的 Security Hub 控制項 ElastiCache - AWS Security Hub

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

的 Security Hub 控制項 ElastiCache

這些 AWS Security Hub 控制項會評估 Amazon ElastiCache 服務和資源。

這些控制項可能完全無法使用 AWS 區域。如需詳細資訊,請參閱各區域控制項的可用性

【ElastiCache.1】 ElastiCache (Redis OSS) 叢集應該啟用自動備份

相關要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)

類別:復原 > 恢復 > 備份已啟用

嚴重性:

資源類型:AWS::ElastiCache::CacheClusterAWS:ElastiCache:ReplicationGroup

AWS Config 規則:elasticache-redis-cluster-automatic-backup-check

排程類型:定期

參數:

參數 Description (描述) Type 允許的自訂值 Security Hub 預設值

snapshotRetentionPeriod

最短快照保留期間,以天為單位

Integer

135

1

此控制項會評估 Amazon ElastiCache (RedisOSS) 叢集是否已排程自動備份。如果 Redis 叢集SnapshotRetentionLimit的 小於指定的時段,則控制項會失敗。除非您提供快照保留期間的自訂參數值,否則 Security Hub 會使用預設值 1 天。

Amazon ElastiCache (RedisOSS) 叢集可以備份其資料。您可以使用備份來還原叢集或植入新叢集。備份包含叢集的中繼資料,以及叢集中的所有資料。所有備份都會寫入 Amazon Simple Storage Service (Amazon S3),該服務提供耐久性儲存空間。您可以透過建立新的 Redis 叢集並填入來自備份的資料來還原資料。您可以使用 AWS Management Console、 AWS Command Line Interface (AWS CLI) 和 管理備份 ElastiCache API。

修補

若要在 ElastiCache (Redis OSS) 叢集上排程自動備份,請參閱《Amazon ElastiCache 使用者指南》中的排程自動備份

【ElastiCache.2】 ElastiCache (Redis OSS) 叢集應該啟用自動次要版本升級

相關要求:NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5) PCI DSS v4.0.1/6.3.3

類別:識別 > 漏洞、修補程式和版本管理

嚴重性:

資源類型: AWS::ElastiCache::CacheCluster

AWS Config 規則:elasticache-auto-minor-version-upgrade-check

排程類型:定期

參數:

此控制項會評估 ElastiCache (Redis OSS) 是否自動將次要版本升級套用至快取叢集。如果 ElastiCache (Redis OSS) 快取叢集未自動套用次要版本升級,則控制項會失敗。

AutoMinorVersionUpgrade 是一項功能,您可以在 ElastiCache (Redis OSS) 中開啟,以在有新的次要快取引擎版本可用時自動升級快取叢集。這些升級可能包括安全修補程式和錯誤修正。保持 up-to-date修補程式安裝是保護系統的重要步驟。

修補

若要將自動次要版本升級套用至現有的 ElastiCache (RedisOSS) 快取叢集,請參閱《Amazon ElastiCache 使用者指南》中的升級引擎版本

【ElastiCache.3】 ElastiCache 複寫群組應該啟用自動容錯移轉

相關要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

類別:復原 > 彈性 > 高可用性

嚴重性:

資源類型: AWS::ElastiCache::ReplicationGroup

AWS Config 規則:elasticache-repl-grp-auto-failover-enabled

排程類型:定期

參數:

此控制項會檢查 ElastiCache 複寫群組是否已啟用自動容錯移轉。如果複寫群組未啟用自動容錯移轉,則控制項會失敗。

為複寫群組啟用自動容錯移轉時,主要節點的角色會自動容錯移轉至其中一個僅供讀取複本。此容錯移轉和複本提升可確保您可以在提升完成後繼續寫入新的主要伺服器,從而減少故障時的整體停機時間。

修補

若要為現有的 ElastiCache 複寫群組啟用自動容錯移轉,請參閱《Amazon ElastiCache 使用者指南》中的修改 ElastiCache 叢集。如果您使用 ElastiCache 主控台,請將自動容錯移轉設定為已啟用。

【ElastiCache.4】 ElastiCache 複寫群組應靜態加密

相關要求: NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13、 NIST.800-53.r5 SC-28、 NIST.800-53.r5 SC-28(1)、 NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

類別:保護 > 資料保護 > 加密 data-at-rest

嚴重性:

資源類型: AWS::ElastiCache::ReplicationGroup

AWS Config 規則:elasticache-repl-grp-encrypted-at-rest

排程類型:定期

參數:

此控制項會檢查 ElastiCache 複寫群組是否靜態加密。如果複寫群組未靜態加密,則控制項會失敗。

加密靜態資料可降低未經驗證的使用者存取儲存在磁碟上的資料的風險。 ElastiCache (Redis OSS) 複寫群組應靜態加密,以增加安全層。

修補

若要在 ElastiCache 複寫群組上設定靜態加密,請參閱《Amazon ElastiCache 使用者指南》中的啟用靜態加密

【ElastiCache.5】 ElastiCache 複寫群組應該在傳輸中加密

相關要求: NIST.800-53.r5 AC-17(2) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 IA-5(1)、 NIST.800-53.r5 SC-12(3)、 NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-8(1) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)、PCIDSSv4.0.1/4.2.1

類別:保護 > 資料保護 > 加密 data-in-transit

嚴重性:

資源類型: AWS::ElastiCache::ReplicationGroup

AWS Config 規則:elasticache-repl-grp-encrypted-in-transit

排程類型:定期

參數:

此控制項會檢查 ElastiCache 複寫群組是否在傳輸中加密。如果複寫群組未在傳輸中加密,則控制項會失敗。

加密傳輸中的資料可降低未經授權的使用者可以竊聽網路流量的風險。啟用複 ElastiCache 寫群組上的傳輸中加密會在資料從一個位置移動到另一個位置時加密資料,例如叢集中的節點之間,或叢集與您的應用程式之間。

修補

若要在 ElastiCache 複寫群組上設定傳輸中加密,請參閱《Amazon ElastiCache 使用者指南》中的啟用傳輸中加密

【ElastiCache.6】 ElastiCache (Redis OSS) 舊版的複寫群組應該已啟用 Redis OSS AUTH

相關要求: NIST.800-53.r5 AC-2(1) NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(15)、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-6、4.0.1/8.3.1 PCIDSS版

類別:保護 > 安全存取管理

嚴重性:

資源類型: AWS::ElastiCache::ReplicationGroup

AWS Config 規則:elasticache-repl-grp-redis-auth-enabled

排程類型:定期

參數:

此控制項會檢查 ElastiCache (RedisOSS) 複寫群組是否OSSAUTH已啟用 Redis。如果複寫群組節點的 Redis OSS版本低於 6.0 且未使用,則控制項AuthToken會失敗。

當您使用 Redis 身分驗證字符或密碼時,Redis 需要密碼,才能允許用戶端執行命令,以改善資料安全性。對於 Redis 6.0 和更新版本,建議使用以角色為基礎的存取控制 (RBAC)。由於 RBAC 不支援 6.0 之前的 Redis 版本,因此此控制項只會評估無法使用RBAC此功能的版本。

修補

若要AUTH在 ElastiCache (Redis OSS) 複寫群組上使用 Redis,請參閱《Amazon ElastiCache 使用者指南》中的修改現有 ElastiCache (Redis OSS) 叢集上的AUTH權杖

【ElastiCache.7】 ElastiCache 叢集不應使用預設子網路群組

相關要求: NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4(21)、 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(21)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(5)

類別:保護 > 安全網路組態

嚴重性:

資源類型: AWS::ElastiCache::CacheCluster

AWS Config 規則:elasticache-subnet-group-check

排程類型:定期

參數:

此控制項會檢查 ElastiCache 叢集是否已使用自訂子網路群組設定。如果 ElastiCache 叢集CacheSubnetGroupName的 值為 ,則控制項會失敗default

啟動 ElastiCache 叢集時,如果尚未存在,則會建立預設子網路群組。預設群組使用來自預設虛擬私有雲端 () 的子網路VPC。我們建議您使用自訂子網路群組,這些群組會更嚴格限制叢集所在的子網路,以及叢集從子網路繼承的網路。

修補

若要為 ElastiCache 叢集建立新的子網路群組,請參閱《Amazon ElastiCache 使用者指南》中的建立子網路群組