本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

Security Hub OpenSearch 服务控件

这些 AWS Security Hub 控制措施评估亚马逊 OpenSearch 服务（OpenSearch 服务）服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 按地区划分的控件可用性。

[Opensearch.1] OpenSearch 域名应启用静态加密

相关要求：PCIDSSv3.2.1/1.2.1、v3.2.1/1.3.1、PCI DSS v3.2.1/1.3. PCI DSS 4、v3.2. PCI DSS 1/7.2.1、(1)、3、8、8 (1)、.800-53.r5 SI-7 (6) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST

类别：保护 > 数据保护 > 加密 data-at-rest

严重性：中

资源类型：AWS::OpenSearch::Domain

AWS Config 规则：opensearch-encrypted-at-rest

计划类型：已触发变更

参数：无

此控件检查 OpenSearch 域名是否启用了 encryption-at-rest配置。如果未启用静态加密，检查将失败。

为了增加敏感数据的安全性，您应将 OpenSearch 服务域配置为静态加密。配置静态数据加密时，会 AWS KMS 存储和管理您的加密密钥。要执行加密，请 AWS KMS 使用带有 256 位密钥 (AES-256) 的高级加密标准算法。

要了解有关静态 OpenSearch 服务加密的更多信息，请参阅《亚马逊服务开发者指南》中的亚马逊 OpenSearch 服务静态数据加密。 OpenSearch

修复

要为新域和现有 OpenSearch 域名启用静态加密，请参阅 Amazon S OpenSearch ervice 开发者指南中的启用静态数据加密。

[Opensearch.2] OpenSearch 域名不应向公众开放

相关要求：PCIDSSv3.2.1/1.2.1、v3.2.1/1.3.1、PCI DSS v3.2.1/1.3. PCI DSS 2、v3.2.1/1.3. PCI DSS 4、v3.2.1/1.3. PCI DSS 6、 NIST.800-53.r5 AC-2 1、、 NIST.800-53.r5 AC-3（7）、、（21）、、（11）、（11）、（16） NIST.800-53.r5 AC-3、（20）、（21） NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4（21）、（3） NIST.800-53.r5 AC-6、（4） NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7（9） NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

类别：保护 > 安全网络配置 > 其中的资源 VPC

严重性：严重

资源类型：AWS::OpenSearch::Domain

AWS Config 规则：opensearch-in-vpc-only

计划类型：已触发变更

参数：无

此控件检查 OpenSearch 域是否在VPC. 它不评估VPC子网路由配置来确定公有访问。

您应确保 OpenSearch 域名未连接到公共子网。请参阅《Amazon OpenSearch 服务开发者指南》中的基于资源的政策。您还应确保根据推荐的最佳实践进行配置。VPC请参阅《Amazon VPC 用户指南》VPC中的安全最佳实践。

OpenSearch 部署在中的域VPC可以通过私有 AWS 网络与VPC资源通信，无需穿越公共 Internet。此配置通过限制对传输中数据的访问来提高安全状况。 VPCs提供多种网络控制来保护对 OpenSearch 域名的访问，包括网络ACL和安全组。Security Hub 建议您将公共 OpenSearch 域迁移VPCs到以利用这些控制措施。

修复

如果您创建带有公共终端节点的域，则以后无法将其放置在中VPC。您必须创建一个新的域，然后迁移数据。反之亦然。如果您在中创建域VPC，则该域不能有公共终端节点。您必须创建另一个域或禁用该控制。

有关说明，请参阅《亚马逊 OpenSearch 服务开发者指南》VPC中的在中启动您的亚马逊 OpenSearch 服务域名。

[Opensearch.3] OpenSearch 域应加密节点之间发送的数据

相关要求： NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-1 3、 NIST.800-53.r5 SC-2 3、 NIST.800-53.r5 SC-2 3 (3)、 NIST.800-53.r5 SC-7 (3)、(4) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8 (1)、 NIST.800-53.r5 SC-8 (2)

类别：保护 > 数据保护 > 加密 data-in-transit

严重性：中

资源类型：AWS::OpenSearch::Domain

AWS Config 规则：opensearch-node-to-node-encryption-check

计划类型：已触发变更

参数：无

此控件检查 OpenSearch 域名是否启用了 node-to-node加密。如果在域上禁用了 node-to-node加密，则此控件将失败。

HTTPS(TLS) 可用于帮助防止潜在的攻击者使用 person-in-the-middle或类似的攻击窃听或操纵网络流量。只应允许通过 HTTPS (TLS) 进行加密连接。为 OpenSearch 域启用 node-to-node加密可确保集群内部通信在传输过程中得到加密。

此配置可能会降低性能。在启用此选项之前，您应该了解并测试性能权衡。

修复

要在 OpenSearch 域上启用 node-to-node加密，请参阅《亚马逊 OpenSearch 服务开发者指南》中的启用 node-to-node加密。

[Opensearch.4] OpenSearch 应该启用记录到 CloudWatch 日志的域名错误

相关要求： NIST.800-53.r5 AC-2(4)、(26)、(9)、、 NIST.800-53.r5 AC-4 (9)、 NIST.800-53.r5 AC-6 .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、NIST .800-53.r5 SI-4 (20)、.800-53.r5 (20)、NIST .800-53.r5 SI-7 (8) NIST

类别：识别 > 日志记录

严重性：中

资源类型：AWS::OpenSearch::Domain

AWS Config 规则：opensearch-logs-to-cloudwatch

计划类型：已触发变更

参数：

此控件检查 OpenSearch 域是否配置为向日志发送错误 CloudWatch 日志。如果未为域启用错误记录功能， CloudWatch 则此控件将失败。

您应该为 OpenSearch 域启用错误日志，并将这些日志发送到 CloudWatch 日志以进行保留和响应。域错误日志可以帮助进行安全和访问审计，还可以帮助诊断可用性问题。

修复

要启用日志发布，请参阅《Amazon S OpenSearch ervice 开发者指南》中的启用日志发布（控制台）。

[Opensearch.5] OpenSearch 域应启用审核日志

相关要求： NIST.800-53.r5 AC-2(4)、(26)、 NIST.800-53.r5 AC-4 (9)、、 NIST.800-53.r5 AC-6 (9)、.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8)、NIST .800-53.r5 SI-4 (20)、.8 NIST 00-53.r5 SI-7 (8)、v4.0.1/10.2.1 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST PCI DSS

类别：识别 > 日志记录

严重性：中

资源类型：AWS::OpenSearch::Domain

AWS Config 规则：opensearch-audit-logging-enabled

计划类型：已触发变更

参数：

NON_COMPLIANT如果未在此参数列表中指定 OpenSearch域的 CloudWatch 日志日志组，则此规则适用。

此控件检查 OpenSearch 域是否启用了审核记录。如果 OpenSearch 域未启用审核日志，则此控制将失败。

审核日志是高度可定制的。它们允许您跟踪OpenSearch 集群上的用户活动，包括身份验证成功和失败、对身份验证的请求OpenSearch、索引更改以及传入的搜索查询。

修复

有关启用审计日志的说明，请参阅《Amazon S OpenSearch ervice 开发者指南》中的启用审计日志。

[Opensearch.6] OpenSearch 域名应至少有三个数据节点

相关要求： NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、NIST .800-53.r5 SI-13 (5)

类别：恢复 > 弹性 > 高可用性

严重性：中

资源类型：AWS::OpenSearch::Domain

AWS Config 规则：opensearch-data-node-fault-tolerance

计划类型：已触发变更

参数：无

此控件检查 OpenSearch 域是否配置了至少三个数据节点，并且zoneAwarenessEnabled是true。如果 OpenSearch 域小于 3 或小instanceCount于 3，zoneAwarenessEnabled则此控制失败false。

一个 OpenSearch 域至少需要三个数据节点才能实现高可用性和容错能力。部署具有至少三个数据节点的 OpenSearch 域可确保在节点出现故障时集群运行。

修复

[Opensearch.7] OpenSearch 域名应启用精细访问控制

相关要求： NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (15)、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-5、 NIST.800-53.r5 AC-6

类别：保护 > 安全访问管理 > 敏感API操作受限

严重性：高

资源类型：AWS::OpenSearch::Domain

AWS Config 规则：opensearch-access-control-enabled

计划类型：已触发变更

参数：无

此控件检查 OpenSearch 域名是否启用了细粒度访问控制。如果未启用精细访问控制，则控制失败。细粒度的访问控制需要advanced-security-options在 OpenSearch 参数中启update-domain-config用。

精细的访问控制提供了更多方法来控制对您在 Ama OpenSearch zon Service 上的数据的访问权限。

修复

要启用精细访问控制，请参阅《亚马逊服务开发者指南》中的 Amazon Service OpenSearch 中的精细访问控制。 OpenSearch

[Opensearch.8] 应使用最新的安全 OpenSearch 策略对与域的连接进行加密 TLS

相关要求： NIST.800-53.r5 AC-17 (2)、 NIST.800-53.r5 AC-4、 NIST.800-53.r5 IA-5 (1)、 NIST.800-53.r5 SC-1 2 (3)、3、3、 NIST.800-53.r5 SC-1 3 ( NIST.800-53.r5 SC-23)、 NIST.800-53.r5 SC-2 (4)、 NIST.800-53.r5 SC-7 (1)、 NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8、NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)

类别：保护 > 数据保护 > 加密 data-in-transit

严重性：中

资源类型：AWS::OpenSearch::Domain

AWS Config 规则：opensearch-https-required

计划类型：已触发变更

参数：

该控制检查是否将 Amazon S OpenSearch ervice 域终端节点配置为使用最新的TLS安全策略。如果 OpenSearch 域终端节点未配置为使用最新的支持策略或HTTPs未启用，则控制失败。

HTTPS(TLS) 可用于帮助防止潜在的攻击者使用 person-in-the-middle或类似的攻击来窃听或操纵网络流量。只应允许通过 HTTPS (TLS) 进行加密连接。加密传输中数据可能会影响性能。您应该使用此功能测试您的应用程序，以了解其性能概况和影响TLS。 TLS与以前的版本相比，1.2 提供了多项安全增强功能TLS。

修复

要启用TLS加密，请使用UpdateDomainConfigAPI操作。配置DomainEndpointOptions字段以指定其值TLSSecurityPolicy。有关更多信息，请参阅《Amazon OpenSearch 服务开发者指南》中的Node-to-node 加密。

[Opensearch.9] 应该给 OpenSearch 域名加标签

类别：识别 > 清单 > 标记

严重性：低

资源类型：AWS::OpenSearch::Domain

AWS Config 规则：tagged-opensearch-domain（自定义 Security Hub 规则）

计划类型：已触发变更

参数：

此控件会检查 Amazon S OpenSearch ervice 域名是否具有参数中定义的特定密钥的标签requiredTagKeys。如果该域没有任何标签键或未在参数 requiredTagKeys 中指定所有键，则此控件会失败。如果未提供 requiredTagKeys 参数，则此控件仅会检查是否存在标签键，如果该域未使用任何键进行标记，则此控件会失败。自动应用并以 aws: 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时，可以实现基于属性的访问控制 (ABAC) 作为一种授权策略，它根据标签定义权限。您可以为IAM实体（用户或角色）和 AWS 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息，请参阅有什么ABAC用 AWS？ 在《IAM用户指南》中。

修复

要向 OpenSearch 服务域添加标签，请参阅《亚马逊 OpenSearch 服务开发者指南》中的使用标签。

[Opensearch.10] OpenSearch 域名应安装最新的软件更新

相关要求：NIST.800-53.r5 SI-2、.800-53.r5 SI-2 (2)、NIST .800-53.r5 SI-2 (4)、.800-53.r5 SI-2 (5)、v4.0.1/6.3.3 NIST NIST PCI DSS

类别：识别 > 漏洞、补丁和版本管理

严重性：低

资源类型：AWS::OpenSearch::Domain

AWS Config 规则：opensearch-update-check

计划类型：已触发变更

参数：无

此控件用于检查 Amazon S OpenSearch ervice 域是否安装了最新的软件更新。如果已有可用软件更新但没有为该域安装，则控制失败。

OpenSearch 服务软件更新提供适用于该环境的最新平台修复、更新和功能。继续 up-to-date安装补丁有助于维护域的安全性和可用性。如果没有对必需更新采取任何操作，将自动更新服务软件（通常在 2 周后）。我们建议在域流量较低的时段安排更新，以最大限度地减少服务中断。

修复

要为 OpenSearch 域安装软件更新，请参阅《Amazon OpenSearch 服务开发者指南》中的启动更新。

[Opensearch.11] OpenSearch 域名应至少有三个专用的主节点

相关要求： NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2, NIST.800-53.r5 SC-5， NIST.800-53.r5 SC-36，NIST.800-53.r5 SI-13

类别：恢复 > 弹性 > 高可用性

严重性：低

资源类型：AWS::OpenSearch::Domain

AWS Config 规则：opensearch-primary-node-fault-tolerance

计划类型：已触发变更

参数：无

此控件检查一个 Amazon S OpenSearch ervice 域是否配置了至少三个专用主节点。如果域的专用主节点少于三个，则此控件将失败。

OpenSearch 服务使用专用的主节点来提高集群稳定性。专用主节点执行集群管理任务，但不保留数据也不响应数据上传请求。我们建议您使用带备用空间的多可用区，这会向每个生产 OpenSearch 域添加三个专用的主节点。

修复

要更改 OpenSearch 域的主节点数量，请参阅《亚马逊 OpenSearch 服务开发者指南》中的创建和管理亚马逊 OpenSearch 服务域名。