Contrôles Elasticsearch - AWS Security Hub
[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée[ES.5] La journalisation des audits doit être activée dans les domaines Elasticsearch[ES.6] Les domaines Elasticsearch doivent comporter au moins trois nœuds de données[ES.7] Les domaines Elasticsearch doivent être configurés avec au moins trois nœuds maîtres dédiés[ES.8] Les connexions aux domaines Elasticsearch doivent être chiffrées à l'aide du protocole TLS 1.2

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles Elasticsearch

Ces contrôles sont liés aux ressources Elasticsearch.

Il est possible que ces commandes ne soient pas toutes disponiblesRégions AWS. Pour en savoir plus, consultez Disponibilité des contrôles par région.

[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch

Exigences connexes : PCI DSS v3.2.1/3.4, nIST.800-53.R5 CA-9 (1), nIST.800-53.R5 CM-3 (6), nIST.800-53.R5 SC-13, nIST.800-53.R5 SC-28, nIST.800-53.R5 SC-7 (10), NIST.800-53.R5 -7 (6)

Catégorie : Protéger - Protection des données - Chiffrement des données au repos

Gravité : Moyenne

Type de ressource : AWS::Elasticsearch::Domain

Règle AWS Config : elasticsearch-encrypted-at-rest

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si la configuration du chiffrement au repos est activée dans les domaines Elasticsearch. La vérification échoue si le chiffrement au repos n'est pas activé.

Pour renforcer la sécurité de vos données sensibles OpenSearch, vous devez les configurer pour qu'elles soient chiffrées au repos. OpenSearch Les domaines Elasticsearch permettent de chiffrer les données au repos. La fonctionnalité utilise AWS KMS pour stocker et gérer vos clés de chiffrement. Pour effectuer le chiffrement, elle utilise l'algorithme Advanced Encryption Standard avec des clés 256 bits (AES-256).

Pour en savoir plus sur le OpenSearch chiffrement au repos, consultez la section Chiffrement des données au repos pour Amazon OpenSearch Service dans le manuel Amazon OpenSearch Service Developer Guide.

Certains types d'instances, tels que t.small ett.medium, ne prennent pas en charge le chiffrement des données au repos. Pour plus de détails, consultez la section Types d'instances pris en charge dans le manuel Amazon OpenSearch Service Developer Guide.

Correction

Par défaut, les domaines ne chiffrent pas les données au repos et vous ne pouvez pas configurer les domaines existants afin qu'ils utilisent la fonction.

Pour activer la fonction, vous devez créer un autre domaine et migrer vos données. Pour plus d'informations sur la création de domaines, consultez le manuel Amazon OpenSearch Service Developer Guide.

Le chiffrement des données au repos nécessite le OpenSearch Service 5.1 ou une version ultérieure. Pour plus d'informations sur le chiffrement des données au repos pour le OpenSearch Service, consultez le manuel Amazon OpenSearch Service Developer Guide.

[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public

Important

En novembre 2023, le titre de ce contrôle est devenu le titre indiqué ici. Pour en savoir plus, consultez Journal des modifications pour les contrôles du Security Hub.

Exigences connexes : PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (21) 53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)

Catégorie : Protection > Configuration réseau sécurisée > Ressources au sein du VPC

Gravité : Critique

Type de ressource : AWS::Elasticsearch::Domain

Règle AWS Config : elasticsearch-in-vpc-only

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si les domaines Elasticsearch se trouvent dans un VPC. Il n'évalue pas la configuration de routage du sous-réseau VPC pour déterminer l'accès public. Vous devez vous assurer que les domaines Elasticsearch ne sont pas attachés à des sous-réseaux publics. Consultez les politiques basées sur les ressources dans le manuel Amazon OpenSearch Service Developer Guide. Vous devez également garantir que votre VPC est configuré conformément aux bonnes pratiques recommandées. Consultez les meilleures pratiques de sécurité pour votre VPC dans le guide de l'utilisateur Amazon VPC.

Les domaines Elasticsearch déployés au sein d'un VPC peuvent communiquer avec les ressources du VPC via le AWS réseau privé, sans qu'il soit nécessaire de passer par l'Internet public. Cette configuration augmente le niveau de sécurité en limitant l'accès aux données en transit. Les VPC fournissent un certain nombre de contrôles réseau pour sécuriser l'accès aux domaines Elasticsearch, notamment les ACL réseau et les groupes de sécurité. Security Hub vous recommande de migrer les domaines Elasticsearch publics vers des VPC afin de tirer parti de ces contrôles.

Correction

Si vous créez un domaine avec un point de terminaison public, vous ne pouvez pas ultérieurement le placer au sein d'un VPC. Au lieu de cela, vous devez créer un nouveau domaine et migrer vos données. L'inverse est également vrai. Si vous créez un domaine dans un VPC, il ne peut pas avoir de point de terminaison public. Au lieu de cela, vous devez créer un autre domaine ou désactiver ce contrôle.

Consultez la section Lancement de vos domaines Amazon OpenSearch Service au sein d'un VPC dans le manuel Amazon OpenSearch Service Developer Guide.

[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds

Exigences connexes : NIST.800-53.R5 AC-4, NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-23, NIST.800-53.R5 SC-23 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-8 (1), NIST.800-53.R5 SC-8 (2)

Catégorie : Protéger - Protection des données - Chiffrement des données en transit

Gravité : Moyenne

Type de ressource : AWS::Elasticsearch::Domain

Règle AWS Config : elasticsearch-node-to-node-encryption-check

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si le node-to-node chiffrement est activé dans les domaines Elasticsearch.

Le protocole HTTPS (TLS) peut être utilisé pour empêcher les attaquants potentiels d'espionner ou de manipuler le trafic réseau en utilisant des attaques similaires. person-in-the-middle Seules les connexions cryptées via HTTPS (TLS) doivent être autorisées. L'activation du node-to-node chiffrement pour les domaines Elasticsearch garantit que les communications au sein du cluster sont chiffrées en transit.

Cette configuration peut entraîner une baisse des performances. Vous devez connaître le compromis entre les performances et le tester avant d'activer cette option.

Correction

Pour plus d'informations sur l'activation du node-to-node chiffrement sur les domaines nouveaux et existants, consultez la section Activation du node-to-node chiffrement dans le manuel Amazon OpenSearch Service Developer Guide.

[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée

Exigences connexes : NIST.800-53.R5 AC-2 (4), NIST.800-53.R5 AC-4 (26), NIST.800-53.R5 AC-6 (9), NIST.800-53.R5 AU-10, NIST.800-53.R5 AU-12, NIST.800-53.R5 AU-3, NIST.800-53.R5 AU-6 (3), NIST.800-53.R5 AU-6 (4), NIST.800-53.R5 CA-7, NIST.800-53.R5 SC-7 (9), NIST.800-53.R5 SI-3 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)

Catégorie : Identifier - Journalisation

Gravité : Moyenne

Type de ressource : AWS::Elasticsearch::Domain

Règle AWS Config : elasticsearch-logs-to-cloudwatch

Type de calendrier : changement déclenché

Paramètres :

  • logtype = 'error'

Ce contrôle vérifie si les domaines Elasticsearch sont configurés pour envoyer des journaux d'erreurs à CloudWatch Logs.

Vous devez activer les journaux d'erreurs pour les domaines Elasticsearch et les envoyer à CloudWatch Logs pour les conserver et y répondre. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.

Correction

Pour plus d'informations sur la façon d'activer la publication des journaux, consultez la section Activation de la publication des journaux (console) dans le manuel Amazon OpenSearch Service Developer Guide.

[ES.5] La journalisation des audits doit être activée dans les domaines Elasticsearch

Exigences connexes : NIST.800-53.R5 AC-2 (4), NIST.800-53.R5 AC-4 (26), NIST.800-53.R5 AC-6 (9), NIST.800-53.R5 AU-10, NIST.800-53.R5 AU-12, NIST.800-53.R5 AU-3, NIST.800-53.R5 AU-6 (3), NIST.800-53.R5 AU-6 (4), NIST.800-53.R5 CA-7, NIST.800-53.R5 SC-7 (9), NIST.800-53.R5 SI-3 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)

Catégorie : Identifier - Journalisation

Gravité : Moyenne

Type de ressource : AWS::Elasticsearch::Domain

AWS Configrègle : elasticsearch-audit-logging-enabled (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres :

  • cloudWatchLogsLogGroupArnList (Facultatif). Security Hub ne renseigne pas ce paramètre. Liste séparée par des CloudWatch virgules des groupes de journaux qui doivent être configurés pour les journaux d'audit.

    Cette règle s'applique NON_COMPLIANT si le groupe de CloudWatch journaux du domaine Elasticsearch n'est pas spécifié dans cette liste de paramètres.

Ce contrôle vérifie si la journalisation des audits est activée dans les domaines Elasticsearch. Ce contrôle échoue si la journalisation des audits n'est pas activée dans un domaine Elasticsearch.

Les journaux d'audit sont hautement personnalisables. Ils vous permettent de suivre l'activité des utilisateurs sur vos clusters Elasticsearch, notamment les réussites et les échecs d'authentification, les demandes, les modifications d' OpenSearchindex et les requêtes de recherche entrantes.

Correction

Pour obtenir des instructions détaillées sur l'activation des journaux d'audit, consultez la section Activation des journaux d'audit dans le manuel Amazon OpenSearch Service Developer Guide.

[ES.6] Les domaines Elasticsearch doivent comporter au moins trois nœuds de données

Exigences connexes : NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 SC-36, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

Catégorie : Restauration > Résilience > Haute disponibilité

Gravité : Moyenne

Type de ressource : AWS::Elasticsearch::Domain

AWS Configrègle : elasticsearch-data-node-fault-tolerance (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si les domaines Elasticsearch sont configurés avec au moins trois nœuds de données et zoneAwarenessEnabled s'ils le sont. true

Un domaine Elasticsearch nécessite au moins trois nœuds de données pour garantir une haute disponibilité et une tolérance aux pannes. Le déploiement d'un domaine Elasticsearch avec au moins trois nœuds de données garantit les opérations du cluster en cas de défaillance d'un nœud.

Correction

Pour modifier le nombre de nœuds de données dans un domaine Elasticsearch

  1. Ouvrez la console Amazon OpenSearch Service à l'adresse https://console.aws.amazon.com/aos/.

  2. Sous Domaines, choisissez le nom du domaine que vous souhaitez modifier.

  3. Choisissez Edit domain (Modifier le domaine).

  4. Sous Nœuds de données, définissez Nombre de nœuds sur un nombre supérieur ou égal à3.

    Pour trois déploiements de zones de disponibilité, définissez un multiple de trois pour garantir une distribution égale entre les zones de disponibilité.

  5. Sélectionnez Submit (Envoyer).

[ES.7] Les domaines Elasticsearch doivent être configurés avec au moins trois nœuds maîtres dédiés

Exigences connexes : NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 SC-36, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

Catégorie : Restauration > Résilience > Haute disponibilité

Gravité : Moyenne

Type de ressource : AWS::Elasticsearch::Domain

AWS Configrègle : elasticsearch-primary-node-fault-tolerance (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si les domaines Elasticsearch sont configurés avec au moins trois nœuds maîtres dédiés. Ce contrôle échoue si le domaine n'utilise pas de nœuds maîtres dédiés. Ce contrôle est effectué si les domaines Elasticsearch disposent de cinq nœuds maîtres dédiés. Cependant, l'utilisation de plus de trois nœuds principaux peut s'avérer inutile pour atténuer le risque de disponibilité et entraînera des coûts supplémentaires.

Un domaine Elasticsearch nécessite au moins trois nœuds maîtres dédiés pour garantir une haute disponibilité et une tolérance aux pannes. Les ressources du nœud maître dédié peuvent être mises à rude épreuve lors des déploiements bleu/vert de nœuds de données, car il y a des nœuds supplémentaires à gérer. Le déploiement d'un domaine Elasticsearch avec au moins trois nœuds maîtres dédiés garantit une capacité de ressources de nœud maître suffisante et des opérations de cluster suffisantes en cas de défaillance d'un nœud.

Correction

Pour modifier le nombre de nœuds maîtres dédiés dans un OpenSearch domaine

  1. Ouvrez la console Amazon OpenSearch Service à l'adresse https://console.aws.amazon.com/aos/.

  2. Sous Domaines, choisissez le nom du domaine que vous souhaitez modifier.

  3. Choisissez Edit domain (Modifier le domaine).

  4. Sous Nœuds maîtres dédiés, définissez le type d'instance sur le type d'instance souhaité.

  5. Définissez le nombre de nœuds maîtres égal ou supérieur à trois.

  6. Sélectionnez Submit (Envoyer).

[ES.8] Les connexions aux domaines Elasticsearch doivent être chiffrées à l'aide du protocole TLS 1.2

Exigences connexes : NIST.800-53.R5 AC-17 (2), NIST.800-53.R5 AC-4, NIST.800-53.R5 IA-5 (1), NIST.800-53.R5 SC-12 (3), NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-23 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-8, NIST.800-53.R5 SC-8 (1), NIST.800-53.R5 SC-8 (2), NIST.800-53.R5 SI-7 (6)

Catégorie : Protéger - Protection des données - Chiffrement des données en transit

Gravité : Moyenne

Type de ressource : AWS::Elasticsearch::Domain

AWS Configrègle : elasticsearch-https-required (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si des connexions aux domaines Elasticsearch sont nécessaires pour utiliser le protocole TLS 1.2. La vérification échoue si le domaine Elasticsearch n'TLSSecurityPolicyest pas Policy-min-TLS-1-2-2019-07 ou si le protocole HTTPS n'est pas activé.

Le protocole HTTPS (TLS) peut être utilisé pour empêcher les attaquants potentiels d'utiliser person-in-the-middle des attaques similaires pour espionner ou manipuler le trafic réseau. Seules les connexions cryptées via HTTPS (TLS) doivent être autorisées. Le chiffrement des données en transit peut affecter les performances. Vous devez tester votre application avec cette fonctionnalité pour comprendre le profil de performance et l'impact du protocole TLS. TLS 1.2 apporte plusieurs améliorations de sécurité par rapport aux versions précédentes de TLS.

Correction

Pour activer le chiffrement TLS, utilisez l'opération UpdateDomainConfigAPI pour configurer le DomainEndpointOptionsafin de définir leTLSSecurityPolicy. Pour plus d'informations, consultez le manuel Amazon OpenSearch Service Developer Guide.