Sicherheitssäule von Amazon ElastiCache Well-Architected Lens

Die Säule der Sicherheit konzentriert sich auf den Schutz von Informationen und Systemen. Zu den wichtigsten Themen gehören die Vertraulichkeit und Integrität von Daten, die Ermittlung und Verwaltung von Berechtigungen mithilfe der Berechtigungsverwaltung, der Schutz von Systemen und die Einrichtung von Kontrollen zur Erkennung von Sicherheitsereignissen.

SEC1: Welche Schritte ergreifen Sie, um den autorisierten Zugriff auf Daten zu ElastiCache kontrollieren?

Einführung auf Fragenebene: Alle ElastiCache Cluster sind für den Zugriff von Amazon Elastic Compute Cloud-Instances in serverlosen Funktionen (AWS Lambda) oder Containern (Amazon Elastic Container Service) konzipiert. VPC Das am häufigsten anzutreffende Szenario ist der Zugriff auf einen ElastiCache Cluster von einer Amazon Elastic Compute Cloud-Instanz innerhalb derselben Amazon Virtual Private Cloud (Amazon Virtual Private Cloud). Bevor Sie von einer EC2 Amazon-Instance aus eine Verbindung zu einem Cluster herstellen können, müssen Sie die EC2 Amazon-Instance autorisieren, auf den Cluster zuzugreifen. Um auf einen ElastiCache Cluster zuzugreifenVPC, der in einem ausgeführt wird, müssen Sie dem Cluster Netzwerkzugang gewähren.

Vorteil auf Frageebene: Der Netzwerkzugang in den Cluster wird über Sicherheitsgruppen gesteuert. VPC Eine Sicherheitsgruppe fungiert als virtuelle Firewall für Ihre EC2 Amazon-Instances, um den eingehenden und ausgehenden Datenverkehr zu kontrollieren. Eingehende Regeln steuern den eingehenden Datenverkehr zu Ihrer Instance und ausgehende Regeln steuern den ausgehenden Datenverkehr von Ihrer Instance. Im Fall von ElastiCache, wenn ein Cluster gestartet wird, muss eine Sicherheitsgruppe zugeordnet werden. Dadurch wird sichergestellt, dass Regeln für ein- und ausgehenden Datenverkehr für alle Knoten gelten, aus denen der Cluster besteht. Darüber hinaus ElastiCache ist es so konfiguriert, dass es ausschließlich in privaten Subnetzen bereitgestellt wird, sodass auf sie nur über das VPC private Netzwerk von zugegriffen werden kann.

• [Erforderlich] Die Ihrem Cluster zugeordnete Sicherheitsgruppe steuert den Netzwerkeingang und den Zugriff auf den Cluster. Standardmäßig sind für eine Sicherheitsgruppe keine Regeln für eingehenden Datenverkehr definiert und daher auch kein Eingangspfad zu. ElastiCache Um dies zu aktivieren, konfigurieren Sie eine Regel für eingehende Nachrichten für die Sicherheitsgruppe, die Quell-IP-Adresse/den Quellbereich, den TCP Typ des Datenverkehrs und den Port für Ihren ElastiCache Cluster (z. B. Standardport 6379 für ElastiCache (Redis)). OSS Es ist zwar möglich, eine sehr breite Palette von Eingangsquellen zuzulassen, z. B. alle Ressourcen innerhalb einer VPC (0.0.0.0/0), es wird jedoch empfohlen, die Regeln für eingehenden Datenverkehr so detailliert wie möglich zu definieren, z. B. nur den eingehenden Zugriff auf Valkey- oder OSS Redis-Clients zu autorisieren, die auf Amazon-Amazon-Instances laufen, die einer bestimmten Sicherheitsgruppe zugeordnet sind. EC2

  [Ressourcen]:

  • Subnetze und Subnetzgruppen

  • Zugriff auf Ihren Cluster oder die Replikationsgruppe

  • Steuern des Datenverkehrs zu Ressourcen mithilfe von Sicherheitsgruppen

  • Sicherheitsgruppen von Amazon Elastic Compute Cloud für Linux-Instances

• [Erforderlich]AWS Identity and Access Management Richtlinien können Funktionen zugewiesen werden, die ihnen den Zugriff auf Daten ermöglichen. AWS Lambda ElastiCache Um diese Funktion zu aktivieren, erstellen Sie eine IAM Ausführungsrolle mit der AWSLambdaVPCAccessExecutionRole entsprechenden Berechtigung und weisen Sie die Rolle dann der AWS Lambda Funktion zu.

  [Ressourcen]: Konfiguration einer Lambda-Funktion für den Zugriff auf Amazon ElastiCache in einem AmazonVPC: Tutorial: Konfiguration einer Lambda-Funktion für den Zugriff auf Amazon ElastiCache in einem Amazon VPC

SEC2: Benötigen Ihre Anwendungen zusätzliche Autorisierungen, die ElastiCache über netzwerkbasierte Kontrollen hinausgehen?

Einführung auf Fragenebene: In Szenarien, in denen es notwendig ist, den Zugriff auf ElastiCache (Redis-OSS) Cluster auf individueller Client-Ebene einzuschränken oder zu kontrollieren, wird empfohlen, sich über den Befehl (Redis) zu authentifizieren. ElastiCache OSS AUTH ElastiCache (RedisOSS) -Authentifizierungstoken mit optionaler Benutzer- und Benutzergruppenverwaltung ermöglichen es ElastiCache (RedisOSS), ein Passwort anzufordern, bevor Clients Befehle und Zugriffsschlüssel ausführen können, wodurch die Sicherheit der Datenebene verbessert wird.

Vorteil auf Frageebene: Um die Sicherheit Ihrer Daten zu gewährleisten, bietet ElastiCache (RedisOSS) Mechanismen zum Schutz vor unbefugtem Zugriff auf Ihre Daten. Dazu gehört auch, dass Clients eine rollenbasierte Zugriffskontrolle (RBAC) oder ein AUTH Token (Passwort) verwenden müssenAUTH, um eine Verbindung herzustellen, bevor autorisierte Befehle ausgeführt werden. ElastiCache

• [Am besten] Definieren Sie für ElastiCache (RedisOSS) 6.x und höher Authentifizierungs- und Autorisierungskontrollen, indem Sie Benutzergruppen, Benutzer und Zugriffszeichenfolgen definieren. Weisen Sie Benutzer Benutzergruppen zu und weisen Sie Benutzergruppen dann Clustern zu. Zur Verwendung muss RBAC es bei der Clustererstellung ausgewählt und die Verschlüsselung bei der Übertragung aktiviert sein. Stellen Sie sicher, dass Sie einen Valkey- oder OSS Redis-Client verwenden, der diese Funktion unterstützt, um die Vorteile nutzen TLS zu können. RBAC

  [Ressourcen]:

  • Bewerben Sie RBAC sich bei einer Replikationsgruppe für ElastiCache (Redis) OSS

  • Spezifizieren von Berechtigungen mithilfe einer Zugriffszeichenfolge

  • ACL

  • Unterstützte ElastiCache (RedisOSS) Versionen

• [Am besten] Für ElastiCache (Redis-OSS) Versionen vor 6.x empfiehlt es sich, neben der Festlegung eines starken Tokens/Passworts und der Einhaltung einer strengen Passwortrichtlinie für ElastiCache (RedisOSS) auch das Wechseln des AUTH Passworts/Tokens zu verwenden. ElastiCache kann bis zu zwei (2) Authentifizierungstoken gleichzeitig verwalten. Sie können den Cluster auch so ändern, dass explizit die Verwendung von Authentifizierungstoken erforderlich ist.

  [Ressourcen]: Ändern des AUTH Tokens auf einem vorhandenen ElastiCache (Redis-OSS) Cluster

SEC3: Besteht das Risiko, dass Befehle versehentlich ausgeführt werden, was zu Datenverlust oder -ausfällen führt?

Einführung auf Fragenebene: Es gibt eine Reihe von Valkey- oder OSS Redis-Befehlen, die sich negativ auf den Betrieb auswirken können, wenn sie versehentlich oder von böswilligen Akteuren ausgeführt werden. Diese Befehle können im Hinblick auf die Leistung und Datensicherheit unbeabsichtigte Folgen haben. Beispielsweise kann ein Entwickler den FLUSHALL Befehl routinemäßig in einer Entwicklungsumgebung aufrufen und aufgrund eines Fehlers versehentlich versuchen, diesen Befehl auf einem Produktionssystem aufzurufen, was zu versehentlichem Datenverlust führt.

Vorteil auf Fragenebene: Ab ElastiCache (RedisOSS) 5.0.3 haben Sie die Möglichkeit, bestimmte Befehle umzubenennen, die Ihre Arbeitslast stören könnten. Durch das Umbenennen der Befehle kann verhindert werden, dass diese versehentlich auf dem Cluster ausgeführt werden.

• [Erforderlich] 

  [Ressourcen]:

  • ElastiCache (RedisOSS) Version 5.0.3 (veraltet, verwenden Sie Version 5.0.6)

  • Änderungen an den Parametern von OSS Redis 5.0.3

  • Redis-Sicherheit OSS

SEC4: Wie stellen Sie die Datenverschlüsselung im Ruhezustand sicher ElastiCache

Einführung auf Fragenebene: Obwohl es sich bei ElastiCache (RedisOSS) um einen In-Memory-Datenspeicher handelt, ist es im Rahmen der Standardoperationen des Clusters möglich, alle Daten zu verschlüsseln, die möglicherweise dauerhaft (im Speicher) gespeichert werden. Dazu gehören sowohl geplante als auch manuelle Backups, die in Amazon S3 geschrieben wurden, sowie Daten, die aufgrund von Synchronisierungs- und Swap-Vorgängen auf dem Festplattenspeicher gespeichert wurden. Instance-Typen der M6g- und R6g-Familien verfügen außerdem über eine ständig aktive In-Memory-Verschlüsselung.

Vorteil auf Fragenebene: ElastiCache (RedisOSS) bietet optionale Verschlüsselung im Ruhezustand, um die Datensicherheit zu erhöhen.

• [Erforderlich] Die Verschlüsselung im Ruhezustand kann auf einem ElastiCache Cluster (Replikationsgruppe) nur aktiviert werden, wenn dieser erstellt wurde. Ein vorhandener Cluster kann nicht geändert werden, um mit der Verschlüsselung von Daten im Ruhezustand zu beginnen. Stellt standardmäßig die Schlüssel bereit und verwaltet ElastiCache sie, die bei der Verschlüsselung im Ruhezustand verwendet werden.

  [Ressourcen]:

  • Einschränkungen bei der Verschlüsselung im Ruhezustand

  • Aktivieren der Verschlüsselung im Ruhezustand

• [Am besten] Nutzen Sie EC2 Amazon-Instance-Typen, die Daten verschlüsseln, während sie sich im Arbeitsspeicher befinden (z. B. M6g oder R6g). Wenn möglich, sollten Sie erwägen, eigene Schlüssel für die Verschlüsselung im Ruhezustand zu verwalten. In Umgebungen mit strengerer Datensicherheit kann AWS Key Management Service (KMS) zur Selbstverwaltung der Kundenhauptschlüssel () verwendet werden. CMK Durch die ElastiCache Integration mit sind Sie in der Lage AWS Key Management Service, die Schlüssel zu erstellen, zu besitzen und zu verwalten, die für die Verschlüsselung ruhender Daten für Ihren ElastiCache (Redis-OSS) Cluster verwendet werden.

  [Ressourcen]:

  • Verwenden Sie vom Kunden verwaltete Schlüssel von AWS Key Management Service

  • AWS Schlüsselverwaltungsdienst

  • AWS KMSKonzepte

SEC5: Wie verschlüsselt man Daten bei der Übertragung mit? ElastiCache

Einführung auf Fragenebene: Es ist eine gängige Anforderung, zu verhindern, dass Daten während der Übertragung beschädigt werden. Dabei handelt es sich um Daten innerhalb von Komponenten eines verteilten Systems sowie zwischen Anwendungsclients und Clusterknoten. ElastiCache (RedisOSS) unterstützt diese Anforderung, indem es die Verschlüsselung von Daten ermöglicht, die zwischen Clients und Clustern sowie zwischen den Clusterknoten selbst übertragen werden. Instance-Typen der M6g- und R6g-Familien verfügen außerdem über eine ständig aktive In-Memory-Verschlüsselung.

Vorteil auf Frageebene: Die Verschlüsselung ElastiCache während der Übertragung durch Amazon ist eine optionale Funktion, mit der Sie die Sicherheit Ihrer Daten an den anfälligsten Stellen erhöhen können, wenn sie von einem Ort zum anderen übertragen werden.

• [Erforderlich] Die Verschlüsselung bei der Übertragung kann bei der Erstellung nur auf einem ElastiCache (Redis-OSS) Cluster (Replikationsgruppe) aktiviert werden. Bitte beachten Sie, dass die Implementierung der Verschlüsselung bei der Übertragung aufgrund der zusätzlichen Verarbeitung, die für die Ver-/Entschlüsselung von Daten erforderlich ist, Auswirkungen auf die Leistung hat. Um die Auswirkungen zu verstehen, wird empfohlen, Ihren Workload vor und nach der Aktivierung zu vergleichen. encryption-in-transit

  [Ressourcen]:

  • Übersicht über die Verschlüsselung bei der Übertragung

SEC6: Wie schränken Sie den Zugriff auf Ressourcen der Kontrollebene ein?

Einführung auf Fragenebene: IAM Richtlinien und Bereitstellung ARN detaillierter Zugriffskontrollen für ElastiCache (RedisOSS), sodass die Erstellung, Änderung und Löschung von ElastiCache (Redis-) Clustern genauer kontrolliert werden kann. OSS

Vorteil auf Fragenebene: Die Verwaltung von ElastiCache Amazon-Ressourcen wie Replikationsgruppen, Knoten usw. kann auf AWS Konten beschränkt werden, die über spezifische Berechtigungen auf der Grundlage von IAM Richtlinien verfügen, wodurch die Sicherheit und Zuverlässigkeit der Ressourcen verbessert wird.

• [Erforderlich] Verwalten Sie den Zugriff auf ElastiCache Amazon-Ressourcen, indem Sie AWS Benutzern bestimmte AWS Identity and Access Management Richtlinien zuweisen, sodass Sie genauer kontrollieren können, welche Konten welche Aktionen auf Clustern ausführen können.

  [Ressourcen]:

  • Überblick über die Verwaltung der Zugriffsberechtigungen für Ihre Ressourcen ElastiCache

  • Verwendung identitätsbasierter Richtlinien (IAMRichtlinien) für Amazon ElastiCache

SEC7: Wie erkennen Sie Sicherheitsereignisse und reagieren darauf?

Einführung auf Fragenebene: ElastiCache Exportiert bei der Bereitstellung mit RBAC aktivierter Option CloudWatch Metriken, um Benutzer über Sicherheitsereignisse zu informieren. Diese Metriken helfen dabei, fehlgeschlagene Versuche zu identifizieren, auf Schlüssel zuzugreifen oder Befehle auszuführen, für die RBAC Benutzer, für die eine Verbindung hergestellt wird, nicht autorisiert sind.

Darüber hinaus tragen AWS Produkt- und Serviceressourcen dazu bei, Ihre gesamte Arbeitslast zu sichern, indem sie Bereitstellungen automatisieren und alle Aktionen und Änderungen für eine spätere Überprüfung/Prüfung protokollieren.

Vorteil auf Fragenebene: Durch die Überwachung von Ereignissen ermöglichen Sie Ihrem Unternehmen, gemäß Ihren Anforderungen, Richtlinien und Verfahren zu reagieren. Durch die Automatisierung der Überwachung und Reaktion auf diese Sicherheitsereignisse wird Ihre allgemeine Sicherheitslage gestärkt.

• [Erforderlich] Machen Sie sich mit den veröffentlichten CloudWatch Kennzahlen zu RBAC Authentifizierungs- und Autorisierungsfehlern vertraut.

  • AuthenticationFailures = Fehlgeschlagene Versuche, sich bei Valkey oder Redis zu authentifizieren OSS

  • KeyAuthorizationFailures = Fehlgeschlagene Versuche von Benutzern, ohne Erlaubnis auf Schlüssel zuzugreifen

  • CommandAuthorizationFailures = Fehlgeschlagene Versuche von Benutzern, Befehle ohne Erlaubnis auszuführen

  [Ressourcen]:

  • Metriken für Valkey oder Redis OSS

• [Am besten] Es wird empfohlen, Warnmeldungen und Benachrichtigungen für diese Metriken einzurichten und je nach Bedarf zu reagieren.

  [Ressourcen]:

  • CloudWatch Amazon-Alarme verwenden

• [Am besten] Verwenden Sie den OSS ACL LOG Befehl Valkey oder Redis, um weitere Informationen zu sammeln

  [Ressourcen]:

  • ACL LOG

• [Am besten] Machen Sie sich mit den Funktionen der AWS Produkte und Services im Zusammenhang mit der Überwachung, Protokollierung und Analyse von ElastiCache Bereitstellungen und Ereignissen vertraut

  [Ressourcen]:

  • ElastiCache APIAmazon-Anrufe protokollieren mit AWS CloudTrail

  • elasticache-redis-cluster-automatic-Backup-Check

  • Überwachung der Nutzung mit Metrics CloudWatch