Pilier de ElastiCache sécurité Amazon Well-Architected Lens

Le pilier de sécurité se concentre sur la protection des informations et des systèmes. Les sujets clés sont les suivants : confidentialité et intégrité des données, identification et gestion de qui peut faire quoi grâce à la gestion basée sur les privilèges, protection des systèmes et mise en place de contrôles pour détecter les événements de sécurité.

SEC 1 : Quelles mesures prenez-vous pour contrôler l'accès autorisé aux ElastiCache données ?

Introduction au niveau des questions : tous les ElastiCache clusters sont conçus pour être accessibles à partir d'instances Amazon Elastic Compute Cloud dans un VPC, de fonctions sans serveur (AWS Lambda) ou de conteneurs (Amazon Elastic Container Service). Le scénario le plus courant consiste à accéder à un ElastiCache cluster depuis une instance Amazon Elastic Compute Cloud au sein du même Amazon Virtual Private Cloud (Amazon Virtual Private Cloud). Avant de vous connecter à un cluster à partir d'une instance Amazon EC2, vous devez autoriser l'instance Amazon EC2 à accéder au cluster. Pour accéder à un ElastiCache cluster exécuté dans un VPC, il est nécessaire d'autoriser l'accès réseau au cluster.

Avantage au niveau de la question : l'entrée réseau dans le cluster est contrôlée via les groupes de sécurité du VPC. Un groupe de sécurité agit en tant que pare-feu virtuel pour vos instances Amazon EC2 afin de contrôler le trafic entrant et sortant. Les règles entrantes contrôlent le trafic entrant vers votre instance, et les règles sortantes contrôlent le trafic sortant de votre instance. Dans le cas où ElastiCache, lors du lancement d'un cluster, il est nécessaire d'associer un groupe de sécurité. Cela garantit que les règles de trafic entrant et sortant sont en place pour tous les nœuds qui composent le cluster. En outre, ElastiCache il est configuré pour être déployé exclusivement sur des sous-réseaux privés, de sorte qu'ils ne soient accessibles que via le réseau privé du VPC.

• [Obligatoire] Le groupe de sécurité associé à votre cluster contrôle l’entrée réseau et l'accès au cluster. Par défaut, aucune règle entrante n'est définie pour un groupe de sécurité et, par conséquent, aucun chemin d'entrée vers celui-ci ne sera défini. ElastiCache Pour activer cela, configurez une règle entrante sur le groupe de sécurité spécifiant l'adresse/plage IP source, le trafic de type TCP et le port de votre ElastiCache cluster (port par défaut 6379 pour ElastiCache (Redis OSS) par exemple). Bien qu'il soit possible d'autoriser un très large éventail de sources d'entrée, comme toutes les ressources d'un VPC (0.0.0.0/0), il est conseillé d'être aussi précis que possible dans la définition des règles entrantes, par exemple en autorisant uniquement l'accès entrant aux clients Redis OSS exécutés sur des instances Amazon Amazon EC2 associées à un groupe de sécurité spécifique.

  [Ressources] :

  • Sous-réseaux et groupes de sous-réseaux

  • Accès à votre cluster ou groupe de réplication

  • Contrôler le trafic vers vos ressources AWS à l'aide de groupes de sécurité

  • Groupes de sécurité Amazon EC2 pour les instances Linux

• Des AWS Identity and Access Management politiques [obligatoires] peuvent être attribuées à des AWS Lambda fonctions leur permettant d'accéder aux ElastiCache données. Pour activer cette fonctionnalité, créez un rôle d'exécution IAM avec l'AWSLambdaVPCAccessExecutionRoleautorisation, puis attribuez le rôle à la AWS Lambda fonction.

  [Ressources] : Configuration d'une fonction Lambda pour accéder à Amazon ElastiCache dans un Amazon VPC : Tutoriel : Configuration d'une fonction Lambda pour accéder à Amazon dans un Amazon VPC ElastiCache

SEC 2 : Vos applications nécessitent-elles une autorisation supplémentaire au-delà ElastiCache des contrôles basés sur le réseau ?

Introduction au niveau des questions : dans les scénarios où il est nécessaire de restreindre ou de contrôler l'accès aux clusters ElastiCache (Redis OSS) au niveau d'un client individuel, il est recommandé de s'authentifier via la commande AUTH ElastiCache (Redis OSS). ElastiCache Les jetons d'authentification (Redis OSS), avec gestion optionnelle des utilisateurs et des groupes d'utilisateurs, permettent à ElastiCache (Redis OSS) d'exiger un mot de passe avant d'autoriser les clients à exécuter des commandes et des clés d'accès, améliorant ainsi la sécurité du plan de données.

Avantage au niveau des questions : pour garantir la sécurité de vos données, ElastiCache (Redis OSS) fournit des mécanismes de protection contre tout accès non autorisé à vos données. Cela inclut l'application du contrôle d'accès basé sur les rôles (RBAC) AUTH ou du jeton AUTH (mot de passe) auquel les clients doivent se connecter avant d'exécuter des commandes autorisées. ElastiCache

• [Idéal] Pour ElastiCache (Redis OSS) 6.x et versions ultérieures, définissez les contrôles d'authentification et d'autorisation en définissant les groupes d'utilisateurs, les utilisateurs et les chaînes d'accès. Attribuez des utilisateurs à des groupes d'utilisateurs, puis attribuez des groupes d'utilisateurs à des clusters. Pour utiliser le RBAC, il doit être sélectionné lors de la création du cluster et le chiffrement en transit doit être activé. Assurez-vous d'utiliser un client Redis OSS qui prend en charge le protocole TLS pour pouvoir tirer parti du RBAC.

  [Ressources] :

  • Appliquer le RBAC à un groupe de réplication pour ElastiCache (Redis OSS)

  • Définition des autorisations à l'aide d'une chaîne d'accès

  • ACL

  • Versions prises en charge ElastiCache (Redis OSS)

• [Idéal] Pour les versions ElastiCache (Redis OSS) antérieures à la version 6.x, en plus de définir un jeton/mot de passe fort et de maintenir une politique de mot de passe stricte pour ElastiCache (Redis OSS) AUTH, il est recommandé de faire pivoter le mot de passe/jeton. ElastiCache peut gérer jusqu'à deux (2) jetons d'authentification à la fois. Vous pouvez également modifier le cluster pour exiger explicitement l'utilisation de jetons d'authentification.

  [Ressources] : Modification du jeton AUTH sur un cluster existant ElastiCache (Redis OSS)

PS 3 : Existe-t-il un risque que des commandes soient exécutées par inadvertance, entraînant une perte ou une défaillance des données ?

Introduction au niveau des questions : un certain nombre de commandes Redis OSS peuvent avoir un impact négatif sur les opérations si elles sont exécutées par erreur ou par des acteurs malveillants. Ces commandes peuvent avoir des conséquences imprévues du point de vue des performances et de la sécurité des données. Par exemple, un développeur peut appeler régulièrement la commande FLUSHALL dans un environnement de développement et, en raison d'une erreur, peut tenter par inadvertance d'appeler cette commande sur un système de production, ce qui entraîne une perte de données accidentelle.

Avantage au niveau des questions : à partir de ElastiCache (Redis OSS) 5.0.3, il est possible de renommer certaines commandes susceptibles de perturber votre charge de travail. Le fait de renommer les commandes permet d'éviter qu'elles ne soient exécutées par inadvertance sur le cluster.

• [Obligatoire] 

  [Ressources] :

  • ElastiCache (Redis OSS) version 5.0.3 (obsolète, utilisez la version 5.0.6)

  • Modifications des paramètres de Redis OSS 5.0.3

  • Sécurité Redis OSS

SEC 4 : Comment garantir le chiffrement des données au repos avec ElastiCache

Introduction au niveau des questions : Bien que ElastiCache (Redis OSS) soit un magasin de données en mémoire, il est possible de chiffrer toutes les données susceptibles d'être conservées (sur le stockage) dans le cadre des opérations standard du cluster. Cela inclut à la fois les sauvegardes planifiées et manuelles écrites sur Amazon S3, mais également les données enregistrées dans le stockage sur disque à la suite d'opérations de synchronisation et d'échange. Les types d'instances des familles M6g et R6g proposent également le chiffrement en mémoire permanent.

Avantage au niveau des questions : ElastiCache (Redis OSS) fournit un chiffrement optionnel au repos pour renforcer la sécurité des données.

• [Obligatoire] Le chiffrement au repos ne peut être activé sur un ElastiCache cluster (groupe de réplication) que lors de sa création. Un cluster existant ne peut pas être modifié pour commencer à chiffrer les données au repos. Par défaut, ElastiCache fournira et gérera les clés utilisées pour le chiffrement au repos.

  [Ressources] :

  • Conditions du chiffrement au repos

  • Activation du chiffrement au repos

• [Meilleure pratique] Tirez parti des types d'instances Amazon EC2 qui chiffrent les données lorsqu'elles sont en mémoire (tels que M6g ou R6g). Dans la mesure du possible, envisagez de gérer vos propres clés pour le chiffrement au repos. Pour les environnements de sécurité des données plus stricts, AWS Key Management Service (KMS) peut être utilisé pour gérer automatiquement les clés principales du client (CMK). Grâce à ElastiCache l'intégration avec AWS Key Management Service, vous pouvez créer, posséder et gérer les clés utilisées pour le chiffrement des données au repos pour votre cluster ElastiCache (Redis OSS).

  [Ressources] :

  • Utilisation de clés gérées par le client depuis AWS Key Management Service

  • AWS Service de gestion des clés

  • AWS KMS concepts

SEC 5 : Comment cryptez-vous les données en transit ? ElastiCache

Introduction au niveau de la question : il est souvent exigé d'éviter que les données ne soient compromises pendant leur transit. Cela représente les données au sein des composants d'un système distribué, ainsi qu'entre les clients d'applications et les nœuds de cluster. ElastiCache (Redis OSS) répond à cette exigence en permettant de chiffrer les données en transit entre les clients et le cluster, et entre les nœuds du cluster eux-mêmes. Les types d'instances des familles M6g et R6g proposent également le chiffrement en mémoire permanent.

Avantage détaillé : le chiffrement ElastiCache en transit d'Amazon est une fonctionnalité facultative qui vous permet de renforcer la sécurité de vos données aux points les plus vulnérables, lorsqu'elles sont en transit d'un endroit à un autre.

• [Obligatoire] Le chiffrement en transit ne peut être activé que sur un cluster ElastiCache (Redis OSS) (groupe de réplication) lors de sa création. Veuillez noter qu'en raison du traitement supplémentaire requis pour le chiffrement/déchiffrement des données, la mise en œuvre du chiffrement en transit aura un certain impact sur les performances. Pour comprendre l'impact, il est recommandé de comparer votre charge de travail avant et après l'activationencryption-in-transit.

  [Ressources] :

  • Présentation du chiffrement en transit

PS 6 : Comment restreignez-vous l'accès aux ressources du plan de contrôle ?

Introduction au niveau des questions : les politiques IAM et l'ARN permettent des contrôles d'accès précis pour ElastiCache (Redis OSS), permettant un contrôle plus strict de la gestion de la création, de la modification et de la suppression des ElastiCache clusters (Redis OSS).

Avantage au niveau des questions : la gestion des ElastiCache ressources Amazon, telles que les groupes de réplication, les nœuds, etc., peut être limitée aux AWS comptes dotés d'autorisations spécifiques basées sur les politiques IAM, ce qui améliore la sécurité et la fiabilité des ressources.

• [Obligatoire] Gérez l'accès aux ElastiCache ressources Amazon en attribuant des AWS Identity and Access Management politiques spécifiques aux AWS utilisateurs, afin de mieux contrôler quels comptes peuvent effectuer quelles actions sur les clusters.

  [Ressources] :

  • Vue d'ensemble de la gestion des autorisations d'accès à vos ElastiCache ressources

  • Utilisation de politiques basées sur l'identité (politiques IAM) pour Amazon ElastiCache

PS 7 : Comment détectez-vous les événements de sécurité et comment y répondez-vous ?

Introduction au niveau des questions : ElastiCache lorsqu'il est déployé avec le RBAC activé, exporte des CloudWatch métriques pour informer les utilisateurs des événements de sécurité. Ces métriques permettent d'identifier les tentatives infructueuses d'authentification, d'accès aux clés ou d'exécution des commandes que les utilisateurs RBAC connectés ne sont pas autorisés à effectuer.

En outre, AWS les ressources relatives aux produits et services contribuent à sécuriser votre charge de travail globale en automatisant les déploiements et en enregistrant toutes les actions et modifications pour un examen ou un audit ultérieurs.

Avantage au niveau de la question : en surveillant les événements, vous permettez à votre organisation de répondre conformément à vos exigences, vos politiques et vos procédures. L'automatisation de la surveillance et des réponses à ces événements de sécurité renforce votre posture de sécurité globale.

• [Obligatoire] Familiarisez-vous avec les CloudWatch métriques publiées concernant les échecs d'authentification et d'autorisation RBAC.

  • AuthenticationFailures = Tentatives d'authentification infructueuses auprès de Redis OSS

  • KeyAuthorizationFailures = Tentatives infructueuses des utilisateurs pour accéder aux clés sans autorisation

  • CommandAuthorizationFailures = Tentatives infructueuses d'exécution de commandes par des utilisateurs sans autorisation

  [Ressources] :

  • Métriques pour Redis OSS

• [Meilleure pratique] Il est recommandé de configurer des alertes et des notifications sur ces métriques et d'y répondre si nécessaire.

  [Ressources] :

  • Utilisation des CloudWatch alarmes Amazon

• [Mieux] Utilisez la commande Redis OSS ACL LOG pour recueillir plus de détails

  [Ressources] :

  • ACL LOG

• [Mieux] Familiarisez-vous avec les fonctionnalités AWS des produits et services en matière de surveillance, de journalisation et d'analyse des ElastiCache déploiements et des événements

  [Ressources] :

  • Journalisation des appels ElastiCache d'API Amazon avec AWS CloudTrail

  • elasticache-redis-cluster-automatic-vérification des sauvegardes

  • Surveillance de l'utilisation à l'aide de CloudWatch métriques