Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Amazon OpenSearch Service
Ces contrôles sont liés aux ressources OpenSearch du service.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour plus d’informations, consultez Disponibilité des contrôles par région.
Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]
Exigences connexes : PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, .800-53.r5 CA-9 (1), NIST .800-53.r5 CM-3 (6), .800-53.r5 SC-13, .800-53.r5 SC-28 (1), .800-53.r5 SI-7 (6) NIST NIST NIST NIST NIST
Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest
Gravité : Moyenne
Type de ressource : AWS::OpenSearch::Domain
Règle AWS Config : opensearch-encrypted-at-rest
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la encryption-at-rest configuration des OpenSearch domaines est activée. La vérification échoue si le chiffrement au repos n'est pas activé.
Pour renforcer la sécurité des données sensibles, vous devez configurer votre domaine de OpenSearch service pour qu'il soit chiffré au repos. Lorsque vous configurez le chiffrement des données au repos, vous AWS KMS stockez et gérez vos clés de chiffrement. Pour effectuer le chiffrement, AWS KMS utilise l'algorithme Advanced Encryption Standard avec des clés de 256 bits (AES-256).
Pour en savoir plus sur le chiffrement des OpenSearch services au repos, consultez la section Chiffrement des données au repos pour Amazon OpenSearch Service dans le manuel Amazon OpenSearch Service Developer Guide.
Correction
Pour activer le chiffrement au repos pour les OpenSearch domaines nouveaux et existants, consultez la section Activation du chiffrement des données au repos dans le manuel Amazon OpenSearch Service Developer Guide.
Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public
Exigences connexes : PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, .800-53.r5 AC-21, .800-53.r5 AC-3, .800-53.r5 AC-3 (7), .800-53.r5 AC-4 (21), .800-53.r5 AC-4 (21), NIST .800-53.r5 AC-6, .800-53.r5 r5 SC-7, .800-53,r5 SC-7 (11), NIST .800-53,r5 SC-7 (16), NIST .800-53,r5 SC-7 (20), .800-53,r5 SC-7 (21) NIST NIST NIST NIST NIST NIST NIST NIST , NIST .800-53r5 SC-7 (3), .800-53r5 SC-7 (4), NIST .800-53r5 SC-7 (9) NIST
Catégorie : Protection > Configuration réseau sécurisée > Ressources contenues dans VPC
Gravité : Critique
Type de ressource : AWS::OpenSearch::Domain
Règle AWS Config : opensearch-in-vpc-only
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si OpenSearch les domaines se trouvent dans unVPC. Il n'évalue pas la configuration de routage du VPC sous-réseau pour déterminer l'accès public.
Vous devez vous assurer que OpenSearch les domaines ne sont pas attachés à des sous-réseaux publics. Consultez les politiques basées sur les ressources dans le manuel Amazon OpenSearch Service Developer Guide. Vous devez également vous assurer que votre configuration VPC est conforme aux meilleures pratiques recommandées. Consultez les meilleures pratiques de sécurité pour vous VPC dans le guide de VPC l'utilisateur Amazon.
OpenSearch les domaines déployés au sein d'un réseau VPC peuvent communiquer avec VPC des ressources via le AWS réseau privé, sans qu'il soit nécessaire de passer par l'Internet public. Cette configuration augmente le niveau de sécurité en limitant l'accès aux données en transit. VPCsfournissent un certain nombre de contrôles réseau pour sécuriser l'accès aux OpenSearch domaines, notamment aux réseaux ACL et aux groupes de sécurité. Security Hub vous recommande de migrer OpenSearch les domaines publics VPCs pour tirer parti de ces contrôles.
Correction
Si vous créez un domaine avec un point de terminaison public, vous ne pouvez pas le placer ultérieurement dans unVPC. Au lieu de cela, vous devez créer un nouveau domaine et migrer vos données. L’inverse est également vrai. Si vous créez un domaine dans unVPC, il ne peut pas avoir de point de terminaison public. Au lieu de cela, vous devez créer un autre domaine ou désactiver ce contrôle.
Pour obtenir des instructions, consultez la section Lancer vos domaines Amazon OpenSearch Service au sein d'un VPC dans le manuel Amazon OpenSearch Service Developer Guide.
[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds
Exigences connexes : NIST .800-53.r5 AC-4, .800-53.r5 SC-13, .800-53.r5 SC-23, NIST .800-53.r5 SC-23 (3), NIST .800-53.r5 SC-7 (4), .800-53.r5 SC-8, NIST .800-53.r5 SC-8 (1), NIST .800-53.r5 SC-8 (2) NIST NIST NIST
Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit
Gravité : Moyenne
Type de ressource : AWS::OpenSearch::Domain
Règle AWS Config : opensearch-node-to-node-encryption-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si le node-to-node chiffrement est activé dans les OpenSearch domaines. Ce contrôle échoue si node-to-node le chiffrement est désactivé sur le domaine.
HTTPS(TLS) peut être utilisé pour empêcher les attaquants potentiels d'espionner ou de manipuler le trafic réseau en utilisant person-in-the-middle des attaques similaires. Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées. L'activation du node-to-node chiffrement pour OpenSearch les domaines garantit que les communications intra-cluster sont chiffrées en transit.
Cette configuration peut entraîner une baisse des performances. Vous devez connaître le compromis entre les performances et le tester avant d'activer cette option.
Correction
Pour activer le node-to-node chiffrement sur un OpenSearch domaine, consultez la section Activation du node-to-node chiffrement dans le manuel Amazon OpenSearch Service Developer Guide.
[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée
Exigences associées : NIST .800-53.r5 AC-2 (4), .800-53.r5 AC-4 (26), .800-53.r5 AC-6 (9), NIST .800-53.r5 AU-10, .800-53.r5 AU-12, NIST .800-53.r5 AU-2, .800-53.r5 AU-3, .800-53.r5 AU-6 (3), NIST .800-53.r5 AU-6 (4), .800-53.r5 AU-6 (4), NIST .800-53.r5 CA-7, NIST .800-53,r5 SC-7 (9), .800-53,r5 SI-3 (8), NIST .800-53,r5 SI-4 (20), NIST .800-53,r5 SI-7 (8) NIST NIST NIST NIST NIST NIST
Catégorie : Identifier - Journalisation
Gravité : Moyenne
Type de ressource : AWS::OpenSearch::Domain
Règle AWS Config : opensearch-logs-to-cloudwatch
Type de calendrier : changement déclenché
Paramètres :
logtype = 'error'(non personnalisable)
Ce contrôle vérifie si OpenSearch les domaines sont configurés pour envoyer des journaux d'erreurs à CloudWatch Logs. Ce contrôle échoue si la journalisation des erreurs n' CloudWatch est pas activée pour un domaine.
Vous devez activer les journaux d'erreurs pour les OpenSearch domaines et les envoyer à CloudWatch Logs pour qu'ils soient conservés et répondus. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
Correction
Pour activer la publication des journaux, consultez la section Activation de la publication des journaux (console) dans le manuel Amazon OpenSearch Service Developer Guide.
La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]
Exigences associées : NIST .800-53.r5 AC-2 (4), .800-53.r5 AC-4 (26), .800-53.r5 AC-6 (9), NIST .800-53.r5 AU-10, .800-53.r5 AU-12, NIST .800-53.r5 AU-2, .800-53.r5 AU-3, .800-53.r5 AU-6 (3), NIST .800-53.r5 AU-6 (4), .800-53.r5 AU-6 (4), NIST .800-53.r5 CA-7, NIST .800-53,r5 SC-7 (9), .800-53,r5 SI-3 (8), NIST .800-53,r5 SI-4 (20), NIST .800-53,r5 SI-7 (8) NIST NIST NIST NIST NIST NIST
Catégorie : Identifier - Journalisation
Gravité : Moyenne
Type de ressource : AWS::OpenSearch::Domain
Règle AWS Config : opensearch-audit-logging-enabled
Type de calendrier : changement déclenché
Paramètres :
cloudWatchLogsLogGroupArnList(non personnalisable) : Security Hub ne renseigne pas ce paramètre. Liste séparée par des CloudWatch virgules des groupes de journaux qui doivent être configurés pour les journaux d'audit.
Cette règle s'NON_COMPLIANTapplique si le groupe de CloudWatch journaux du OpenSearch domaine n'est pas spécifié dans cette liste de paramètres.
Ce contrôle vérifie si la journalisation des audits est activée dans les OpenSearch domaines. Ce contrôle échoue si la journalisation des audits n'est pas activée pour un OpenSearch domaine.
Les journaux d'audit sont hautement personnalisables. Ils vous permettent de suivre l'activité des utilisateurs sur vos OpenSearch clusters, notamment les réussites et les échecs d'authentification, les demandesOpenSearch, les modifications d'index et les requêtes de recherche entrantes.
Correction
Pour obtenir des instructions sur l'activation des journaux d'audit, consultez la section Activation des journaux d'audit dans le manuel Amazon OpenSearch Service Developer Guide.
Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données
Exigences connexes : NIST .800-53.r5 CP-10, .800-53.r5 CP-6 (2), NIST .800-53.r5 SC-36, .800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5) NIST NIST
Catégorie : Restauration > Résilience > Haute disponibilité
Gravité : Moyenne
Type de ressource : AWS::OpenSearch::Domain
Règle AWS Config : opensearch-data-node-fault-tolerance
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si OpenSearch les domaines sont configurés avec au moins trois nœuds de données et zoneAwarenessEnabled s'ils le sonttrue. Ce contrôle échoue pour un OpenSearch domaine s'il instanceCount est inférieur à 3 ou s'il zoneAwarenessEnabled est inférieur à 3false.
Un OpenSearch domaine nécessite au moins trois nœuds de données pour garantir une haute disponibilité et une tolérance aux pannes. Le déploiement d'un OpenSearch domaine comportant au moins trois nœuds de données garantit les opérations du cluster en cas de défaillance d'un nœud.
Correction
Pour modifier le nombre de nœuds de données dans un OpenSearch domaine
Connectez-vous à la AWS console et ouvrez la console Amazon OpenSearch Service à l'adresse https://console.aws.amazon.com/aos/
. Sous Mes domaines, choisissez le nom du domaine à modifier, puis sélectionnez Modifier.
Sous Nœuds de données, définissez Nombre de nœuds sur un nombre supérieur à
3. Si vous effectuez un déploiement dans trois zones de disponibilité, définissez le nombre sur un multiple de trois pour garantir une répartition égale entre les zones de disponibilité.Sélectionnez Envoyer.
Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé
Exigences associées : NIST .800-53.r5 AC-2 (1), .800-53.r5 AC-3, .800-53.r5 AC-3 (15), NIST .800-53.r5 AC-3 (7), NIST .800-53.r5 AC-5, .800-53.r5 AC-6 NIST NIST NIST
Catégorie : Protéger > Gestion des accès sécurisés > API Actions sensibles restreintes
Gravité : Élevée
Type de ressource : AWS::OpenSearch::Domain
Règle AWS Config : opensearch-access-control-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si le contrôle d'accès détaillé est activé dans les OpenSearch domaines. Le contrôle échoue si le contrôle d'accès détaillé n'est pas activé. Le contrôle d'accès précis nécessite que advanced-security-options le OpenSearch paramètre soit update-domain-config activé.
Le contrôle d'accès précis offre des moyens supplémentaires de contrôler l'accès à vos données sur Amazon OpenSearch Service.
Correction
Pour activer le contrôle d'accès détaillé, consultez la section Contrôle d'accès détaillé dans Amazon Service OpenSearch dans le manuel Amazon Service Developer Guide. OpenSearch
[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS
Exigences connexes : NIST .800-53.r5 AC-17 (2), .800-53.r5 AC-4, .800-53.r5 IA-5 (1), NIST .800-53.r5 SC-12 (3), NIST .800-53.r5 SC-13, .800-53.r5 SC-23, .800-53.r5 SC-23 (3), NIST .800-53.r5 SC-7 (4), NIST .800-53.r5 SC-8, .800-53.r5 5 SC-8 (1), NIST .800-53,r5 SC-8 (2), .800-53,r5 SI-7 (6) NIST NIST NIST NIST NIST NIST
Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit
Gravité : Moyenne
Type de ressource : AWS::OpenSearch::Domain
Règle AWS Config : opensearch-https-required
Type de calendrier : changement déclenché
Paramètres :
tlsPolicies: Policy-Min-TLS-1-2-PFS-2023-10(non personnalisable)
Cela permet de vérifier si un point de terminaison de domaine Amazon OpenSearch Service est configuré pour utiliser la dernière politique TLS de sécurité. Le contrôle échoue si le point de terminaison du OpenSearch domaine n'est pas configuré pour utiliser la dernière politique prise en charge ou s'il HTTPs n'est pas activé.
HTTPS(TLS) peut être utilisé pour empêcher les attaquants potentiels d'utiliser des attaques person-in-the-middle ou des attaques similaires pour espionner ou manipuler le trafic réseau. Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées. Le chiffrement des données en transit peut affecter les performances. Vous devez tester votre application avec cette fonctionnalité pour comprendre le profil de performance et l'impact deTLS. TLS1.2 apporte plusieurs améliorations de sécurité par rapport aux versions précédentes deTLS.
Correction
Pour activer TLS le chiffrement, utilisez l'UpdateDomainConfigAPIopération. Configurez le DomainEndpointOptionschamp pour spécifier la valeur pourTLSSecurityPolicy. Pour plus d'informations, consultez la section ode-to-node Chiffrement N dans le manuel Amazon OpenSearch Service Developer Guide.
Les OpenSearch domaines [Opensearch.9] doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::OpenSearch::Domain
AWS Config règle : tagged-opensearch-domain (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences |
No default value
|
Ce contrôle vérifie si un domaine Amazon OpenSearch Service possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le domaine ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le domaine n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes AWS services, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un domaine OpenSearch de service, consultez la section Utilisation des balises dans le manuel Amazon OpenSearch Service Developer Guide.
Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée
Exigences connexes : NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), NIST .800-53.r5 SI-2 (5) NIST
Catégorie : Identifier > Gestion des vulnérabilités, des correctifs et des versions
Gravité : Faible
Type de ressource : AWS::OpenSearch::Domain
Règle AWS Config : opensearch-update-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la dernière mise à jour logicielle est installée sur un domaine Amazon OpenSearch Service. Le contrôle échoue si une mise à jour logicielle est disponible mais n'est pas installée pour le domaine.
OpenSearch Les mises à jour du logiciel de service fournissent les derniers correctifs, mises à jour et fonctionnalités de plate-forme disponibles pour l'environnement. Le maintien up-to-date de l'installation des correctifs permet de garantir la sécurité et la disponibilité du domaine. Si aucune action n'est entreprise sur les mises à jour requises, le logiciel de service est mis à jour automatiquement (généralement au bout de 2 semaines). Nous vous recommandons de planifier les mises à jour en période de faible trafic vers le domaine afin de minimiser les interruptions de service.
Correction
Pour installer des mises à jour logicielles pour un OpenSearch domaine, consultez Démarrer une mise à jour dans le manuel Amazon OpenSearch Service Developer Guide.
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
Exigences connexes : NIST .800-53.r5 CP-10, .800-53.r5 CP-2, .800-53.r5 SC-5, NIST .800-53.r5 SC-36, .800-53.r5 SI-13 NIST NIST NIST
Catégorie : Restauration > Résilience > Haute disponibilité
Gravité : Moyenne
Type de ressource : AWS::OpenSearch::Domain
Règle AWS Config : opensearch-primary-node-fault-tolerance
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un domaine Amazon OpenSearch Service est configuré avec au moins trois nœuds principaux dédiés. Le contrôle échoue si le domaine possède moins de trois nœuds principaux dédiés.
OpenSearch Le service utilise des nœuds principaux dédiés pour améliorer la stabilité du cluster. Un nœud principal dédié exécute les tâches de gestion du cluster, mais ne contient pas de données et ne répond pas aux demandes de téléchargement de données. Nous vous recommandons d'utiliser le mode Multi-AZ en mode veille, qui ajoute trois nœuds principaux dédiés à chaque OpenSearch domaine de production.
Correction
Pour modifier le nombre de nœuds principaux d'un OpenSearch domaine, consultez la section Création et gestion de domaines Amazon OpenSearch Service dans le manuel Amazon OpenSearch Service Developer Guide.
