El pilar de seguridad de Amazon ElastiCache Well-Architected Lens - Amazon ElastiCache (RedisOSS)
SEC 1: ¿Qué medidas está tomando para controlar el acceso autorizado a los datos? ElastiCache SEC 2: ¿Requieren sus aplicaciones una autorización adicional para ElastiCache superar los controles basados en la red? SEC 3: ¿Existe el riesgo de que los comandos se ejecuten de forma inadvertida y provoquen la pérdida de datos o errores? SEC 4: ¿Cómo se garantiza el cifrado de datos en reposo con ElastiCacheSEC 5: ¿Cómo se cifran los datos en tránsito? ElastiCacheSEC 6: ¿Cómo se restringe el acceso a los recursos del plano de control? SEC 7: ¿Cómo se detectan los eventos de seguridad y cómo se responde a ellos?

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

El pilar de seguridad de Amazon ElastiCache Well-Architected Lens

El pilar de seguridad se centra en proteger la información y los sistemas. Los temas clave incluyen la confidencialidad e integridad de los datos, la identificación y administración de quién puede hacer qué con la administración de privilegios, la protección de los sistemas y el establecimiento de controles para detectar eventos de seguridad.

SEC 1: ¿Qué medidas está tomando para controlar el acceso autorizado a los datos? ElastiCache

Introducción a nivel de preguntas: todos los ElastiCache clústeres están diseñados para que se pueda acceder a ellos desde instancias de Amazon Elastic Compute Cloud en una VPC, funciones sin servidor (AWS Lambda) o contenedores (Amazon Elastic Container Service). El escenario más frecuente es acceder a un ElastiCache clúster desde una instancia de Amazon Elastic Compute Cloud dentro de la misma Amazon Virtual Private Cloud (Amazon Virtual Private Cloud). Antes de poder conectarse a un clúster desde una instancia de Amazon EC2, debe autorizar a la instancia de Amazon EC2 el acceso al clúster. Para acceder a un ElastiCache clúster que se ejecuta en una VPC, es necesario conceder la entrada de red al clúster.

Ventaja a nivel de pregunta: El acceso a la red en el clúster se controla mediante grupos de seguridad de VPC. Un grupo de seguridad funciona como un firewall virtual para las instancias de Amazon EC2 para controlar el tráfico entrante y saliente. Las reglas de entrada controlan el tráfico entrante a la instancia y las reglas de salida controlan el tráfico saliente desde la instancia. En el caso de ElastiCache lanzar un clúster, es necesario asociar un grupo de seguridad. Esto garantiza que haya reglas de tráfico entrante y saliente vigentes para todos los nodos que componen el clúster. Además, ElastiCache está configurado para implementarse exclusivamente en subredes privadas, de modo que solo se puede acceder a ellas a través de la red privada de la VPC.

  • [Obligatorio] El grupo de seguridad asociado al clúster controla el acceso a la red y al clúster. De forma predeterminada, un grupo de seguridad no tendrá ninguna regla de entrada definida y, por lo tanto, no tendrá una ruta de entrada a ella. ElastiCache Para habilitarlo, configure una regla de entrada en el grupo de seguridad especificando la dirección o el rango IP de origen, el tráfico de tipo TCP y el puerto del ElastiCache clúster (el puerto predeterminado 6379 para ElastiCache (Redis OSS), por ejemplo). Si bien es posible permitir un conjunto muy amplio de fuentes de entrada, como todos los recursos de una VPC (0.0.0.0/0), se recomienda ser lo más detallado posible a la hora de definir las reglas de entrada, por ejemplo, autorizar únicamente el acceso entrante a los clientes OSS de Redis que se ejecuten en instancias Amazon EC2 de Amazon asociadas a un grupo de seguridad específico.

    [Recursos]:

  • Se pueden asignar AWS Identity and Access Management políticas [obligatorias] a las funciones que les permiten acceder a los datos. AWS Lambda ElastiCache Para habilitar esta función, cree una función de ejecución de IAM con el AWSLambdaVPCAccessExecutionRole permiso y, a continuación, asigne la función a la AWS Lambda función.

    [Recursos]: Configuración de una función de Lambda para acceder a Amazon ElastiCache en una Amazon VPC: Tutorial: Configuración de una función de Lambda para acceder a Amazon en una Amazon VPC ElastiCache

SEC 2: ¿Requieren sus aplicaciones una autorización adicional para ElastiCache superar los controles basados en la red?

Introducción a nivel de preguntas: en situaciones en las que sea necesario restringir o controlar el acceso a los clústeres ElastiCache (Redis OSS) a nivel de cliente individual, se recomienda autenticarse mediante el comando AUTH ElastiCache (Redis OSS). ElastiCache Los tokens de autenticación (Redis OSS), con la administración opcional de usuarios y grupos de usuarios, permiten que ElastiCache (Redis OSS) requiera una contraseña antes de permitir a los clientes ejecutar comandos y acceder a las claves, lo que mejora la seguridad del plano de datos.

Beneficio a nivel de pregunta: para ayudar a mantener sus datos seguros, ElastiCache (Redis OSS) proporciona mecanismos para protegerlos contra el acceso no autorizado a los datos. Esto incluye aplicar el AUTH o el token de AUTH (contraseña) del control de acceso basado en roles (RBAC) al que deben conectarse los clientes antes de ejecutar comandos autorizados. ElastiCache

  • [Lo mejor] Para ElastiCache (Redis OSS) 6.x y versiones posteriores, defina los controles de autenticación y autorización definiendo los grupos de usuarios, los usuarios y las cadenas de acceso. Asigne usuarios a grupos de usuarios y, a continuación, asigne grupos de usuarios a clústeres. Para utilizar el RBAC, este debe seleccionarse al crear el clúster y debe estar habilitado el cifrado en tránsito. Asegúrese de utilizar un cliente OSS de Redis que sea compatible con TLS para poder aprovechar el RBAC.

    [Recursos]:

  • [Lo mejor] En el caso de las versiones anteriores a la 6.x ElastiCache (Redis OSS), además de establecer un token o contraseña seguro y mantener una política de contraseñas estricta para la autenticación ElastiCache (Redis OSS), se recomienda rotar la contraseña/token. ElastiCache puede gestionar hasta dos (2) tokens de autenticación en un momento dado. También puede modificar el clúster para que requiera explícitamente el uso de tokens de autenticación.

    [Recursos]: modificar el token AUTH en un clúster existente ElastiCache (Redis OSS)

SEC 3: ¿Existe el riesgo de que los comandos se ejecuten de forma inadvertida y provoquen la pérdida de datos o errores?

Introducción a nivel de preguntas: hay varios comandos de Redis OSS que pueden tener un impacto adverso en las operaciones si se ejecutan por error o por parte de actores malintencionados. Estos comandos pueden tener consecuencias no deseadas desde el punto de vista del rendimiento y la seguridad de los datos. Por ejemplo, un desarrollador puede llamar de forma rutinaria al comando FLUSHALL en un entorno de desarrollo y, debido a un error, puede intentar ejecutar este comando sin darse cuenta en un sistema de producción, lo que provoca la pérdida accidental de datos.

Ventaja a modo de pregunta: a partir de ElastiCache (Redis OSS) 5.0.3, podrá cambiar el nombre de ciertos comandos que podrían afectar su carga de trabajo. El cambio del nombre de los comandos puede ayudar a evitar que se ejecuten inadvertidamente en el clúster.

SEC 4: ¿Cómo se garantiza el cifrado de datos en reposo con ElastiCache

Introducción a nivel de preguntas: Si bien ElastiCache (Redis OSS) es un almacén de datos en memoria, es posible cifrar cualquier dato que pueda persistir (en el almacenamiento) como parte de las operaciones estándar del clúster. Esto incluye las copias de seguridad programadas y manuales escritas en Amazon S3, así como los datos guardados en el almacenamiento en disco como resultado de las operaciones de sincronización e intercambio. Los tipos de instancias de las familias M6g y R6g también cuentan con un cifrado en memoria siempre activo.

Ventaja a nivel de pregunta: ElastiCache (Redis OSS) ofrece un cifrado en reposo opcional para aumentar la seguridad de los datos.

  • [Obligatorio] El cifrado en reposo solo se puede habilitar en un ElastiCache clúster (grupo de replicación) cuando se crea. No se puede modificar un clúster existente para empezar a cifrar los datos en reposo. De forma predeterminada, ElastiCache proporcionará y administrará las claves utilizadas en el cifrado en reposo.

    [Recursos]:

  • [Lo mejor] Aproveche los tipos de instancias de Amazon EC2 que cifran los datos mientras están en la memoria (como M6g o R6g). Siempre que sea posible, considere la posibilidad de administrar sus propias claves para el cifrado en reposo. Para entornos de seguridad de datos más estrictos, se puede utilizar AWS Key Management Service (KMS) para gestionar automáticamente las claves maestras del cliente (CMK). Mediante ElastiCache la integración con AWS Key Management Service, puede crear, poseer y administrar las claves utilizadas para el cifrado de los datos en reposo de su clúster ElastiCache (Redis OSS).

    [Recursos]:

SEC 5: ¿Cómo se cifran los datos en tránsito? ElastiCache

Introducción a nivel de pregunta: Es un requisito habitual evitar que los datos corran peligro mientras están en tránsito. Esto representa los datos dentro de los componentes de un sistema distribuido, así como entre los clientes de aplicaciones y los nodos del clúster. ElastiCache (Redis OSS) cumple con este requisito al permitir cifrar los datos en tránsito entre los clientes y el clúster, y entre los propios nodos del clúster. Los tipos de instancias de las familias M6g y R6g también cuentan con un cifrado en memoria siempre activo.

Ventaja a nivel de pregunta: el cifrado ElastiCache en tránsito de Amazon es una función opcional que te permite aumentar la seguridad de tus datos en los puntos más vulnerables, cuando están en tránsito de un lugar a otro.

  • [Obligatorio] El cifrado en tránsito solo se puede habilitar en un clúster (grupo de replicación) ElastiCache (Redis OSS) tras su creación. Tenga en cuenta que, debido al procesamiento adicional necesario para cifrar o descifrar datos, la implementación del cifrado en tránsito afectará al rendimiento en cierta medida. Para comprender el impacto, se recomienda comparar la carga de trabajo antes y después de la activación. encryption-in-transit

    [Recursos]:

SEC 6: ¿Cómo se restringe el acceso a los recursos del plano de control?

Introducción a nivel de preguntas: las políticas de IAM y el ARN permiten controles de acceso detallados para ElastiCache (Redis OSS), lo que permite un control más estricto para gestionar la creación, modificación y eliminación de clústeres (Redis OSS). ElastiCache

Beneficio a nivel de pregunta: la administración de ElastiCache los recursos de Amazon, como grupos de replicación, nodos, etc., puede restringirse a AWS cuentas que tengan permisos específicos basados en las políticas de IAM, lo que mejora la seguridad y la confiabilidad de los recursos.

SEC 7: ¿Cómo se detectan los eventos de seguridad y cómo se responde a ellos?

Introducción a nivel de preguntas: cuando se implementa con el RBAC activadoElastiCache, exporta CloudWatch métricas para notificar a los usuarios sobre los eventos de seguridad. Estas métricas ayudan a identificar los intentos fallidos de autenticación, acceso a claves o ejecución de comandos para los que los usuarios con RBAC que se conectan no están autorizados.

Además, AWS los recursos de productos y servicios ayudan a proteger su carga de trabajo general al automatizar las implementaciones y registrar todas las acciones y modificaciones para su posterior revisión o auditoría.

Ventaja a nivel de pregunta: Con la supervisión de los eventos, usted permite a su organización responder de acuerdo con sus requisitos, políticas y procedimientos. La automatización de la supervisión y las respuestas a estos eventos de seguridad refuerza su postura de seguridad general.