果未启用屏蔽公共访问权限设置或允许除端口 22 之外的任何端口,则控制失败。
如果集群的安全配置允许来自公有 IP 地址的入站流量进入端口,则 Amazon EMR 阻止公有访问会阻止您在公有子网中启动该集群。当用户来自你的 AWS 账户 启动集群,Amazon EMR 会检查该集群的安全组中的端口规则,并将其与您的入站流量规则进行比较。如果安全组有向公有 IP 地址 IPv4 0.0.0.0/0 或IPv6:: /0 开放端口的入站规则,并且这些端口未被指定为账户的例外情况,则 Amazon EMR 不允许用户创建集群。
注意
默认情况下,阻止公有访问处于启用状态。为了增强账户保护,我们建议您将其保持启用状态。
修复
要为亚马逊配置阻止公共访问EMR,请参阅《亚马逊EMR管理指南》中的 “使用亚马逊EMR屏蔽公共访问”。