Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
ElastiCache Contrôles Amazon
Ces contrôles sont liés aux ElastiCache ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour plus d’informations, consultez Disponibilité des contrôles par région.
[ElastiCache.1] La sauvegarde automatique doit être activée sur les clusters ElastiCache Redis
Exigences connexes : NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6, NIST.800-53.R5 CP-6 (1), NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 CP-9, NIST.800-53.R5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)
Catégorie : Restauration > Résilience > Sauvegardes activées
Gravité : Élevée
Type de ressource : AWS::ElastiCache::CacheCluster
AWS Config règle : elasticache-redis-cluster-automatic-backup-check
Type de calendrier : Périodique
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
|
|
Durée minimale de conservation des instantanés en jours |
Entier |
|
|
Ce contrôle évalue si des sauvegardes automatiques sont planifiées ElastiCache pour un cluster Amazon pour Redis. Le contrôle échoue si SnapshotRetentionLimit le cluster Redis est inférieur à la période spécifiée. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de conservation des instantanés, Security Hub utilise une valeur par défaut de 1 jour.
Les clusters Amazon ElastiCache pour Redis peuvent sauvegarder leurs données. La sauvegarde peut être utilisée pour restaurer un cluster ou en implanter un nouveau. La sauvegarde se compose des métadonnées du cluster, ainsi que toutes les données figurant dans le cluster. Toutes les sauvegardes sont écrites sur Amazon Simple Storage Service (Amazon S3), qui fournit un stockage durable. Vous pouvez restaurer vos données en créant un nouveau cluster Redis et en le remplissant avec les données d'une sauvegarde. Vous pouvez gérer les sauvegardes à l'aide de AWS Management Console, the AWS Command Line Interface (AWS CLI) et de l' ElastiCache API.
Correction
Pour planifier des sauvegardes automatiques sur un ElastiCache cluster Redis, consultez la section Planification de sauvegardes automatiques dans le guide de l' ElastiCache utilisateur Amazon.
[ElastiCache.2] ElastiCache pour les clusters de cache Redis, la mise à niveau automatique des versions mineures doit être activée
Exigences connexes : NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5)
Catégorie : Identifier > Gestion des vulnérabilités, des correctifs et des versions
Gravité : Élevée
Type de ressource : AWS::ElastiCache::CacheCluster
Règle AWS Config : elasticache-auto-minor-version-upgrade-check
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle évalue si Redis applique automatiquement ElastiCache les mises à niveau des versions mineures aux clusters de cache. Ce contrôle échoue si, ElastiCache pour les clusters de cache Redis, aucune mise à niveau de version mineure n'est automatiquement appliquée.
AutoMinorVersionUpgradeest une fonctionnalité que vous pouvez activer ElastiCache pour que Redis mette automatiquement à niveau vos clusters de cache lorsqu'une nouvelle version mineure du moteur de cache est disponible. Ces mises à niveau peuvent inclure des correctifs de sécurité et des corrections de bogues. S'en up-to-date tenir à l'installation des correctifs est une étape importante de la sécurisation des systèmes.
Correction
Pour appliquer des mises à niveau automatiques de versions mineures à un cluster de cache existant ElastiCache pour Redis, consultez la section Mise à niveau des versions du moteur dans le guide de ElastiCache l'utilisateur Amazon.
[ElastiCache.3] ElastiCache pour Redis, le basculement automatique doit être activé pour les groupes de réplication
Exigences connexes : NIST.800-53.R5 CP-10, NIST.800-53.R5 SC-36, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
Catégorie : Restauration > Résilience > Haute disponibilité
Gravité : Moyenne
Type de ressource : AWS::ElastiCache::ReplicationGroup
Règle AWS Config : elasticache-repl-grp-auto-failover-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si le basculement automatique est activé ElastiCache pour les groupes de réplication Redis. Ce contrôle échoue si le basculement automatique n'est pas activé pour un groupe de réplication Redis.
Lorsque le basculement automatique est activé pour un groupe de réplication, le rôle du nœud principal passe automatiquement à l'une des répliques lues. Cette promotion basée sur le basculement et les répliques vous permet de reprendre l'écriture vers le nouveau serveur principal une fois la promotion terminée, ce qui réduit le temps d'arrêt global en cas de panne.
Correction
Pour activer le basculement automatique pour un groupe de réplication Redis existant ElastiCache , consultez la section Modification d'un ElastiCache cluster dans le guide de ElastiCache l'utilisateur Amazon. Si vous utilisez la ElastiCache console, réglez le basculement automatique sur Activé.
[ElastiCache.4] ElastiCache pour Redis, les groupes de réplication doivent être chiffrés au repos
Exigences connexes : NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-3 (6), NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-28, NIST.800-53.R5 SC-28 (1), NIST.800-53.R5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest
Gravité : Moyenne
Type de ressource : AWS::ElastiCache::ReplicationGroup
Règle AWS Config : elasticache-repl-grp-encrypted-at-rest
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si ElastiCache les groupes de réplication Redis sont chiffrés au repos. Ce contrôle échoue si un groupe de réplication ElastiCache destiné à Redis n'est pas chiffré au repos.
Le chiffrement des données au repos réduit le risque qu'un utilisateur non authentifié accède aux données stockées sur disque. ElastiCache pour Redis, les groupes de réplication doivent être chiffrés au repos pour une couche de sécurité supplémentaire.
Correction
Pour configurer le chiffrement au repos sur un ElastiCache groupe de réplication Redis, consultez la section Activation du chiffrement au repos dans le guide de l'utilisateur Amazon ElastiCache .
[ElastiCache.5] ElastiCache pour Redis, les groupes de réplication doivent être chiffrés en transit
Exigences connexes : NIST.800-53.R5 AC-17 (2), NIST.800-53.R5 AC-4, NIST.800-53.R5 IA-5 (1), NIST.800-53.R5 SC-12 (3), NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-23 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-8, NIST.800-53.R5 SC-8 (1), NIST.800-53.R5 SC-8 (2), NIST.800-53.R5 SI-7 (6)
Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit
Gravité : Moyenne
Type de ressource : AWS::ElastiCache::ReplicationGroup
Règle AWS Config : elasticache-repl-grp-encrypted-in-transit
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si ElastiCache les groupes de réplication Redis sont chiffrés pendant le transit. Ce contrôle échoue si un groupe de réplication ElastiCache destiné à Redis n'est pas chiffré pendant le transit.
Le chiffrement des données en transit réduit le risque qu'un utilisateur non autorisé puisse espionner le trafic réseau. L'activation du chiffrement en transit sur un ElastiCache groupe de réplication Redis chiffre vos données chaque fois qu'elles sont déplacées d'un endroit à un autre, par exemple entre les nœuds de votre cluster ou entre votre cluster et votre application.
Correction
Pour configurer le chiffrement en transit sur un ElastiCache groupe de réplication Redis, consultez la section Activation du chiffrement en transit dans le guide de l'utilisateur Amazon ElastiCache .
[ElastiCache.6] ElastiCache pour Redis, les groupes de réplication antérieurs à la version 6.0 doivent utiliser Redis AUTH
Exigences connexes : NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (15), NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-6
Catégorie : Protéger - Gestion de l'accès sécurisé
Gravité : Moyenne
Type de ressource : AWS::ElastiCache::ReplicationGroup
Règle AWS Config : elasticache-repl-grp-redis-auth-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si Redis AUTH est activé ElastiCache pour les groupes de réplication Redis. Le contrôle échoue pour un groupe de réplication ElastiCache pour Redis si la version Redis de ses nœuds est inférieure à 6.0 et AuthToken n'est pas utilisée.
Lorsque vous utilisez des jetons d'authentification ou des mots de passe Redis, Redis exige un mot de passe avant d'autoriser les clients à exécuter des commandes, ce qui améliore la sécurité des données. Pour Redis 6.0 et versions ultérieures, nous recommandons d'utiliser le contrôle d'accès basé sur les rôles (RBAC). Le RBAC n'étant pas pris en charge pour les versions de Redis antérieures à 6.0, ce contrôle évalue uniquement les versions qui ne peuvent pas utiliser la fonctionnalité RBAC.
Correction
Pour utiliser Redis AUTH sur un groupe de réplication ElastiCache pour Redis, consultez la section Modification du jeton AUTH sur un cluster Redis existant dans le ElastiCache guide de l'utilisateur Amazon. ElastiCache
[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut
Exigences connexes : NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (5)
Catégorie : Protéger - Configuration réseau sécurisée
Gravité : Élevée
Type de ressource : AWS::ElastiCache::CacheCluster
Règle AWS Config : elasticache-subnet-group-check
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si les ElastiCache clusters sont configurés avec un groupe de sous-réseaux personnalisé. Le contrôle échoue pour un ElastiCache cluster s'il CacheSubnetGroupName contient la valeurdefault.
Lors du lancement d'un ElastiCache cluster, un groupe de sous-réseaux par défaut est créé s'il n'en existe pas déjà un. Le groupe par défaut utilise des sous-réseaux issus du Virtual Private Cloud (VPC) par défaut. Nous vous recommandons d'utiliser des groupes de sous-réseaux personnalisés qui limitent davantage les sous-réseaux dans lesquels réside le cluster et le réseau dont le cluster hérite des sous-réseaux.
Correction
Pour créer un nouveau groupe de sous-réseaux pour un ElastiCache cluster, consultez la section Création d'un groupe de sous-réseaux dans le guide de ElastiCache l'utilisateur Amazon.
