本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 适用于亚马逊服务的 Security Hub CSPM 控件 OpenSearch
这些 AWS Security Hub CSPM 控制措施评估亚马逊 OpenSearch 服务(OpenSearch 服务)服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息,请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。
## [Opensearch.1] OpenSearch 域名应启用静态加密
**相关要求:**PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/7.2.1、(1)、3、8、8 (1)、nist.800-53.r5 SI-7 (6) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2
**类别:**保护 > 数据保护 > 加密 data-at-rest
**严重性:**中
**资源类型:**`AWS::OpenSearch::Domain`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html)
**计划类型:**已触发变更
**参数:**无
此控件检查 OpenSearch 域名是否启用了 encryption-at-rest配置。如果未启用静态加密,检查将失败。
为了增加敏感数据的安全性,您应将 OpenSearch 服务域配置为静态加密。配置静态数据加密时,会 AWS KMS 存储和管理您的加密密钥。要执行加密,请 AWS KMS 使用带有 256 位密钥的高级加密标准算法 (AES-256)。
*要了解有关静态 OpenSearch 服务加密的更多信息,请参阅[《亚马逊服务*开发者指南*》中的亚马逊 OpenSearch 服务静态数据](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html)加密。 OpenSearch *
### 修复
要为新域和现有 OpenSearch 域名启用静态加[密,请参阅 *Amazon S OpenSearch ervice 开发者指南*中的启用静态数据](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear)加密。
## [Opensearch.2] OpenSearch 域名不应向公众开放
**相关要求:**PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、 NIST.800-53.r5 AC-2 1、、 NIST.800-53.r5 AC-3(7)、(21)、(11)、(16)、(20)、(21)、(3) NIST.800-53.r5 AC-3、(4),(9) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**类别:**保护 > 安全网络配置 > VPC 内的资源
**严重性:**严重
**资源类型:**`AWS::OpenSearch::Domain`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html)
**计划类型:**已触发变更
**参数:**无
此控件可检查 OpenSearch 域是否在 VPC 中。它不会评估 VPC 子网路由配置来确定公共访问。
您应确保 OpenSearch 域名未连接到公有子网。请参阅《Amazon OpenSearch 服务开发者指南》中的[基于资源的政策](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource)。您还应该确保根据建议的最佳实践配置了 VPC。请参阅 Amazon VPC 用户指南中的 [VPC 安全最佳实践](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html)。
OpenSearch 部署在 VPC 中的域可以通过私有 AWS 网络与 VPC 资源通信,无需穿越公共互联网。此配置通过限制对传输中数据的访问来提高安全状况。 VPCs 提供多种网络控制措施来保护对 OpenSearch 域的访问,包括网络 ACL 和安全组。Security Hub 建议您将公共 OpenSearch 域迁移 VPCs 到以利用这些控制措施。
### 修复
如果您创建一个具有公有端点的域,则以后无法将其放置在 VPC 中。您必须创建一个新的域,然后迁移数据。反之亦然。如果在 VPC 中创建一个域,则该域不能具有公有端点。您必须[创建另一个域](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html#es-createdomains)或禁用该控制。
有关说明,请参阅[《亚马逊 OpenSearch 服务*开发者指南》中的在 VPC 内启动您的亚马逊 OpenSearch 服务*域](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html)。
## [Opensearch.3] OpenSearch 域应加密节点之间发送的数据
**相关要求:** NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-1 3、 NIST.800-53.r5 SC-2 3、 NIST.800-53.r5 SC-2 3 (3)、 NIST.800-53.r5 SC-7 (3)、(4) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8 (1)、 NIST.800-53.r5 SC-8 (2)
**类别:**保护 > 数据保护 > 加密 data-in-transit
**严重性:**中
**资源类型:**`AWS::OpenSearch::Domain`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html)
**计划类型:**已触发变更
**参数:**无
此控件检查 OpenSearch 域名是否启用了 node-to-node加密。如果在域上禁用了 node-to-node加密,则此控件将失败。
HTTPS (TLS) 可用于帮助防止潜在的攻击者使用 person-in-the-middle或类似的攻击窃听或操纵网络流量。只能允许通过 HTTPS(TLS)进行加密连接。为 OpenSearch 域启用 node-to-node加密可确保集群内部通信在传输过程中得到加密。
此配置可能会降低性能。在启用此选项之前,您应该了解并测试性能权衡。
### 修复
要在 OpenSearch 域上启用 node-to-node加密,请参阅《*亚马逊 OpenSearch 服务开发者指南*》中的[启用 node-to-node加](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn)密。
## [Opensearch.4] OpenSearch 应该启用记录到 CloudWatch 日志的域名错误
**相关要求:** NIST.800-53.r5 AC-2(4)、(26)、(9)、、 NIST.800-53.r5 AC-4 (9)、nist.800-53.r5 SI-3 NIST.800-53.r5 AC-6 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、nist.800-53.r5 SI-4 NIST.800-53.r5 SC-7 (20)、nist.800-53.r5 SI-4 (20)、nist.800-53.r5 SI-7 (8)
**类别:**识别 > 日志记录
**严重性:**中
**资源类型:**`AWS::OpenSearch::Domain`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html)
**计划类型:**已触发变更
**参数:**
+ `logtype = 'error'`(不可自定义)
此控件检查 OpenSearch 域是否配置为向日志发送错误 CloudWatch 日志。如果未为域启用错误记录功能, CloudWatch 则此控件将失败。
您应该为 OpenSearch 域启用错误日志,并将这些日志发送到 CloudWatch 日志以进行保留和响应。域错误日志可以帮助进行安全和访问审计,还可以帮助诊断可用性问题。
### 修复
要启用日志发布,请参阅《*Amazon S OpenSearch ervice 开发者指南*》中的[启用日志发布(控制台)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console)。
## [Opensearch.5] OpenSearch 域应启用审核日志
**相关要求:** NIST.800-53.r5 AC-2(4)、(26)、(9)、 NIST.800-53.r5 AC-4 (9)、 NIST.800-53.r5 AC-6 (9)、nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8)、nist.800-53.r5 SI-4 (20)、nist.800-53.r5 SI-7 (8)、PCI DSS v4.0.1/10.2.1 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7
**类别:**识别 > 日志记录
**严重性:**中
**资源类型:**`AWS::OpenSearch::Domain`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html)
**计划类型:**已触发变更
**参数:**
+ `cloudWatchLogsLogGroupArnList`(不可自定义)— Security Hub CSPM 不填充此参数。应为审核日志配置的 CloudWatch 日志组列表,以逗号分隔。
此控件检查 OpenSearch 域名是否启用了审核日志。如果 OpenSearch 域未启用审核日志,则此控件将失败。
审核日志是高度可定制的。它们允许您跟踪OpenSearch 集群上的用户活动,包括身份验证成功和失败、对身份验证的请求OpenSearch、索引更改以及传入的搜索查询。
### 修复
有关启用审计日志的说明,请参阅《*Amazon S OpenSearch ervice 开发者指南*》中的[启用审计日志](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling)。
## [Opensearch.6] OpenSearch 域名应至少有三个数据节点
**相关要求:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、nist.800-53.r5 SI-13 (5)
**类别:**恢复 > 弹性 > 高可用性
**严重性:**中
**资源类型:**`AWS::OpenSearch::Domain`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html)
**计划类型:**已触发变更
**参数:**无
此控件检查 OpenSearch 域是否配置了至少三个数据节点,并且`zoneAwarenessEnabled`是`true`。如果 OpenSearch 域小于 3 或小`instanceCount`于 3,`zoneAwarenessEnabled`则此控制失败`false`。
要实现集群级别的高可用性和容错能力,一个 OpenSearch 域应至少有三个数据节点。部署具有至少三个数据节点的 OpenSearch 域可确保在节点出现故障时集群运行。
### 修复
**修改 OpenSearch 域中数据节点的数量**
1. 登录 AWS 控制台并打开亚马逊 OpenSearch 服务控制台,网址为[https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/)。
1. 在**我的域**名下,选择要编辑的域名,然后选择**编辑**。
1. 在**数据节点**下,将**节点数**设置为大于 `3` 的数字。如果您要部署到三个可用区,将该数字设置为三的倍数,以确保可用区间的分布均等。
1. 选择**提交**。
## [Opensearch.7] OpenSearch 域名应启用精细的访问控制
**相关要求:** NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (15)、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-5、 NIST.800-53.r5 AC-6
**类别:**保护 > 安全访问管理 > 敏感的 API 操作受限
**严重性:**高
**资源类型:**`AWS::OpenSearch::Domain`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html)
**计划类型:**已触发变更
**参数:**无
此控件检查 OpenSearch 域名是否启用了细粒度访问控制。如果未启用精细访问控制,则控制失败。细粒度的访问控制需要`advanced-security-options`在 OpenSearch 参数中启`update-domain-config`用。
精细的访问控制提供了更多方法来控制对您在 Ama OpenSearch zon Service 上的数据的访问权限。
### 修复
*要启用精细访问控制,请参阅《亚马逊服务开发者指南》[中的 Amazon Service OpenSearch 中的精细访问控制](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html)。 OpenSearch *
## [Opensearch.8] 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密
**相关要求:** NIST.800-53.r5 AC-17 (2)、、 NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-1 2 (3)、3、3 ( NIST.800-53.r5 SC-13)、( NIST.800-53.r5 SC-23)、 NIST.800-53.r5 SC-2 (4)、(1)、 NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8 nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)
**类别:**保护 > 数据保护 > 加密 data-in-transit
**严重性:**中
**资源类型:**`AWS::OpenSearch::Domain`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html)
**计划类型:**已触发变更
**参数:**
+ `tlsPolicies: Policy-Min-TLS-1-2-PFS-2023-10`(不可自定义)
此控制检查是否将 Amazon S OpenSearch ervice 域终端节点配置为使用最新的 TLS 安全策略。如果 OpenSearch 域终端节点未配置为使用最新的支持策略或 HTTPs 未启用,则控制失败。
HTTPS (TLS) 可用于帮助防止潜在的攻击者使用 person-in-the-middle或类似的攻击来窃听或操纵网络流量。只能允许通过 HTTPS(TLS)进行加密连接。加密传输中数据可能会影响性能。您应该使用此功能测试应用程序,以了解性能概况和 TLS 的影响。与先前版本的 TLS 相比,TLS 1.2 提供了多项安全增强功能。
### 修复
要启用 TLS 加密,请使用 [UpdateDomainConfig](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html)API 操作。配置[DomainEndpointOptions](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html)字段以指定其值`TLSSecurityPolicy`。有关更多信息,请参阅《*Amazon OpenSearch 服务开发者指南*》中的[Node-to-node 加密](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html)。
## [Opensearch.9] 应该给 OpenSearch 域名加标签
**类别:**识别 > 清单 > 标记
**严重性:**低
**资源类型:**`AWS::OpenSearch::Domain`
**AWS Config 规则:**`tagged-opensearch-domain`(自定义 Security Hub CSPM 规则)
**计划类型:**已触发变更
**参数:**
| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 |
| --- | --- | --- | --- | --- |
| requiredTagKeys | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList (最多 6 件商品) | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | No default value |
此控件会检查 Amazon S OpenSearch ervice 域名是否具有参数中定义的特定密钥的标签`requiredTagKeys`。如果该域没有任何标签键或未在参数 `requiredTagKeys` 中指定所有键,则此控件会失败。如果未提供 `requiredTagKeys` 参数,则此控件仅会检查是否存在标签键,如果该域未使用任何键进行标记,则此控件会失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? 在 *IAM 用户指南*中。
**注意**
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*
### 修复
要向 OpenSearch 服务域添加标签,请参阅《*亚马逊 OpenSearch 服务开发者指南*》中的[使用标签](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console)。
## [Opensearch.10] OpenSearch 域名应安装最新的软件更新
**相关要求:**NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCI DSS v4.0.1/6.3.3
**类别:**识别 > 漏洞、补丁和版本管理
**严重性:**中
**资源类型:**`AWS::OpenSearch::Domain`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html)
**计划类型:**已触发变更
**参数:**无
此控件用于检查 Amazon S OpenSearch ervice 域是否安装了最新的软件更新。如果已有可用软件更新但没有为该域安装,则控制失败。
OpenSearch 服务软件更新提供适用于该环境的最新平台修复、更新和功能。继续 up-to-date安装补丁有助于维护域的安全性和可用性。如果没有对必需更新采取任何操作,将自动更新服务软件(通常在 2 周后)。我们建议在域流量较低的时段安排更新,以最大限度地减少服务中断。
### 修复
要为 OpenSearch 域安装软件更新,请参阅《*Amazon OpenSearch 服务开发者指南*》中的[启动更新](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/service-software.html#service-software-requesting)。
## [Opensearch.11] OpenSearch 域名应至少有三个专用的主节点
**相关要求:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-36,nist.800-53.r5 SI-13
**类别:**恢复 > 弹性 > 高可用性
**严重性:**低
**资源类型:**`AWS::OpenSearch::Domain`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html)
**计划类型:**已触发变更
**参数:**无
此控件会检查 Amazon S OpenSearch ervice 域是否配置了至少三个专用主节点。如果域的专用主节点少于三个,则此控件将失败。
OpenSearch 服务使用专用的主节点来提高集群稳定性。专用主节点执行集群管理任务,但不保留数据也不响应数据上传请求。我们建议您使用带备用空间的多可用区,这会向每个生产 OpenSearch 域添加三个专用的主节点。
### 修复
要更改 OpenSearch 域的主节点数量,请参阅《[亚马逊 OpenSearch 服务*开发者指南》中的创建和管理亚马逊 OpenSearch 服务*域名](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html)。