Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Elasticsearch
Estos controles están relacionados con los recursos de Elasticsearch.
Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte Disponibilidad de los controles por región.
[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo
Requisitos relacionados: PCI DSS v3.2.1/3.4, NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)
Categoría: Proteger - Protección de datos - Cifrado de datos en reposo
Gravedad: media
Tipo de recurso: AWS::Elasticsearch::Domain
Regla de AWS Config : elasticsearch-encrypted-at-rest
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si los dominios de Elasticsearch tienen habilitada la configuración de cifrado en reposo. La comprobación falla si el cifrado en reposo no está habilitado.
Para aumentar la seguridad de sus datos confidenciales OpenSearch, debe configurarlos OpenSearch para que estén cifrados en reposo. Los dominios Elasticsearch ofrecen cifrado de datos en reposo. La función se utiliza AWS KMS para almacenar y administrar sus claves de cifrado. Para realizar el cifrado, utiliza el algoritmo Estándar de cifrado avanzado con claves de 256 bits (AES-256).
Para obtener más información sobre el OpenSearch cifrado en reposo, consulta Cifrado de datos en reposo para Amazon OpenSearch Service en la Guía para desarrolladores de Amazon OpenSearch Service.
Algunos tipos de instancias, como t.small y t.medium, no admiten el cifrado de datos en reposo. Para obtener más información, consulta los tipos de instancias compatibles en la Guía para desarrolladores de Amazon OpenSearch Service.
Corrección
Para habilitar el cifrado en reposo para dominios de Elasticsearch nuevos y existentes, consulta Cómo habilitar el cifrado de datos en reposo en la Guía para desarrolladores de Amazon OpenSearch Service.
[ES.2] Los dominios de Elasticsearch no deben ser de acceso público
Requisitos relacionados: PCI DSS v3.2.1/1.2.1,PCI DSS v3.2.1/1.3.1,PCI DSS v3.2.1/1.3.2,PCI DSS v3.2.1/1.3.4,PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)
Categoría: Proteger > Configuración de red segura > Recursos dentro de VPC
Gravedad: crítica
Tipo de recurso: AWS::Elasticsearch::Domain
Regla de AWS Config : elasticsearch-in-vpc-only
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si los dominios de Elasticsearch están en una VPC. No evalúa la configuración de direccionamiento de subred de VPC para determinar el acceso público. Debe asegurarse de que los dominios de Elasticsearch no están asociados a subredes públicas. Consulta las políticas basadas en recursos en la Guía para desarrolladores de Amazon OpenSearch Service. También debe asegurarse de que la VPC esté configurada de acuerdo con las prácticas recomendadas. Consulte Prácticas recomendadas de seguridad para su VPC en la Guía del usuario de Amazon VPC.
Los dominios de Elasticsearch implementados en una VPC pueden comunicarse con los recursos de la VPC a través de la AWS red privada, sin necesidad de atravesar la Internet pública. Esta configuración aumenta la posición de seguridad al limitar el acceso a los datos en tránsito. Las VPC proporcionan una serie de controles de red para proteger el acceso a los dominios de Elasticsearch, incluidas las ACL de red y los grupos de seguridad. Security Hub recomienda migrar los dominios públicos de Elasticsearch a VPC para aprovechar estos controles.
Corrección
Si crea un dominio con un punto de enlace público, no podrá colocarlo posteriormente en una VPC. En lugar de ello, se debe crear un dominio nuevo y migrar los datos. y viceversa. Si crea un dominio dentro de una VPC, no puede tener un punto de enlace público. En su lugar, debe crear otro dominio o deshabilitar este control.
Consulte Cómo lanzar sus dominios de Amazon OpenSearch Service dentro de una VPC en la Guía para desarrolladores de Amazon OpenSearch Service.
[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos
Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2)
Categoría: Proteger - Protección de datos - Cifrado de datos en tránsito
Gravedad: media
Tipo de recurso: AWS::Elasticsearch::Domain
Regla de AWS Config : elasticsearch-node-to-node-encryption-check
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si los dominios de Elasticsearch tienen node-to-node el cifrado activado.
El HTTPS (TLS) se puede utilizar para evitar que posibles atacantes escuchen o manipulen el tráfico de la red mediante ataques u otros similares. person-in-the-middle Solo se deben permitir las conexiones cifradas a través de HTTPS (TLS). Al habilitar el node-to-node cifrado en los dominios de Elasticsearch, se garantiza que las comunicaciones dentro del clúster se cifren durante el tránsito.
Puede haber una penalización en el rendimiento asociada a esta configuración. Debe conocer y probar la compensación de rendimiento antes de activar esta opción.
Corrección
Para obtener información sobre cómo habilitar el node-to-node cifrado en dominios nuevos y existentes, consulta Habilitar el node-to-node cifrado en la Guía para desarrolladores de Amazon OpenSearch Service.
[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros
Requisitos relacionados: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8)
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::Elasticsearch::Domain
Regla de AWS Config : elasticsearch-logs-to-cloudwatch
Tipo de horario: provocado por un cambio
Parámetros:
-
logtype = 'error'(no personalizable)
Este control comprueba si los dominios de Elasticsearch están configurados para enviar registros de errores a Logs. CloudWatch
Debes habilitar los registros de errores para los dominios de Elasticsearch y enviar esos CloudWatch registros a Logs para su retención y respuesta. Los registros de errores de los dominios pueden ayudar con las auditorías de seguridad y acceso, y pueden ayudar a diagnosticar problemas de disponibilidad.
Corrección
Para obtener información sobre cómo habilitar la publicación de registros, consulte Habilitar la publicación de registros (consola) en la Guía para desarrolladores de Amazon OpenSearch Service.
[ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría
Requisitos relacionados: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8)
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::Elasticsearch::Domain
Regla de AWS Config : elasticsearch-audit-logging-enabled (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
-
cloudWatchLogsLogGroupArnList(no personalizable). Security Hub no rellena este parámetro. Lista de grupos de CloudWatch registros separados por comas que deben configurarse para los registros de auditoría.Esta regla se aplica
NON_COMPLIANTsi el grupo de CloudWatch registros de registros del dominio de Elasticsearch no está especificado en esta lista de parámetros.
Este control comprueba si los dominios de Elasticsearch tienen habilitado el registro de auditoría. Este control falla si un dominio de Elasticsearch no tiene habilitado el registro de auditoría.
Los registros de auditoría son altamente personalizables. Te permiten realizar un seguimiento de la actividad de los usuarios en tus clústeres de Elasticsearch, incluidos los éxitos y los errores de autenticación, las solicitudes, los cambios de indexación y las consultas de búsqueda entrantes. OpenSearch
Corrección
Para obtener instrucciones detalladas sobre cómo habilitar los registros de auditoría, consulta Habilitar los registros de auditoría en la Guía para desarrolladores de Amazon OpenSearch Service.
[ES.6] Los dominios de Elasticsearch deben tener al menos tres nodos de datos
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)
Categoría: Recuperación > Resiliencia > Alta disponibilidad
Gravedad: media
Tipo de recurso: AWS::Elasticsearch::Domain
Regla de AWS Config : elasticsearch-data-node-fault-tolerance (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si los dominios de Elasticsearch están configurados con al menos tres nodos de datos y zoneAwarenessEnabled es true.
Un dominio de Elasticsearch requiere al menos tres nodos de datos para una alta disponibilidad y tolerancia a errores. La implementación de un dominio de Elasticsearch con al menos tres nodos de datos garantiza las operaciones del clúster en caso de que un nodo falle.
Corrección
Cómo modificar la cantidad de nodos de datos en un dominio de Elasticsearch
Abre la consola OpenSearch de Amazon Service en https://console.aws.amazon.com/aos/
. -
En Dominios, elija el nombre del dominio que desea editar.
-
Elija Edit domain (Editar dominio).
-
En Nodos de datos, estableza Número de nodos en un número mayor o igual a
3.Para tres implementaciones de zonas de disponibilidad, establézcalo en un múltiplo de tres para garantizar una distribución equitativa entre las zonas de disponibilidad.
-
Elija Enviar.
[ES.7] Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)
Categoría: Recuperación > Resiliencia > Alta disponibilidad
Gravedad: media
Tipo de recurso: AWS::Elasticsearch::Domain
Regla de AWS Config: elasticsearch-primary-node-fault-tolerance (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si los dominios de Elasticsearch están configurados con al menos tres nodos principales dedicados. Este control falla si el dominio no usa nodos principales dedicados. Este control se transfiere si los dominios de Elasticsearch tienen cinco nodos principales dedicados. Sin embargo, el uso de más de tres nodos principales puede ser innecesario para mitigar el riesgo de disponibilidad y generará un costo adicional.
Un dominio de Elasticsearch requiere al menos tres nodos principales dedicados para una alta disponibilidad y tolerancia a los errores. Los recursos del nodo principal dedicado pueden agotarse durante las implementaciones de nodos de datos azules o verdes, ya que hay nodos adicionales que administrar. La implementación de un dominio de Elasticsearch con al menos tres nodos principales dedicados garantiza una capacidad suficiente de recursos del nodo principal y operaciones de clúster en caso de que un nodo falle.
Corrección
Para modificar la cantidad de nodos principales dedicados en un dominio OpenSearch
Abre la consola OpenSearch de Amazon Service en https://console.aws.amazon.com/aos/
. -
En Dominios, elija el nombre del dominio que desea editar.
-
Elija Edit domain (Editar dominio).
-
En Nodos maestros dedicados, defina el tipo de instancia en el tipo de instancia deseado.
-
Establezca el Número de nodos maestros en tres o más.
-
Elija Enviar.
[ES.8] Las conexiones a los dominios de Elasticsearch deben cifrarse con la política de seguridad TLS más reciente
Requisitos relacionados: NIST.800-53.r5 AC-17(2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5(1), NIST.800-53.r5 SC-12(3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SI-7(6)
Categoría: Proteger - Protección de datos - Cifrado de datos en tránsito
Gravedad: media
Tipo de recurso: AWS::Elasticsearch::Domain
Regla de AWS Config : elasticsearch-https-required (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si las conexiones a un dominio de Elasticsearch utilizan la política de seguridad de TLS más reciente. El control falla si el dominio de Elasticsearch no usa la última política compatible o si HTTPs no está habilitado. La última política de seguridad de TLS compatible es actualmente. Policy-Min-TLS-1-2-PFS-2023-10
El HTTPS (TLS) se puede utilizar para evitar que posibles atacantes utilicen ataques similares para espiar person-in-the-middle o manipular el tráfico de la red. Solo se deben permitir las conexiones cifradas a través de HTTPS (TLS). El cifrado de los datos en tránsito puede afectar al rendimiento. Debe probar su aplicación con esta característica para comprender el perfil de rendimiento y el impacto del TLS. TLS 1.2 proporciona varias mejoras de seguridad con respecto a las versiones anteriores de TLS.
Corrección
Para habilitar el cifrado TLS, utilice la operación UpdateDomainConfigAPI para configurar el objeto. DomainEndpointOptions Esto establece elTLSSecurityPolicy.
