Pilar Keamanan Lensa ElastiCache Well-Architected Amazon - Amazon ElastiCache (Redis) OSS
SEC 1: Langkah apa yang Anda ambil dalam mengendalikan akses resmi ke ElastiCache data?SEC 2: Apakah aplikasi Anda memerlukan otorisasi tambahan untuk kontrol berbasis jaringan di ElastiCache atas dan di atas? SEC 3: Apakah ada risiko bahwa perintah dapat dijalankan secara tidak sengaja yang menyebabkan kehilangan atau kegagalan data? SEC 4: Bagaimana Anda memastikan enkripsi data saat istirahat ElastiCacheSEC 5: Bagaimana Anda mengenkripsi data dalam transit? ElastiCacheSEC 6: Bagaimana Anda membatasi akses untuk bidang kontrol sumber daya? SEC 7: Bagaimana Anda mendeteksi dan menanggapi peristiwa keamanan?

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pilar Keamanan Lensa ElastiCache Well-Architected Amazon

Pilar keamanan berfokus pada perlindungan informasi dan sistem. Topik utama yang dibahas meliputi kerahasiaan dan integritas data, mengidentifikasi dan mengelola "siapa yang dapat melakukan apa" dengan manajemen berbasis hak akses, melindungi sistem, dan menetapkan kontrol untuk mendeteksi peristiwa keamanan.

SEC 1: Langkah apa yang Anda ambil dalam mengendalikan akses resmi ke ElastiCache data?

Pengenalan tingkat pertanyaan: Semua ElastiCache cluster dirancang untuk diakses dari instans Amazon Elastic Compute Cloud dalam VPC, fungsi tanpa server (), atau wadah (Amazon Elastic Container Service AWS Lambda). Skenario yang paling sering ditemui adalah mengakses ElastiCache cluster dari instans Amazon Elastic Compute Cloud dalam Amazon Virtual Private Cloud yang sama (Amazon Virtual Private Cloud). Sebelum Anda dapat menghubungkan ke klaster dari instans Amazon EC2, Anda harus memberikan otorisasi pada instans Amazon EC2 untuk mengakses klaster tersebut. Untuk mengakses ElastiCache cluster yang berjalan di VPC, perlu untuk memberikan masuknya jaringan ke cluster.

Manfaat tingkat pertanyaan: Lalu lintas masuk jaringan ke dalam klaster dikendalikan melalui grup keamanan VPC. Grup keamanan bertindak sebagai firewall virtual untuk instans Amazon EC2 Anda untuk mengontrol lalu lintas masuk dan ke luar. Aturan masuk mengontrol lalu lintas yang masuk ke instans Anda, dan aturan keluar mengontrol lalu lintas yang keluar dari instans Anda. Dalam kasus ElastiCache, ketika meluncurkan cluster, itu membutuhkan asosiasi grup keamanan. Hal ini memastikan bahwa aturan lalu lintas masuk dan keluar berlaku untuk semua simpul yang membentuk klaster. Selain itu, ElastiCache dikonfigurasi untuk menyebarkan pada subnet pribadi secara eksklusif sehingga mereka hanya dapat diakses dari melalui jaringan pribadi VPC.

  • [Wajib] Grup keamanan yang dikaitkan dengan klaster Anda mengontrol lalu lintas masuk dan akses jaringan ke klaster. Secara default, grup keamanan tidak akan memiliki aturan masuk yang ditentukan dan, oleh karena itu, tidak ada jalur masuk ke. ElastiCache Untuk mengaktifkan ini, konfigurasikan aturan masuk pada grup keamanan yang menentukan alamat/rentang IP sumber, lalu lintas jenis TCP dan port untuk ElastiCache cluster Anda (port default 6379 untuk (Redis OSS) misalnya ElastiCache ). Meskipun dimungkinkan untuk mengizinkan serangkaian sumber masuk yang sangat luas, seperti semua sumber daya dalam VPC (0.0.0.0/0), disarankan untuk sedetail mungkin dalam mendefinisikan aturan masuk seperti hanya mengotorisasi akses masuk ke klien Redis OSS yang berjalan di Amazon Amazon EC2 instans yang terkait dengan grup keamanan tertentu.

    [Sumber Daya]:

  • AWS Identity and Access Management Kebijakan [Wajib] dapat ditetapkan ke AWS Lambda fungsi yang memungkinkan mereka mengakses ElastiCache data. Untuk mengaktifkan fitur ini, buat peran eksekusi IAM dengan AWSLambdaVPCAccessExecutionRole izin, lalu tetapkan peran ke fungsi tersebut AWS Lambda .

    [Sumber Daya]: Mengonfigurasi fungsi Lambda untuk mengakses Amazon di VPC ElastiCache Amazon: Tutorial: Mengonfigurasi fungsi Lambda untuk mengakses Amazon di VPC Amazon ElastiCache

SEC 2: Apakah aplikasi Anda memerlukan otorisasi tambahan untuk kontrol berbasis jaringan di ElastiCache atas dan di atas?

Pengenalan tingkat pertanyaan: Dalam skenario di mana perlu untuk membatasi atau mengontrol akses ke cluster ElastiCache (Redis OSS) pada tingkat klien individu, disarankan untuk mengautentikasi melalui perintah AUTH (Redis OSS). ElastiCache ElastiCache Token otentikasi (Redis OSS), dengan manajemen pengguna dan grup pengguna opsional, memungkinkan ElastiCache (Redis OSS) untuk meminta kata sandi sebelum mengizinkan klien menjalankan perintah dan kunci akses, sehingga meningkatkan keamanan pesawat data.

Manfaat tingkat pertanyaan: Untuk membantu menjaga keamanan data Anda, ElastiCache (Redis OSS) menyediakan mekanisme untuk melindungi terhadap akses data Anda yang tidak sah. Ini termasuk menegakkan ROLE-Based Access Control (RBAC) AUTH, atau token AUTH (kata sandi) yang digunakan oleh klien untuk terhubung sebelum melakukan perintah resmi. ElastiCache

  • [Terbaik] Untuk ElastiCache (Redis OSS) 6.x dan yang lebih tinggi, tentukan kontrol otentikasi dan otorisasi dengan mendefinisikan grup pengguna, pengguna, dan string akses. Tetapkan pengguna ke grup pengguna, lalu tetapkan grup pengguna ke klaster. Untuk memanfaatkan RBAC, pemilihan harus dilakukan pada pembuatan klaster, dan enkripsi bergerak harus diaktifkan. Pastikan Anda menggunakan klien Redis OSS yang mendukung TLS untuk dapat memanfaatkan RBAC.

    [Sumber Daya]:

  • [Terbaik] Untuk versi ElastiCache (Redis OSS) sebelum 6.x, selain mengatur token/kata sandi yang kuat dan mempertahankan kebijakan kata sandi yang ketat untuk ElastiCache (Redis OSS) AUTH, praktik terbaik adalah memutar kata sandi/token. ElastiCache dapat mengelola hingga dua (2) token otentikasi pada waktu tertentu. Anda juga dapat mengubah klaster untuk secara eksplisit mewajibkan penggunaan token autentikasi.

    [Sumber Daya]: Memodifikasi token AUTH pada cluster ElastiCache (Redis OSS) yang ada

SEC 3: Apakah ada risiko bahwa perintah dapat dijalankan secara tidak sengaja yang menyebabkan kehilangan atau kegagalan data?

Pengenalan tingkat pertanyaan: Ada sejumlah perintah Redis OSS yang dapat berdampak buruk pada operasi jika dijalankan secara tidak sengaja atau oleh aktor jahat. Perintah ini dapat memiliki konsekuensi yang tidak diinginkan dari perspektif performa dan keamanan data. Misalnya developer dapat secara rutin memanggil perintah FLUSHALL di lingkungan pengembangan, dan karena kesalahan mungkin secara tidak sengaja mencoba memanggil perintah ini pada sistem produksi, yang mengakibatkan kehilangan data yang tidak disengaja.

Manfaat tingkat pertanyaan: Dimulai dengan ElastiCache (Redis OSS) 5.0.3, Anda memiliki kemampuan untuk mengganti nama perintah tertentu yang mungkin mengganggu beban kerja Anda. Mengganti nama perintah dapat membantu mencegahnya dieksekusi secara tidak sengaja di klaster.

SEC 4: Bagaimana Anda memastikan enkripsi data saat istirahat ElastiCache

Pengenalan tingkat pertanyaan: Meskipun ElastiCache (Redis OSS) adalah penyimpanan data dalam memori, dimungkinkan untuk mengenkripsi data apa pun yang mungkin bertahan (pada penyimpanan) sebagai bagian dari operasi standar cluster. Hal ini termasuk pencadangan terjadwal dan manual yang ditulis ke Amazon S3, serta data yang disimpan ke penyimpanan disk sebagai hasil dari operasi sinkronisasi dan swap. Jenis instans dalam keluarga M6g dan R6g juga memiliki fitur enkripsi dalam memori yang selalu aktif.

Manfaat tingkat pertanyaan: ElastiCache (Redis OSS) menyediakan enkripsi opsional saat istirahat untuk meningkatkan keamanan data.

  • [Diperlukan] Enkripsi AT-rest dapat diaktifkan pada ElastiCache cluster (grup replikasi) hanya ketika dibuat. Klaster yang ada tidak dapat diubah untuk mulai mengenkripsi data diam. Secara default, ElastiCache akan menyediakan dan mengelola kunci yang digunakan dalam enkripsi saat istirahat.

    [Sumber Daya]:

  • [Terbaik] Manfaatkan jenis instans Amazon EC2 yang mengenkripsi data saat berada di memori (seperti M6g atau R6g). Jika memungkinkan, pertimbangkan untuk mengelola kunci Anda sendiri untuk enkripsi diam. Untuk lingkungan keamanan data yang lebih ketat, AWS Key Management Service (KMS) dapat digunakan untuk mengelola sendiri Customer Master Keys (CMK). Melalui ElastiCache integrasi dengan AWS Key Management Service, Anda dapat membuat, memiliki, dan mengelola kunci yang digunakan untuk enkripsi data saat istirahat untuk cluster ElastiCache (Redis OSS) Anda.

    [Sumber Daya]:

SEC 5: Bagaimana Anda mengenkripsi data dalam transit? ElastiCache

Pengantar tingkat pertanyaan: Adalah persyaratan umum untuk memitigasi risiko data disusupi saat bergerak. Ini mewakili data dalam komponen sistem terdistribusi, serta antara klien aplikasi dan node cluster. ElastiCache (Redis OSS) mendukung persyaratan ini dengan memungkinkan untuk mengenkripsi data dalam transit antara klien dan cluster, dan antara node cluster itu sendiri. Jenis instans dalam keluarga M6g dan R6g juga memiliki fitur enkripsi dalam memori yang selalu aktif.

Manfaat tingkat pertanyaan: Enkripsi ElastiCache in-transit Amazon adalah fitur opsional yang memungkinkan Anda meningkatkan keamanan data Anda di titik-titik yang paling rentan, ketika sedang dalam perjalanan dari satu lokasi ke lokasi lain.

  • [Diperlukan] Enkripsi dalam transit hanya dapat diaktifkan pada klaster ElastiCache (Redis OSS) (grup replikasi) pada saat pembuatan. Perlu diketahui bahwa karena pemrosesan tambahan yang diperlukan untuk mengenkripsi/mendekripsi data, penerapan enkripsi bergerak akan memiliki beberapa dampak terhadap performa. Untuk memahami dampaknya, disarankan untuk membandingkan beban kerja Anda sebelum dan sesudah mengaktifkan. encryption-in-transit

    [Sumber Daya]:

SEC 6: Bagaimana Anda membatasi akses untuk bidang kontrol sumber daya?

Pengenalan tingkat pertanyaan: Kebijakan IAM dan ARN memungkinkan kontrol akses berbutir halus untuk ElastiCache (Redis OSS), memungkinkan kontrol yang lebih ketat untuk mengelola pembuatan, modifikasi, dan penghapusan cluster (Redis OSS). ElastiCache

Manfaat tingkat pertanyaan: Pengelolaan ElastiCache sumber daya Amazon, seperti grup replikasi, node, dll. Dapat dibatasi ke AWS akun yang memiliki izin khusus berdasarkan kebijakan IAM, meningkatkan keamanan dan keandalan sumber daya.

SEC 7: Bagaimana Anda mendeteksi dan menanggapi peristiwa keamanan?

Pengenalan tingkat pertanyaan:ElastiCache, saat diterapkan dengan RBAC diaktifkan, mengekspor CloudWatch metrik untuk memberi tahu pengguna tentang peristiwa keamanan. Metrik ini membantu mengidentifikasi percobaan gagal untuk melakukan autentikasi, mengakses kunci, atau menjalankan perintah yang tidak diizinkan bagi pengguna RBAC yang melakukan koneksi.

Selain itu, sumber daya AWS produk dan layanan membantu mengamankan beban kerja Anda secara keseluruhan dengan mengotomatiskan penerapan dan mencatat semua tindakan dan modifikasi untuk peninjauan/audit nanti.

Manfaat tingkat pertanyaan: Dengan memantau peristiwa, Anda memungkinkan organisasi Anda untuk merespons sesuai dengan persyaratan, kebijakan, dan prosedur Anda. Mengotomatiskan pemantauan dan respons terhadap peristiwa keamanan ini memperkuat postur keamanan Anda secara keseluruhan.