Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Security Hub-Steuerelemente für Amazon EMR
Diese AWS Security Hub Kontrollen bewerten den Service und die Ressourcen von Amazon EMR (früher Amazon Elastic genannt MapReduce).
Diese Kontrollen sind möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.
[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben
Verwandte Anforderungen: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21), (21), (11) NIST.800-53.r5 AC-3, (16), (20) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-6, (3)) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Hoch
Art der Ressource: AWS::EMR::Cluster
AWS Config -Regel: emr-master-no-public-ip
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob Master-Knoten auf Amazon EMR-Clustern öffentliche IP-Adressen haben. Die Kontrolle schlägt fehl, wenn öffentliche IP-Adressen einer der Master-Node-Instances zugeordnet sind.
Öffentliche IP-Adressen werden im PublicIp Feld der NetworkInterfaces Konfiguration für die Instanz angegeben. Dieses Steuerelement überprüft nur Amazon EMR-Cluster, die sich im WAITING Status RUNNING oder befinden.
Abhilfe
Während des Starts können Sie steuern, ob Ihrer Instance in einem standardmäßigen oder einem anderen Subnetz eine öffentliche Adresse zugewiesen wird. IPv4 In Standard-Subnetzen ist dieses Attribut standardmäßig auf gesetzt. true Bei nicht standardmäßigen Subnetzen ist das IPv4 öffentliche Adressierungsattribut auf gesetztfalse, sofern es nicht vom Amazon EC2 Launch Instance Wizard erstellt wurde. In diesem Fall ist das Attribut auf gesetzt. true
Nach dem Start können Sie eine öffentliche IPv4 Adresse nicht manuell von Ihrer Instance trennen.
Um ein fehlgeschlagenes Ergebnis zu beheben, müssen Sie einen neuen Cluster in einer VPC mit einem privaten Subnetz starten, für das das IPv4 öffentliche Adressierungsattribut auf gesetzt ist. false Anweisungen finden Sie unter Cluster in einer VPC starten im Amazon EMR Management Guide.
[EMR.2] Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein
Verwandte Anforderungen: PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6, (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Kategorie: Schützen > Sichere Zugriffsverwaltung > Ressource nicht öffentlich zugänglich
Schweregrad: Kritisch
Art der Ressource: AWS::::Account
AWS Config -Regel: emr-block-public-access
Art des Zeitplans: Periodisch
Parameter: Keine
Diese Kontrolle prüft, ob Ihr Konto mit Amazon EMR konfiguriert ist, um den öffentlichen Zugriff zu blockieren. Die Kontrolle schlägt fehl, wenn die Einstellung „Öffentlichen Zugriff blockieren“ nicht aktiviert ist oder wenn ein anderer Port als Port 22 zulässig ist.
Amazon EMR Block Public Access verhindert, dass Sie einen Cluster in einem öffentlichen Subnetz starten, wenn der Cluster über eine Sicherheitskonfiguration verfügt, die eingehenden Datenverkehr von öffentlichen IP-Adressen an einem Port zulässt. Wenn ein Benutzer von Ihrem AWS-Konto einen Cluster startet, überprüft Amazon EMR die Portregeln in der Sicherheitsgruppe für den Cluster und vergleicht sie mit Ihren Regeln für eingehenden Datenverkehr. Wenn die Sicherheitsgruppe über eine Regel für eingehenden Datenverkehr verfügt, die Ports zu den öffentlichen IP-Adressen IPv4 0.0.0.0/0 oder IPv6 : :/0 öffnet, und diese Ports nicht als Ausnahmen für Ihr Konto angegeben sind, lässt Amazon EMR den Benutzer den Cluster nicht erstellen.
Anmerkung
Den öffentlichen Zugriff blockieren ist standardmäßig aktiviert. Um den Kontoschutz zu erhöhen, empfehlen wir, ihn aktiviert zu lassen.
Abhilfe
Informationen zur Konfiguration von Block Public Access für Amazon EMR finden Sie unter Using Amazon EMR block public access im Amazon EMR Management Guide.
[EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-at-rest
Schweregrad: Mittel
Art der Ressource: AWS::EMR::SecurityConfiguration
AWS Config -Regel: emr-security-configuration-encryption-rest
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob eine Amazon EMR-Sicherheitskonfiguration im Ruhezustand verschlüsselt ist. Die Kontrolle schlägt fehl, wenn die Sicherheitskonfiguration im Ruhezustand nicht verschlüsselt ist.
Daten im Ruhezustand beziehen sich auf Daten, die für einen beliebigen Zeitraum in einem persistenten, nichtflüchtigen Speicher gespeichert werden. Durch die Verschlüsselung ruhender Daten können Sie deren Vertraulichkeit schützen, wodurch das Risiko verringert wird, dass ein nicht autorisierter Benutzer darauf zugreifen kann.
Abhilfe
Informationen zum Verschlüsseln einer Amazon EMR-Sicherheitskonfiguration im Ruhezustand finden Sie unter Datenverschlüsselung konfigurieren im Amazon EMR Management Guide.
[EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit
Schweregrad: Mittel
Art der Ressource: AWS::EMR::SecurityConfiguration
AWS Config -Regel: emr-security-configuration-encryption-transit
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Kontrolle prüft, ob eine Amazon EMR-Sicherheitskonfiguration während der Übertragung verschlüsselt ist. Die Kontrolle schlägt fehl, wenn die Sicherheitskonfiguration bei der Übertragung nicht verschlüsselt wird.
Daten bei der Übertragung beziehen sich auf Daten, die von einem Ort an einen anderen übertragen werden, z. B. zwischen Knoten in Ihrem Cluster oder zwischen Ihrem Cluster und Ihrer Anwendung. Daten können über das Internet oder innerhalb eines privaten Netzwerks übertragen werden. Durch die Verschlüsselung von Daten während der Übertragung wird das Risiko verringert, dass ein nicht autorisierter Benutzer den Netzwerkverkehr abhören kann.
Abhilfe
Informationen zur Verschlüsselung einer Amazon EMR-Sicherheitskonfiguration während der Übertragung finden Sie unter Datenverschlüsselung konfigurieren im Amazon EMR Management Guide.
