Contrôles Security Hub pour le OpenSearch service - AWS Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles Security Hub pour le OpenSearch service

Ces AWS Security Hub les contrôles évaluent le OpenSearch service et les ressources Amazon OpenSearch Service (Service).

Il se peut que ces commandes ne soient pas disponibles dans tous les cas Régions AWS. Pour plus d'informations, consultezDisponibilité des contrôles par région.

Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]

Exigences connexes : PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, (1), 3, 8, 8 (1), .800-53.r5 SI-7 (6) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST

Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest

Gravité : Moyenne

Type de ressource : AWS::OpenSearch::Domain

AWS Config règle : opensearch-encrypted-at-rest

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si la encryption-at-rest configuration des OpenSearch domaines est activée. La vérification échoue si le chiffrement au repos n'est pas activé.

Pour renforcer la sécurité des données sensibles, vous devez configurer votre domaine de OpenSearch service pour qu'il soit chiffré au repos. Lorsque vous configurez le chiffrement des données au repos, AWS KMS stocke et gère vos clés de chiffrement. Pour effectuer le chiffrement, AWS KMS utilise l'algorithme Advanced Encryption Standard avec des clés de 256 bits (AES-256).

Pour en savoir plus sur le chiffrement des OpenSearch services au repos, consultez la section Chiffrement des données au repos pour Amazon OpenSearch Service dans le manuel Amazon OpenSearch Service Developer Guide.

Correction

Pour activer le chiffrement au repos pour les OpenSearch domaines nouveaux et existants, consultez la section Activation du chiffrement des données au repos dans le manuel Amazon OpenSearch Service Developer Guide.

Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public

Exigences connexes : PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21),,,, (11), (16) NIST.800-53.r5 AC-3, (20), (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Catégorie : Protection > Configuration réseau sécurisée > Ressources contenues dans VPC

Gravité : Critique

Type de ressource : AWS::OpenSearch::Domain

AWS Config règle : opensearch-in-vpc-only

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si OpenSearch les domaines se trouvent dans unVPC. Il n'évalue pas la configuration de routage du VPC sous-réseau pour déterminer l'accès public.

Vous devez vous assurer que OpenSearch les domaines ne sont pas attachés à des sous-réseaux publics. Consultez les politiques basées sur les ressources dans le manuel Amazon OpenSearch Service Developer Guide. Vous devez également vous assurer que votre configuration VPC est conforme aux meilleures pratiques recommandées. Consultez les meilleures pratiques de sécurité pour vous VPC dans le guide de VPC l'utilisateur Amazon.

OpenSearch les domaines déployés au sein d'un VPC peuvent communiquer avec VPC les ressources via le réseau privé AWS réseau, sans qu'il soit nécessaire de traverser l'Internet public. Cette configuration augmente le niveau de sécurité en limitant l'accès aux données en transit. VPCsfournissent un certain nombre de contrôles réseau pour sécuriser l'accès aux OpenSearch domaines, notamment aux réseaux ACL et aux groupes de sécurité. Security Hub vous recommande de migrer OpenSearch les domaines publics VPCs pour tirer parti de ces contrôles.

Correction

Si vous créez un domaine avec un point de terminaison public, vous ne pouvez pas le placer ultérieurement dans unVPC. Au lieu de cela, vous devez créer un nouveau domaine et migrer vos données. L’inverse est également vrai. Si vous créez un domaine au sein d'unVPC, il ne peut pas avoir de point de terminaison public. Au lieu de cela, vous devez créer un autre domaine ou désactiver ce contrôle.

Pour obtenir des instructions, consultez la section Lancer vos domaines Amazon OpenSearch Service au sein d'un VPC dans le manuel Amazon OpenSearch Service Developer Guide.

[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds

Exigences connexes : NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2)

Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit

Gravité : Moyenne

Type de ressource : AWS::OpenSearch::Domain

AWS Config règle : opensearch-node-to-node-encryption-check

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si le node-to-node chiffrement est activé dans les OpenSearch domaines. Ce contrôle échoue si node-to-node le chiffrement est désactivé sur le domaine.

HTTPS(TLS) peut être utilisé pour empêcher les attaquants potentiels d'espionner ou de manipuler le trafic réseau en utilisant person-in-the-middle des attaques similaires. Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées. L'activation du node-to-node chiffrement pour OpenSearch les domaines garantit que les communications intra-cluster sont chiffrées en transit.

Cette configuration peut entraîner une baisse des performances. Vous devez connaître le compromis entre les performances et le tester avant d'activer cette option.

Correction

Pour activer le node-to-node chiffrement sur un OpenSearch domaine, consultez la section Activation du node-to-node chiffrement dans le manuel Amazon OpenSearch Service Developer Guide.

[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée

Exigences connexes : NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST

Catégorie : Identifier - Journalisation

Gravité : Moyenne

Type de ressource : AWS::OpenSearch::Domain

AWS Config règle : opensearch-logs-to-cloudwatch

Type de calendrier : changement déclenché

Paramètres :

  • logtype = 'error'(non personnalisable)

Ce contrôle vérifie si OpenSearch les domaines sont configurés pour envoyer des journaux d'erreurs à CloudWatch Logs. Ce contrôle échoue si la journalisation des erreurs n' CloudWatch est pas activée pour un domaine.

Vous devez activer les journaux d'erreurs pour OpenSearch les domaines et les envoyer à CloudWatch Logs pour les conserver et y répondre. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.

Correction

Pour activer la publication des journaux, consultez la section Activation de la publication des journaux (console) dans le manuel Amazon OpenSearch Service Developer Guide.

La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]

Exigences connexes : NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST

Catégorie : Identifier - Journalisation

Gravité : Moyenne

Type de ressource : AWS::OpenSearch::Domain

AWS Config règle : opensearch-audit-logging-enabled

Type de calendrier : changement déclenché

Paramètres :

  • cloudWatchLogsLogGroupArnList(non personnalisable) : Security Hub ne renseigne pas ce paramètre. Liste séparée par des CloudWatch virgules des groupes de journaux qui doivent être configurés pour les journaux d'audit.

Cette règle s'NON_COMPLIANTapplique si le groupe de CloudWatch journaux du OpenSearch domaine n'est pas spécifié dans cette liste de paramètres.

Ce contrôle vérifie si la journalisation des audits est activée dans les OpenSearch domaines. Ce contrôle échoue si la journalisation des audits n'est pas activée pour un OpenSearch domaine.

Les journaux d'audit sont hautement personnalisables. Ils vous permettent de suivre l'activité des utilisateurs sur vos OpenSearch clusters, notamment les réussites et les échecs d'authentification, les demandesOpenSearch, les modifications d'index et les requêtes de recherche entrantes.

Correction

Pour obtenir des instructions sur l'activation des journaux d'audit, consultez la section Activation des journaux d'audit dans le manuel Amazon OpenSearch Service Developer Guide.

Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données

Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Catégorie : Restauration > Résilience > Haute disponibilité

Gravité : Moyenne

Type de ressource : AWS::OpenSearch::Domain

AWS Config règle : opensearch-data-node-fault-tolerance

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si OpenSearch les domaines sont configurés avec au moins trois nœuds de données et zoneAwarenessEnabled s'ils le sonttrue. Ce contrôle échoue pour un OpenSearch domaine s'il instanceCount est inférieur à 3 ou s'il zoneAwarenessEnabled est inférieur à 3false.

Un OpenSearch domaine nécessite au moins trois nœuds de données pour garantir une haute disponibilité et une tolérance aux pannes. Le déploiement d'un OpenSearch domaine comportant au moins trois nœuds de données garantit les opérations du cluster en cas de défaillance d'un nœud.

Correction

Pour modifier le nombre de nœuds de données dans un OpenSearch domaine
  1. Connectez-vous au AWS et ouvrez la console Amazon OpenSearch Service à l'adresse https://console.aws.amazon.com/aos/.

  2. Sous Mes domaines, choisissez le nom du domaine à modifier, puis sélectionnez Modifier.

  3. Sous Nœuds de données, définissez Nombre de nœuds sur un nombre supérieur à3. Si vous effectuez un déploiement dans trois zones de disponibilité, définissez le nombre sur un multiple de trois pour garantir une répartition égale entre les zones de disponibilité.

  4. Sélectionnez Envoyer.

Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé

Exigences associées : NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6

Catégorie : Protéger > Gestion des accès sécurisés > API Actions sensibles restreintes

Gravité : Élevée

Type de ressource : AWS::OpenSearch::Domain

AWS Config règle : opensearch-access-control-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si le contrôle d'accès détaillé est activé dans les OpenSearch domaines. Le contrôle échoue si le contrôle d'accès détaillé n'est pas activé. Le contrôle d'accès précis nécessite que advanced-security-options le OpenSearch paramètre soit update-domain-config activé.

Le contrôle d'accès précis offre des moyens supplémentaires de contrôler l'accès à vos données sur Amazon OpenSearch Service.

Correction

Pour activer le contrôle d'accès détaillé, consultez la section Contrôle d'accès détaillé dans Amazon Service OpenSearch dans le manuel Amazon Service Developer Guide. OpenSearch

[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées conformément à la dernière politique de sécurité TLS

Exigences connexes : NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), NIST .800-53.r5 SI-7 (6)

Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit

Gravité : Moyenne

Type de ressource : AWS::OpenSearch::Domain

AWS Config règle : opensearch-https-required

Type de calendrier : changement déclenché

Paramètres :

  • tlsPolicies: Policy-Min-TLS-1-2-PFS-2023-10(non personnalisable)

Cela permet de vérifier si un point de terminaison de domaine Amazon OpenSearch Service est configuré pour utiliser la dernière politique TLS de sécurité. Le contrôle échoue si le point de terminaison du OpenSearch domaine n'est pas configuré pour utiliser la dernière politique prise en charge ou s'il HTTPs n'est pas activé.

HTTPS(TLS) peut être utilisé pour empêcher les attaquants potentiels d'utiliser des attaques person-in-the-middle ou des attaques similaires pour espionner ou manipuler le trafic réseau. Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées. Le chiffrement des données en transit peut affecter les performances. Vous devez tester votre application avec cette fonctionnalité pour comprendre le profil de performance et l'impact deTLS. TLS1.2 apporte plusieurs améliorations de sécurité par rapport aux versions précédentes deTLS.

Correction

Pour activer TLS le chiffrement, utilisez l'UpdateDomainConfigAPIopération. Configurez le DomainEndpointOptionschamp pour spécifier la valeur pourTLSSecurityPolicy. Pour plus d'informations, consultez la section ode-to-node Chiffrement N dans le manuel Amazon OpenSearch Service Developer Guide.

Les OpenSearch domaines [Opensearch.9] doivent être balisés

Catégorie : Identifier > Inventaire > Étiquetage

Gravité : Faible

Type de ressource : AWS::OpenSearch::Domain

AWS Config règle : tagged-opensearch-domain (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub
requiredTagKeys Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. StringList Liste des tags qui répondent AWS exigences No default value

Ce contrôle vérifie si un domaine Amazon OpenSearch Service possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le domaine ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le domaine n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.

Un tag est un label que vous attribuez à un AWS ressource, et elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ABAC sert AWS? dans le guide de IAM l'utilisateur.

Note

N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, y compris AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de votre AWS ressources dans le Références générales AWS.

Correction

Pour ajouter des balises à un domaine OpenSearch de service, consultez la section Utilisation des balises dans le manuel Amazon OpenSearch Service Developer Guide.

Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée

Exigences connexes : NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), NIST .800-53.r5 SI-2 (5) NIST

Catégorie : Identifier > Gestion des vulnérabilités, des correctifs et des versions

Gravité : Faible

Type de ressource : AWS::OpenSearch::Domain

AWS Config règle : opensearch-update-check

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si la dernière mise à jour logicielle est installée sur un domaine Amazon OpenSearch Service. Le contrôle échoue si une mise à jour logicielle est disponible mais n'est pas installée pour le domaine.

OpenSearch Les mises à jour du logiciel de service fournissent les derniers correctifs, mises à jour et fonctionnalités de plate-forme disponibles pour l'environnement. Le maintien up-to-date de l'installation des correctifs permet de garantir la sécurité et la disponibilité du domaine. Si aucune action n'est entreprise sur les mises à jour requises, le logiciel de service est mis à jour automatiquement (généralement au bout de 2 semaines). Nous vous recommandons de planifier les mises à jour en période de faible trafic vers le domaine afin de minimiser les interruptions de service.

Correction

Pour installer des mises à jour logicielles pour un OpenSearch domaine, consultez Démarrer une mise à jour dans le manuel Amazon OpenSearch Service Developer Guide.

[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés

Exigences connexes : NIST.800-53.r5 SC-3 6 NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2, NIST.800-53.r5 SC-5, NIST .800-53.r5 SI-13

Catégorie : Restauration > Résilience > Haute disponibilité

Gravité : Moyenne

Type de ressource : AWS::OpenSearch::Domain

AWS Config règle : opensearch-primary-node-fault-tolerance

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si un domaine Amazon OpenSearch Service est configuré avec au moins trois nœuds principaux dédiés. Le contrôle échoue si le domaine possède moins de trois nœuds principaux dédiés.

OpenSearch Le service utilise des nœuds principaux dédiés pour améliorer la stabilité du cluster. Un nœud principal dédié exécute les tâches de gestion du cluster, mais ne contient pas de données et ne répond pas aux demandes de téléchargement de données. Nous vous recommandons d'utiliser le mode Multi-AZ en mode veille, qui ajoute trois nœuds principaux dédiés à chaque OpenSearch domaine de production.

Correction

Pour modifier le nombre de nœuds principaux d'un OpenSearch domaine, consultez la section Création et gestion de domaines Amazon OpenSearch Service dans le manuel Amazon OpenSearch Service Developer Guide.