ElastiCache Controles de Amazon - AWS Security Hub
[ElastiCache.1] Los clústeres de ElastiCache Redis deben tener habilitada la copia de seguridad automática[ElastiCache.2] ElastiCache para los clústeres de caché de Redis, debe tener habilitada la actualización automática de la versión secundaria[ElastiCache.3] en el caso ElastiCache de Redis, los grupos de replicación deberían tener habilitada la conmutación por error automática[ElastiCache.4] ElastiCache para Redis, los grupos de replicación deben estar cifrados en reposo[ElastiCache.5] ElastiCache para Redis, los grupos de replicación deben cifrarse en tránsito[ElastiCache.6] ElastiCache para los grupos de replicación de Redis anteriores a la versión 6.0, se debe usar Redis AUTH[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

ElastiCache Controles de Amazon

Estos controles están relacionados con los ElastiCache recursos.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.

[ElastiCache.1] Los clústeres de ElastiCache Redis deben tener habilitada la copia de seguridad automática

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13(5)

Categoría: Recuperación > Resiliencia > Respaldos habilitados

Gravedad: alta

Tipo de recurso: AWS::ElastiCache::CacheCluster

AWS Config regla: elasticache-redis-cluster-automatic-backup-check

Tipo de programa: Periódico

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub

snapshotRetentionPeriod

Periodo mínimo de retención de instantáneas en días

Entero

De 1 a 35

1

Este control evalúa si un clúster de Amazon ElastiCache for Redis tiene copias de seguridad automáticas programadas. Se produce un error en el control si el valor de SnapshotRetentionLimit del clúster de Redis es inferior al periodo especificado. A menos que se proporcione un valor personalizado de parámetro para el periodo de retención de instantáneas, Security Hub utiliza un valor predeterminado de 1 día.

Los clústeres ElastiCache de Amazon for Redis pueden hacer copias de seguridad de sus datos. Puede utilizar la característica de copia de seguridad para restaurar un clúster o para propagar datos en un nuevo clúster. La copia de seguridad se compone de los metadatos del clúster, junto con todos los datos del clúster. Todas las copias de seguridad se escriben en Amazon Simple Storage Service (Amazon S3), lo que proporciona un almacenamiento duradero. Puede restaurar los datos creando un nuevo clúster de Redis y rellenándolo con los datos de una copia de seguridad. Puede gestionar las copias de seguridad mediante la AWS Management Console, AWS Command Line Interface (AWS CLI) y la ElastiCache API.

Corrección

Para programar copias de seguridad automáticas en un ElastiCache clúster de Redis, consulte Programar copias de seguridad automáticas en la Guía del ElastiCache usuario de Amazon.

[ElastiCache.2] ElastiCache para los clústeres de caché de Redis, debe tener habilitada la actualización automática de la versión secundaria

Requisitos relacionados: NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5)

Categoría: Identificar > Administración de vulnerabilidades, parches y versiones

Gravedad: alta

Tipo de recurso: AWS::ElastiCache::CacheCluster

Regla de AWS Config : elasticache-auto-minor-version-upgrade-check

Tipo de programa: Periódico

Parámetros: ninguno

Este control evalúa si Redis aplica automáticamente ElastiCache las actualizaciones de versiones menores a los clústeres de caché. Este control produce un error si, en ElastiCache el caso de los clústeres de caché de Redis, no se aplican automáticamente las actualizaciones de las versiones secundarias.

AutoMinorVersionUpgradees una función que puede activar ElastiCache para que Redis actualice automáticamente sus clústeres de caché cuando haya disponible una nueva versión secundaria del motor de caché. Estas actualizaciones pueden incluir parches de seguridad y correcciones de errores. Seguir up-to-date con la instalación de los parches es un paso importante para proteger los sistemas.

Corrección

Para aplicar actualizaciones automáticas de versiones secundarias a un clúster de caché ElastiCache de Redis existente, consulte Actualización de versiones de motores en la Guía del ElastiCache usuario de Amazon.

[ElastiCache.3] en el caso ElastiCache de Redis, los grupos de replicación deberían tener habilitada la conmutación por error automática

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad: media

Tipo de recurso: AWS::ElastiCache::ReplicationGroup

Regla de AWS Config : elasticache-repl-grp-auto-failover-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si los grupos de replicación ElastiCache de Redis tienen habilitada la conmutación por error automática. Este control falla si la conmutación por error automática no está habilitada para un grupo de replicación de Redis.

Cuando se habilita la conmutación por error automática para un grupo de replicación, la característica del nodo principal tendrá una conmutación por error automática en una de las réplicas de lectura. Esta conmutación por error y promoción de réplica garantizan que pueda reanudar la escritura en la réplica principal tan pronto como se complete la promoción, lo cual reduce el tiempo de inactividad general en caso de falla.

Corrección

Para habilitar la conmutación por error automática para un grupo de replicación existente ElastiCache para Redis, consulte Modificación de un ElastiCache clúster en la Guía ElastiCache del usuario de Amazon. Si utiliza la ElastiCache consola, active la conmutación por error automática.

[ElastiCache.4] ElastiCache para Redis, los grupos de replicación deben estar cifrados en reposo

Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)

Categoría: Proteger > Protección de datos > Cifrado de data-at-rest

Gravedad: media

Tipo de recurso: AWS::ElastiCache::ReplicationGroup

Regla de AWS Config : elasticache-repl-grp-encrypted-at-rest

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si los grupos ElastiCache de replicación de Redis están cifrados en reposo. Este control falla si un grupo ElastiCache de replicación de Redis no está cifrado en reposo.

El cifrado de los datos en reposo reduce el riesgo de que un usuario no autenticado acceda a los datos almacenados en el disco. ElastiCache en el caso de Redis, los grupos de replicación deben cifrarse en reposo para ofrecer un nivel de seguridad adicional.

Corrección

Para configurar el cifrado en reposo en un grupo de replicación ElastiCache para Redis, consulte Habilitar el cifrado en reposo en la Guía del usuario de Amazon ElastiCache .

[ElastiCache.5] ElastiCache para Redis, los grupos de replicación deben cifrarse en tránsito

Requisitos relacionados: NIST.800-53.r5 AC-17(2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5(1), NIST.800-53.r5 SC-12(3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SI-7(6)

Categoría: Proteger > Protección de datos > Cifrado de data-in-transit

Gravedad: media

Tipo de recurso: AWS::ElastiCache::ReplicationGroup

Regla de AWS Config : elasticache-repl-grp-encrypted-in-transit

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si los grupos ElastiCache de replicación de Redis están cifrados en tránsito. Este control falla si un grupo ElastiCache de replicación de Redis no está cifrado en tránsito.

El cifrado de los datos en tránsito reduce el riesgo de que un usuario no autorizado pueda espiar el tráfico de la red. Al habilitar el cifrado en tránsito en un ElastiCache grupo de replicación de Redis, se cifran los datos siempre que se mueven de un lugar a otro, por ejemplo, entre los nodos del clúster o entre el clúster y la aplicación.

Corrección

Para configurar el cifrado en tránsito en un grupo de replicación ElastiCache para Redis, consulte Habilitar el cifrado en tránsito en la Guía del usuario de Amazon ElastiCache .

[ElastiCache.6] ElastiCache para los grupos de replicación de Redis anteriores a la versión 6.0, se debe usar Redis AUTH

Requisitos relacionados: NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-6

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::ElastiCache::ReplicationGroup

Regla de AWS Config : elasticache-repl-grp-redis-auth-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si los grupos de replicación de Redis ElastiCache tienen habilitada la autenticación de Redis. El control falla ElastiCache para un grupo de replicación de Redis si la versión de Redis de sus nodos es inferior a la 6.0 y AuthToken no está en uso.

Cuando utiliza los tokens de autenticación o contraseñas de Redis, Redis solicita una contraseña antes de permitir que los clientes ejecuten comandos, lo cual mejora la seguridad de los datos. Para Redis 6.0 y versiones posteriores, se recomienda utilizar el control de acceso basado en roles (RBAC). Como el RBAC no es compatible con las versiones de Redis anteriores a la 6.0, este control solo evalúa las versiones que no pueden usar la característica RBAC.

Corrección

Para usar Redis AUTH en un grupo de replicación ElastiCache para Redis, consulte Modificación del token AUTH en un clúster de Redis existente en la ElastiCache Guía del usuario de Amazon. ElastiCache

[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado

Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(5)

Categoría: Proteger - Configuración de red segura

Gravedad: alta

Tipo de recurso: AWS::ElastiCache::CacheCluster

Regla de AWS Config : elasticache-subnet-group-check

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si los ElastiCache clústeres están configurados con un grupo de subredes personalizado. El control falla para un ElastiCache clúster si CacheSubnetGroupName tiene el valordefault.

Al lanzar un ElastiCache clúster, se crea un grupo de subredes predeterminado si aún no existe ninguno. El grupo predeterminado utiliza subredes de la nube privada virtual (VPC) predeterminada. Recomendamos usar grupos de subredes personalizados que restrinjan más las subredes en las que reside el clúster y las redes que el clúster hereda de las subredes.

Corrección

Para crear un nuevo grupo de subredes para un ElastiCache clúster, consulte Creación de un grupo de subredes en la Guía del ElastiCache usuario de Amazon.