Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
ElastiCache Amazon-Kontrollen
Diese Kontrollen beziehen sich auf ElastiCache Ressourcen.
Diese Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.
[ElastiCache.1] Bei ElastiCache Redis-Clustern sollte das automatische Backup aktiviert sein
Verwandte Anforderungen: NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6, NIST.800-53.R5 CP-6 (1), NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 CP-9, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)
Kategorie: Wiederherstellen > Resilienz > Backups aktiviert
Schweregrad: Hoch
Ressourcentyp: AWS::ElastiCache::CacheCluster
AWS Config Regel: elasticache-redis-cluster-automatic-backup-check
Art des Zeitplans: Periodisch
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Minimale Aufbewahrungsdauer für Snapshots in Tagen |
Ganzzahl |
|
|
Diese Kontrolle bewertet, ob für einen Amazon ElastiCache for Redis-Cluster automatische Backups geplant sind. Die Steuerung schlägt fehl, wenn der SnapshotRetentionLimit für den Redis-Cluster angegebene Zeitraum kürzer als der angegebene Zeitraum ist. Sofern Sie keinen benutzerdefinierten Parameterwert für die Aufbewahrungsdauer von Snapshots angeben, verwendet Security Hub einen Standardwert von 1 Tag.
Amazon ElastiCache for Redis-Cluster können ihre Daten sichern. Sie können die Sicherung zur Wiederherstellung eines Clusters oder als Ausgangspunkt für einen neuen Cluster verwenden. Eine Sicherung besteht aus den Metadaten des Clusters zusammen mit allen Daten im Cluster. Alle Sicherungen werden in Amazon Simple Storage Service (Amazon S3) geschrieben, der einen dauerhaften Speicher bereitstellt. Sie können Ihre Daten wiederherstellen, indem Sie einen neuen Redis-Cluster erstellen und ihn mit Daten aus einer Sicherung füllen. Sie können Backups mithilfe der AWS Management Console, AWS Command Line Interface (AWS CLI) und der ElastiCache API verwalten.
Abhilfe
Informationen zum Planen automatischer Backups auf einem ElastiCache for Redis-Cluster finden Sie unter Automatische Backups planen im ElastiCache Amazon-Benutzerhandbuch.
[ElastiCache.2] ElastiCache Für Redis-Cache-Cluster sollte das auto Upgrade der Nebenversion aktiviert sein
Verwandte Anforderungen: NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5)
Kategorie: Identifizieren > Sicherheitslücken-, Patch- und Versionsverwaltung
Schweregrad: Hoch
Art der Ressource: AWS::ElastiCache::CacheCluster
AWS Config -Regel: elasticache-auto-minor-version-upgrade-check
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement bewertet, ob ElastiCache für Redis automatisch kleinere Versionsupgrades auf Cache-Cluster angewendet werden. Dieses Steuerelement schlägt fehl, wenn ElastiCache für Redis-Cache-Cluster keine Upgrades für Nebenversionen automatisch angewendet werden.
AutoMinorVersionUpgradeist eine Funktion, die Sie ElastiCache für Redis aktivieren können, damit Ihre Cache-Cluster automatisch aktualisiert werden, wenn eine neue kleinere Cache-Engine-Version verfügbar ist. Diese Upgrades können Sicherheitspatches und Bugfixes beinhalten. Die up-to-date Beibehaltung der Patch-Installation ist ein wichtiger Schritt zur Sicherung der Systeme.
Abhilfe
Informationen zum Anwenden automatischer Upgrades kleinerer Versionen auf einen vorhandenen Cache-Cluster ElastiCache für Redis finden Sie unter Upgraden von Engine-Versionen im ElastiCache Amazon-Benutzerhandbuch.
[ElastiCache.3] ElastiCache Für Redis-Replikationsgruppen sollte der automatische Failover aktiviert sein
Verwandte Anforderungen: NIST.800-53.R5 CP-10, NIST.800-53.R5 SC-36, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
Kategorie: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit
Schweregrad: Mittel
Art der Ressource: AWS::ElastiCache::ReplicationGroup
AWS Config -Regel: elasticache-repl-grp-auto-failover-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob ElastiCache für Redis-Replikationsgruppen das automatische Failover aktiviert ist. Diese Steuerung schlägt fehl, wenn das automatische Failover für eine Redis-Replikationsgruppe nicht aktiviert ist.
Wenn der automatische Failover für eine Replikationsgruppe aktiviert ist, wird für die Rolle des Primärknotens automatisch ein Failover auf eine der Read Replicas ausgeführt. Dieses Failover und die Replikatheraufstufung stellen sicher, dass Sie nach Abschluss der Heraufstufung wieder auf den neuen Primärserver schreiben können, wodurch die Gesamtausfallzeit im Falle eines Fehlers reduziert wird.
Abhilfe
Informationen zum Aktivieren des automatischen Failovers für eine bestehende ElastiCache Redis-Replikationsgruppe finden Sie unter Modifizieren eines ElastiCache Clusters im ElastiCache Amazon-Benutzerhandbuch. Wenn Sie die ElastiCache Konsole verwenden, setzen Sie Auto Failover auf aktiviert.
[ElastiCache.4] ElastiCache für Redis-Replikationsgruppen sollten im Ruhezustand verschlüsselt werden
Verwandte Anforderungen: NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-3 (6), NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-28, NIST.800-53.R5 SC-28 (1), NIST.800-53.R5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-at-rest
Schweregrad: Mittel
Art der Ressource: AWS::ElastiCache::ReplicationGroup
AWS Config -Regel: elasticache-repl-grp-encrypted-at-rest
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob ElastiCache Redis-Replikationsgruppen im Ruhezustand verschlüsselt sind. Dieses Steuerelement schlägt fehl, wenn eine Replikationsgruppe ElastiCache für Redis im Ruhezustand nicht verschlüsselt ist.
Durch die Verschlüsselung von Daten im Ruhezustand wird das Risiko verringert, dass ein nicht authentifizierter Benutzer Zugriff auf Daten erhält, die auf der Festplatte gespeichert sind. ElastiCache für Redis sollten Replikationsgruppen im Ruhezustand verschlüsselt werden, um eine zusätzliche Sicherheitsebene zu gewährleisten.
Abhilfe
Informationen zur Konfiguration der Verschlüsselung im Ruhezustand ElastiCache für eine Redis-Replikationsgruppe finden Sie unter Enabling at rest encryption im ElastiCache Amazon-Benutzerhandbuch.
[ElastiCache.5] ElastiCache für Redis-Replikationsgruppen sollten bei der Übertragung verschlüsselt werden
Verwandte Anforderungen: NIST.800-53.R5 AC-17 (2), NIST.800-53.R5 AC-4, NIST.800-53.R5 IA-5 (1), NIst.800-53.R5 SC-12 (3), NIst.800-53.R5 SC-13, NIst.800-53.R5 SC-23, NIst.800-53.R5 SC-23 (3), NIst.NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-8, NIST.800-53.R5 SC-8 (1), NIST.800-53.R5 SC-8 (2), NIST.800-53.R5 SI-7 (6)
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit
Schweregrad: Mittel
Art der Ressource: AWS::ElastiCache::ReplicationGroup
AWS Config -Regel: elasticache-repl-grp-encrypted-in-transit
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob ElastiCache Redis-Replikationsgruppen während der Übertragung verschlüsselt sind. Dieses Steuerelement schlägt fehl, wenn eine Replikationsgruppe ElastiCache für Redis während der Übertragung nicht verschlüsselt wird.
Durch die Verschlüsselung von Daten während der Übertragung wird das Risiko verringert, dass ein nicht autorisierter Benutzer den Netzwerkverkehr abhören kann. Wenn Sie die Verschlüsselung bei der Übertragung in einer Replikationsgruppe ElastiCache für Redis aktivieren, werden Ihre Daten immer dann verschlüsselt, wenn sie von einem Ort an einen anderen übertragen werden, z. B. zwischen Knoten in Ihrem Cluster oder zwischen Ihrem Cluster und Ihrer Anwendung.
Abhilfe
Informationen zur Konfiguration der Verschlüsselung während der Übertragung ElastiCache für eine Redis-Replikationsgruppe finden Sie unter Enabling In-Transit Encryption im ElastiCache Amazon-Benutzerhandbuch.
[ElastiCache.6] ElastiCache Für Redis-Replikationsgruppen vor Version 6.0 sollte Redis AUTH verwendet werden
Verwandte Anforderungen: NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (15), NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-6
Kategorie: Schutz > Sichere Zugriffsverwaltung
Schweregrad: Mittel
Art der Ressource: AWS::ElastiCache::ReplicationGroup
AWS Config -Regel: elasticache-repl-grp-redis-auth-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob Redis AUTH ElastiCache für Redis-Replikationsgruppen aktiviert ist. Das Steuerelement schlägt ElastiCache für eine Redis-Replikationsgruppe fehl, wenn die Redis-Version ihrer Knoten unter 6.0 liegt und AuthToken nicht verwendet wird.
Wenn Sie Redis-Authentifizierungstoken oder Passwörter verwenden, benötigt Redis ein Passwort, bevor Clients Befehle ausführen können, was die Datensicherheit verbessert. Für Redis 6.0 und spätere Versionen empfehlen wir die Verwendung von Role-Based Access Control (RBAC). Da RBAC für Redis-Versionen vor 6.0 nicht unterstützt wird, wertet dieses Steuerelement nur Versionen aus, die die RBAC-Funktion nicht verwenden können.
Abhilfe
Informationen zur Verwendung von Redis AUTH ElastiCache für eine Redis-Replikationsgruppe finden Sie unter Ändern des AUTH-Tokens auf einem vorhandenen ElastiCache für Redis Cluster im Amazon-Benutzerhandbuch. ElastiCache
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
Verwandte Anforderungen: NIst.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (5)
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Hoch
Art der Ressource: AWS::ElastiCache::CacheCluster
AWS Config -Regel: elasticache-subnet-group-check
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob ElastiCache Cluster mit einer benutzerdefinierten Subnetzgruppe konfiguriert sind. Die Steuerung schlägt für einen ElastiCache Cluster fehl, wenn sie den Wert CacheSubnetGroupName default hat.
Beim Starten eines ElastiCache Clusters wird eine Standard-Subnetzgruppe erstellt, falls noch keine vorhanden ist. Die Standardgruppe verwendet Subnetze aus der standardmäßigen Virtual Private Cloud (VPC). Wir empfehlen, benutzerdefinierte Subnetzgruppen zu verwenden, die die Subnetze, in denen sich der Cluster befindet, und die Netzwerke, die der Cluster von den Subnetzen erbt, restriktiver behandeln.
Abhilfe
Informationen zum Erstellen einer neuen Subnetzgruppe für einen ElastiCache Cluster finden Sie unter Erstellen einer Subnetzgruppe im ElastiCache Amazon-Benutzerhandbuch.
