Contrôles Elasticsearch - AWS Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles Elasticsearch

Ces contrôles sont liés aux ressources Elasticsearch.

Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour plus d’informations, consultez Disponibilité des contrôles par région.

[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch

Exigences connexes : PCI DSS v3.2.1/3.4, nIST.800-53.R5 CA-9 (1), nIST.800-53.R5 CM-3 (6), nIST.800-53.R5 SC-13, nIST.800-53.R5 SC-28, nIST.800-53.R5 SC-7 (10), NIST.800-53.R5 -7 (6)

Catégorie : Protéger - Protection des données - Chiffrement des données au repos

Gravité : Moyenne

Type de ressource : AWS::Elasticsearch::Domain

Règle AWS Config  : elasticsearch-encrypted-at-rest

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si la configuration du chiffrement au repos est activée dans les domaines Elasticsearch. La vérification échoue si le chiffrement au repos n'est pas activé.

Pour renforcer la sécurité de vos données sensibles OpenSearch, vous devez les configurer pour qu'elles soient chiffrées au repos. OpenSearch Les domaines Elasticsearch permettent de chiffrer les données au repos. Cette fonctionnalité permet AWS KMS de stocker et de gérer vos clés de chiffrement. Pour effectuer le chiffrement, elle utilise l'algorithme Advanced Encryption Standard avec des clés 256 bits (AES-256).

Pour en savoir plus sur le OpenSearch chiffrement au repos, consultez la section Chiffrement des données au repos pour Amazon OpenSearch Service dans le manuel Amazon OpenSearch Service Developer Guide.

Certains types d'instances, tels que t.small ett.medium, ne prennent pas en charge le chiffrement des données au repos. Pour plus de détails, consultez la section Types d'instances pris en charge dans le manuel Amazon OpenSearch Service Developer Guide.

Correction

Pour activer le chiffrement au repos pour les domaines Elasticsearch nouveaux et existants, consultez la section Activation du chiffrement des données au repos dans le manuel Amazon OpenSearch Service Developer Guide.

[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public

Exigences connexes : PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (21) 53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)

Catégorie : Protection > Configuration réseau sécurisée > Ressources au sein du VPC

Gravité : Critique

Type de ressource : AWS::Elasticsearch::Domain

Règle AWS Config  : elasticsearch-in-vpc-only

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si les domaines Elasticsearch se trouvent dans un VPC. Il n'évalue pas la configuration de routage du sous-réseau VPC pour déterminer l'accès public. Vous devez vous assurer que les domaines Elasticsearch ne sont pas attachés à des sous-réseaux publics. Consultez les politiques basées sur les ressources dans le manuel Amazon OpenSearch Service Developer Guide. Vous devez également garantir que votre VPC est configuré conformément aux bonnes pratiques recommandées. Consultez les meilleures pratiques de sécurité pour votre VPC dans le guide de l'utilisateur Amazon VPC.

Les domaines Elasticsearch déployés au sein d'un VPC peuvent communiquer avec les ressources du VPC via le AWS réseau privé, sans qu'il soit nécessaire de passer par l'Internet public. Cette configuration augmente le niveau de sécurité en limitant l'accès aux données en transit. Les VPC fournissent un certain nombre de contrôles réseau pour sécuriser l'accès aux domaines Elasticsearch, notamment les ACL réseau et les groupes de sécurité. Security Hub vous recommande de migrer les domaines Elasticsearch publics vers des VPC afin de tirer parti de ces contrôles.

Correction

Si vous créez un domaine avec un point de terminaison public, vous ne pouvez pas ultérieurement le placer au sein d'un VPC. Au lieu de cela, vous devez créer un nouveau domaine et migrer vos données. L’inverse est également vrai. Si vous créez un domaine dans un VPC, il ne peut pas avoir de point de terminaison public. Au lieu de cela, vous devez créer un autre domaine ou désactiver ce contrôle.

Consultez la section Lancement de vos domaines Amazon OpenSearch Service au sein d'un VPC dans le manuel Amazon OpenSearch Service Developer Guide.

[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds

Exigences connexes : NIST.800-53.R5 AC-4, NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-23, NIST.800-53.R5 SC-23 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-8 (1), NIST.800-53.R5 SC-8 (2)

Catégorie : Protéger - Protection des données - Chiffrement des données en transit

Gravité : Moyenne

Type de ressource : AWS::Elasticsearch::Domain

Règle AWS Config  : elasticsearch-node-to-node-encryption-check

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si le node-to-node chiffrement est activé dans les domaines Elasticsearch.

Le protocole HTTPS (TLS) peut être utilisé pour empêcher les attaquants potentiels d'espionner ou de manipuler le trafic réseau en utilisant des attaques similaires. person-in-the-middle Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées. L'activation du node-to-node chiffrement pour les domaines Elasticsearch garantit que les communications intra-cluster sont chiffrées en transit.

Cette configuration peut entraîner une baisse des performances. Vous devez connaître le compromis entre les performances et le tester avant d'activer cette option.

Correction

Pour plus d'informations sur l'activation du node-to-node chiffrement sur les domaines nouveaux et existants, consultez la section Activation du node-to-node chiffrement dans le manuel Amazon OpenSearch Service Developer Guide.

[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée

Exigences connexes : NIST.800-53.R5 AC-2 (4), NIST.800-53.R5 AC-4 (26), NIST.800-53.R5 AC-6 (9), NIST.800-53.R5 AU-10, NIST.800-53.R5 AU-12, NIST.800-53.R5 AU-3, NIST.800-53.R5 AU-6 (3), NIST.800-53.R5 AU-6 (4), NIST.800-53.R5 CA-7, NIST.800-53.R5 SC-7 (9), NIST.800-53.R5 SI-3 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)

Catégorie : Identifier - Journalisation

Gravité : Moyenne

Type de ressource : AWS::Elasticsearch::Domain

Règle AWS Config  : elasticsearch-logs-to-cloudwatch

Type de calendrier : changement déclenché

Paramètres :

  • logtype = 'error'(non personnalisable)

Ce contrôle vérifie si les domaines Elasticsearch sont configurés pour envoyer des journaux d'erreurs à CloudWatch Logs.

Vous devez activer les journaux d'erreurs pour les domaines Elasticsearch et les envoyer à CloudWatch Logs pour qu'ils soient conservés et répondus. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.

Correction

Pour plus d'informations sur la façon d'activer la publication de journaux, consultez la section Activation de la publication de journaux (console) dans le manuel Amazon OpenSearch Service Developer Guide.

[ES.5] La journalisation des audits doit être activée dans les domaines Elasticsearch

Exigences connexes : NIST.800-53.R5 AC-2 (4), NIST.800-53.R5 AC-4 (26), NIST.800-53.R5 AC-6 (9), NIST.800-53.R5 AU-10, NIST.800-53.R5 AU-12, NIST.800-53.R5 AU-3, NIST.800-53.R5 AU-6 (3), NIST.800-53.R5 AU-6 (4), NIST.800-53.R5 CA-7, NIST.800-53.R5 SC-7 (9), NIST.800-53.R5 SI-3 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)

Catégorie : Identifier - Journalisation

Gravité : Moyenne

Type de ressource : AWS::Elasticsearch::Domain

AWS Config règle : elasticsearch-audit-logging-enabled (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres :

  • cloudWatchLogsLogGroupArnList(non personnalisable). Security Hub ne renseigne pas ce paramètre. Liste séparée par des CloudWatch virgules des groupes de journaux qui doivent être configurés pour les journaux d'audit.

    Cette règle s'applique NON_COMPLIANT si le groupe de CloudWatch journaux du domaine Elasticsearch n'est pas spécifié dans cette liste de paramètres.

Ce contrôle vérifie si la journalisation des audits est activée dans les domaines Elasticsearch. Ce contrôle échoue si la journalisation des audits n'est pas activée dans un domaine Elasticsearch.

Les journaux d'audit sont hautement personnalisables. Ils vous permettent de suivre l'activité des utilisateurs sur vos clusters Elasticsearch, notamment les réussites et les échecs d'authentification, les demandes, les modifications d' OpenSearchindex et les requêtes de recherche entrantes.

Correction

Pour obtenir des instructions détaillées sur l'activation des journaux d'audit, consultez la section Activation des journaux d'audit dans le manuel Amazon OpenSearch Service Developer Guide.

[ES.6] Les domaines Elasticsearch doivent comporter au moins trois nœuds de données

Exigences connexes : NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 SC-36, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

Catégorie : Restauration > Résilience > Haute disponibilité

Gravité : Moyenne

Type de ressource : AWS::Elasticsearch::Domain

AWS Config règle : elasticsearch-data-node-fault-tolerance (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si les domaines Elasticsearch sont configurés avec au moins trois nœuds de données et zoneAwarenessEnabled s'ils le sont. true

Un domaine Elasticsearch nécessite au moins trois nœuds de données pour garantir une haute disponibilité et une tolérance aux pannes. Le déploiement d'un domaine Elasticsearch avec au moins trois nœuds de données garantit les opérations du cluster en cas de défaillance d'un nœud.

Correction

Pour modifier le nombre de nœuds de données dans un domaine Elasticsearch
  1. Ouvrez la console Amazon OpenSearch Service à l'adresse https://console.aws.amazon.com/aos/.

  2. Sous Domaines, choisissez le nom du domaine que vous souhaitez modifier.

  3. Choisissez Edit domain (Modifier le domaine).

  4. Sous Nœuds de données, définissez Nombre de nœuds sur un nombre supérieur ou égal à3.

    Pour trois déploiements de zones de disponibilité, définissez un multiple de trois pour garantir une distribution égale entre les zones de disponibilité.

  5. Sélectionnez Envoyer.

[ES.7] Les domaines Elasticsearch doivent être configurés avec au moins trois nœuds maîtres dédiés

Exigences connexes : NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 SC-36, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

Catégorie : Restauration > Résilience > Haute disponibilité

Gravité : Moyenne

Type de ressource : AWS::Elasticsearch::Domain

AWS Config règle : elasticsearch-primary-node-fault-tolerance (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si les domaines Elasticsearch sont configurés avec au moins trois nœuds principaux dédiés. Ce contrôle échoue si le domaine n'utilise pas de nœuds principaux dédiés. Ce contrôle est effectué si les domaines Elasticsearch disposent de cinq nœuds principaux dédiés. Cependant, l'utilisation de plus de trois nœuds principaux peut s'avérer inutile pour atténuer le risque de disponibilité et entraînera des coûts supplémentaires.

Un domaine Elasticsearch nécessite au moins trois nœuds principaux dédiés pour garantir une haute disponibilité et une tolérance aux pannes. Les ressources du nœud principal dédié peuvent être sollicitées lors des déploiements bleu/vert de nœuds de données, car il existe des nœuds supplémentaires à gérer. Le déploiement d'un domaine Elasticsearch avec au moins trois nœuds principaux dédiés garantit une capacité de ressources suffisante du nœud principal et des opérations de cluster en cas de défaillance d'un nœud.

Correction

Pour modifier le nombre de nœuds principaux dédiés dans un OpenSearch domaine
  1. Ouvrez la console Amazon OpenSearch Service à l'adresse https://console.aws.amazon.com/aos/.

  2. Sous Domaines, choisissez le nom du domaine que vous souhaitez modifier.

  3. Choisissez Edit domain (Modifier le domaine).

  4. Sous Nœuds maîtres dédiés, définissez le type d'instance sur le type d'instance souhaité.

  5. Définissez le nombre de nœuds maîtres égal ou supérieur à trois.

  6. Sélectionnez Envoyer.

[ES.8] Les connexions aux domaines Elasticsearch doivent être chiffrées conformément à la dernière politique de sécurité TLS

Exigences connexes : NIST.800-53.R5 AC-17 (2), NIST.800-53.R5 AC-4, NIST.800-53.R5 IA-5 (1), NIST.800-53.R5 SC-12 (3), NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-23 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-8, NIST.800-53.R5 SC-8 (1), NIST.800-53.R5 SC-8 (2), NIST.800-53.R5 SI-7 (6)

Catégorie : Protéger - Protection des données - Chiffrement des données en transit

Gravité : Moyenne

Type de ressource : AWS::Elasticsearch::Domain

AWS Config règle : elasticsearch-https-required (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres : Aucun

Cela permet de vérifier si les connexions à un domaine Elasticsearch utilisent la dernière politique de sécurité TLS. Le contrôle échoue si le domaine Elasticsearch n'utilise pas la dernière politique prise en charge ou si le protocole HTTPS n'est pas activé. La dernière politique de sécurité TLS prise en charge est actuellement Policy-Min-TLS-1-2-PFS-2023-10 disponible.

Le protocole HTTPS (TLS) peut être utilisé pour empêcher les attaquants potentiels d'utiliser person-in-the-middle des attaques similaires pour espionner ou manipuler le trafic réseau. Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées. Le chiffrement des données en transit peut affecter les performances. Vous devez tester votre application avec cette fonctionnalité pour comprendre le profil de performance et l'impact du protocole TLS. TLS 1.2 apporte plusieurs améliorations de sécurité par rapport aux versions précédentes de TLS.

Correction

Pour activer le chiffrement TLS, utilisez l'opération UpdateDomainConfigAPI pour configurer l'DomainEndpointOptionsobjet. Cela définit leTLSSecurityPolicy.