Kontrol Elasticsearch - AWS Security Hub
[ES.1] Domain Elasticsearch harus mengaktifkan enkripsi saat istirahat[ES.2] Domain Elasticsearch tidak boleh diakses publik[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan[ES.5] Domain Elasticsearch harus mengaktifkan pencatatan audit[ES.6] Domain Elasticsearch harus memiliki setidaknya tiga node data[ES.7] Domain Elasticsearch harus dikonfigurasi dengan setidaknya tiga node master khusus[ES.8] Koneksi ke domain Elasticsearch harus dienkripsi menggunakan kebijakan keamanan TLS terbaru[ES.9] Domain Elasticsearch harus diberi tag

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol Elasticsearch

Kontrol ini terkait dengan sumber daya Elasticsearch.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.

[ES.1] Domain Elasticsearch harus mengaktifkan enkripsi saat istirahat

Persyaratan terkait: PCI DSS v3.2.1/3.4, Nist.800-53.R5 CA-9 (1), Nist.800-53.R5 CM-3 (6), Nist.800-53.r5 SC-13, Nist.800-53.r5 SC-28, Nist.800-53.r5 SC-28 (1), Nist.800-500-53.r5 3.R5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

Kategori: Lindungi > Perlindungan data > Enkripsi data saat istirahat

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::Elasticsearch::Domain

AWS Config aturan: elasticsearch-encrypted-at-rest

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah domain Elasticsearch memiliki enkripsi saat konfigurasi istirahat diaktifkan. Pemeriksaan gagal jika enkripsi saat istirahat tidak diaktifkan.

Untuk lapisan keamanan tambahan untuk data sensitif Anda OpenSearch, Anda harus mengonfigurasi Anda OpenSearch untuk dienkripsi saat istirahat. Domain Elasticsearch menawarkan enkripsi data saat istirahat. Fitur ini digunakan AWS KMS untuk menyimpan dan mengelola kunci enkripsi Anda. Untuk melakukan enkripsi, ia menggunakan algoritma Advanced Encryption Standard dengan kunci 256-bit (AES-256).

Untuk mempelajari lebih lanjut tentang OpenSearch enkripsi saat istirahat, lihat Enkripsi data saat istirahat untuk OpenSearch Layanan Amazon di Panduan Pengembang OpenSearch Layanan Amazon.

Jenis instans tertentu, seperti t.small dant.medium, tidak mendukung enkripsi data saat istirahat. Untuk detailnya, lihat Jenis instans yang didukung di Panduan Pengembang OpenSearch Layanan Amazon.

Remediasi

Untuk mengaktifkan enkripsi saat istirahat untuk domain Elasticsearch baru dan yang sudah ada, lihat Mengaktifkan enkripsi data saat istirahat di Panduan Pengembang Layanan Amazon OpenSearch .

[ES.2] Domain Elasticsearch tidak boleh diakses publik

Persyaratan terkait: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, Nist.800-53.R5 AC-21, Nist.800-53.r5 AC-3, Nist.800-53.r5 5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), Nist.800-53.r5 AC-6, Nist.800-53.r5 SC-7, Nist.800-53.r5 SC-7 (11), Nist.800-53.r5 SC-7 (16), Nist.800-53.r5 SC-7 (20), NIST.800-53.R5 SC-7 (21), Nist.800-53.r5 SC-7 (3), Nist.800-53.r5 SC-7 (4), Nist.800-53.r5 SC-7 (9)

Kategori: Lindungi > Konfigurasi jaringan aman> Sumber daya dalam VPC

Tingkat keparahan: Kritis

Jenis sumber daya: AWS::Elasticsearch::Domain

AWS Config aturan: elasticsearch-in-vpc-only

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah domain Elasticsearch ada di VPC. Itu tidak mengevaluasi konfigurasi perutean subnet VPC untuk menentukan akses publik. Anda harus memastikan bahwa domain Elasticsearch tidak dilampirkan ke subnet publik. Lihat Kebijakan berbasis sumber daya di Panduan Pengembang Layanan Amazon OpenSearch . Anda juga harus memastikan bahwa VPC Anda dikonfigurasi sesuai dengan praktik terbaik yang disarankan. Lihat Praktik terbaik keamanan untuk VPC Anda di Panduan Pengguna Amazon VPC.

Domain Elasticsearch yang digunakan dalam VPC dapat berkomunikasi dengan sumber daya VPC melalui jaringan AWS pribadi, tanpa perlu melintasi internet publik. Konfigurasi ini meningkatkan postur keamanan dengan membatasi akses ke data dalam perjalanan. VPC menyediakan sejumlah kontrol jaringan untuk mengamankan akses ke domain Elasticsearch, termasuk ACL jaringan dan grup keamanan. Security Hub merekomendasikan agar Anda memigrasikan domain Elasticsearch publik ke VPC untuk memanfaatkan kontrol ini.

Remediasi

Jika Anda membuat domain dengan titik akhir publik, Anda tidak dapat menempatkannya di dalam VPC nanti. Sebagai gantinya, Anda harus membuat domain baru dan memigrasi data Anda. Begitu juga sebaliknya. Jika Anda membuat domain dalam VPC, domain tersebut tidak dapat memiliki titik akhir publik. Sebagai gantinya, Anda harus membuat domain lain atau menonaktifkan kontrol ini.

Lihat Meluncurkan domain OpenSearch Layanan Amazon Anda dalam VPC di Panduan Pengembang Layanan OpenSearch Amazon.

[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node

Persyaratan terkait: Nist.800-53.r5 AC-4, Nist.800-53.r5 SC-13, Nist.800-53.r5 SC-23, Nist.800-53.r5 SC-23 (3), Nist.800-53.r5 SC-7 (4), Nist.800-53.r5 SC-8, Nist.800-53.r5 R5 SC-8 (1), NIST.800-53.R5 SC-8 (2)

Kategori: Lindungi > Perlindungan data > Enkripsi data dalam perjalanan

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::Elasticsearch::Domain

AWS Config aturan: elasticsearch-node-to-node-encryption-check

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah domain Elasticsearch telah mengaktifkan node-to-node enkripsi. Kontrol gagal jika domain Elasticsearch tidak mengaktifkan node-to-node enkripsi. Kontrol juga menghasilkan temuan yang gagal jika versi Elasticsearch tidak mendukung pemeriksaan node-to-node enkripsi.

HTTPS (TLS) dapat digunakan untuk membantu mencegah penyerang potensial menguping atau memanipulasi lalu lintas jaringan menggunakan atau serangan serupa. person-in-the-middle Hanya koneksi terenkripsi melalui HTTPS (TLS) yang diizinkan. Mengaktifkan node-to-node enkripsi untuk domain Elasticsearch memastikan bahwa komunikasi intra-cluster dienkripsi dalam perjalanan.

Mungkin ada penalti kinerja yang terkait dengan konfigurasi ini. Anda harus mengetahui dan menguji trade-off kinerja sebelum mengaktifkan opsi ini.

Remediasi

Untuk informasi tentang mengaktifkan node-to-node enkripsi pada domain baru dan yang sudah ada, lihat Mengaktifkan node-to-node enkripsi di Panduan Pengembang OpenSearch Layanan Amazon.

[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan

Persyaratan terkait: Nist.800-53.r5 AC-2 (4), Nist.800-53.r5 AC-4 (26), Nist.800-53.r5 AC-6 (9), Nist.800-53.r5 AU-10, Nist.800-53.r5 AU-12, Nist.800-53.r5 AU-2, Nist.800-53.r5 5 AU-3, NIST.800-53.R5 AU-6 (3), NIST.800-53.R5 AU-6 (4), NIST.800-53.R5 CA-7, NIST.800-53.R5 SC-7 (9), NIST.800-53.R5 SI-4 (20), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-4 (20), nistST.800-53.R5 SI-7 (8)

Kategori: Identifikasi - Logging

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::Elasticsearch::Domain

AWS Config aturan: elasticsearch-logs-to-cloudwatch

Jenis jadwal: Perubahan dipicu

Parameter:

  • logtype = 'error'(tidak dapat disesuaikan)

Kontrol ini memeriksa apakah domain Elasticsearch dikonfigurasi untuk mengirim log kesalahan ke Log. CloudWatch

Anda harus mengaktifkan log kesalahan untuk domain Elasticsearch dan mengirim log tersebut ke CloudWatch Log untuk penyimpanan dan respons. Log kesalahan domain dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan.

Remediasi

Untuk informasi tentang cara mengaktifkan penerbitan log, lihat Mengaktifkan penerbitan log (konsol) di Panduan Pengembang OpenSearch Layanan Amazon.

[ES.5] Domain Elasticsearch harus mengaktifkan pencatatan audit

Persyaratan terkait: Nist.800-53.r5 AC-2 (4), Nist.800-53.r5 AC-4 (26), Nist.800-53.r5 AC-6 (9), Nist.800-53.r5 AU-10, Nist.800-53.r5 AU-12, Nist.800-53.r5 AU-2, Nist.800-53.r5 5 AU-3, NIST.800-53.R5 AU-6 (3), NIST.800-53.R5 AU-6 (4), NIST.800-53.R5 CA-7, NIST.800-53.R5 SC-7 (9), NIST.800-53.R5 SI-4 (20), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-4 (20), nistST.800-53.R5 SI-7 (8)

Kategori: Identifikasi > Logging

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::Elasticsearch::Domain

AWS Config aturan: elasticsearch-audit-logging-enabled (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

  • cloudWatchLogsLogGroupArnList(tidak dapat disesuaikan). Security Hub tidak mengisi parameter ini. Daftar grup CloudWatch log Log yang dipisahkan koma yang harus dikonfigurasi untuk log audit.

    Aturan ini adalah NON_COMPLIANT jika grup CloudWatch log Log dari domain Elasticsearch tidak ditentukan dalam daftar parameter ini.

Kontrol ini memeriksa apakah domain Elasticsearch mengaktifkan pencatatan audit. Kontrol ini gagal jika domain Elasticsearch tidak mengaktifkan pencatatan audit.

Log audit sangat dapat disesuaikan. Mereka memungkinkan Anda melacak aktivitas pengguna di cluster Elasticsearch Anda, termasuk keberhasilan dan kegagalan otentikasi, permintaan, perubahan indeks OpenSearch, dan kueri penelusuran yang masuk.

Remediasi

Untuk petunjuk mendetail tentang mengaktifkan log audit, lihat Mengaktifkan log audit di Panduan Pengembang OpenSearch Layanan Amazon.

[ES.6] Domain Elasticsearch harus memiliki setidaknya tiga node data

Persyaratan terkait: Nist.800-53.r5 CP-10, Nist.800-53.R5 CP-6 (2), Nist.800-53.R5 SC-36, Nist.800-53.R5 SC-5 (2), Nist.800-53.r5 SI-13 (5)

Kategori: Pulihkan > Ketahanan > Ketersediaan tinggi

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::Elasticsearch::Domain

AWS Config aturan: elasticsearch-data-node-fault-tolerance (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah domain Elasticsearch dikonfigurasi dengan setidaknya tiga node data dan is. zoneAwarenessEnabled true

Domain Elasticsearch membutuhkan setidaknya tiga node data untuk ketersediaan tinggi dan toleransi kesalahan. Menerapkan domain Elasticsearch dengan setidaknya tiga node data memastikan operasi cluster jika node gagal.

Remediasi

Untuk mengubah jumlah node data dalam domain Elasticsearch

  1. Buka konsol OpenSearch Layanan Amazon di https://console.aws.amazon.com/aos/.

  2. Di bawah Domain, pilih nama domain yang ingin Anda edit.

  3. Pilih Edit domain.

  4. Di bawah Node data, atur Jumlah node ke angka yang lebih besar dari atau sama dengan3.

    Untuk tiga penerapan Availability Zone, atur ke kelipatan tiga untuk memastikan distribusi yang sama di seluruh Availability Zone.

  5. Pilih Kirim.

[ES.7] Domain Elasticsearch harus dikonfigurasi dengan setidaknya tiga node master khusus

Persyaratan terkait: Nist.800-53.r5 CP-10, Nist.800-53.R5 CP-6 (2), Nist.800-53.R5 SC-36, Nist.800-53.R5 SC-5 (2), Nist.800-53.r5 SI-13 (5)

Kategori: Pulihkan > Ketahanan > Ketersediaan tinggi

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::Elasticsearch::Domain

AWS Config aturan: elasticsearch-primary-node-fault-tolerance (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah domain Elasticsearch dikonfigurasi dengan setidaknya tiga node primer khusus. Kontrol ini gagal jika domain tidak menggunakan node primer khusus. Kontrol ini lolos jika domain Elasticsearch memiliki lima node primer khusus. Namun, menggunakan lebih dari tiga node primer mungkin tidak diperlukan untuk mengurangi risiko ketersediaan, dan akan menghasilkan biaya tambahan.

Domain Elasticsearch membutuhkan setidaknya tiga node primer khusus untuk ketersediaan tinggi dan toleransi kesalahan. Sumber daya node primer khusus dapat tegang selama penerapan biru/hijau simpul data karena ada node tambahan untuk dikelola. Menerapkan domain Elasticsearch dengan setidaknya tiga node primer khusus memastikan kapasitas sumber daya node primer dan operasi cluster yang memadai jika sebuah node gagal.

Remediasi

Untuk memodifikasi jumlah node utama khusus dalam OpenSearch domain

  1. Buka konsol OpenSearch Layanan Amazon di https://console.aws.amazon.com/aos/.

  2. Di bawah Domain, pilih nama domain yang ingin Anda edit.

  3. Pilih Edit domain.

  4. Di bawah Node master khusus, setel tipe Instance ke tipe instans yang diinginkan.

  5. Set Jumlah node master sama dengan tiga atau lebih besar.

  6. Pilih Kirim.

[ES.8] Koneksi ke domain Elasticsearch harus dienkripsi menggunakan kebijakan keamanan TLS terbaru

Persyaratan terkait: Nist.800-53.r5 AC-17 (2), Nist.800-53.r5 AC-4, Nist.800-53.r5 IA-5 (1), Nist.800-53.r5 SC-12 (3), Nist.800-53.r5 SC-13, Nist.800-53.r5 SC-23, Nist.800-53.r5 SC-23, Nist.800-53.r5 00-53.R5 SC-23 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-8, NIST.800-53.R5 SC-8 (1), NIST.800-53.R5 SC-8 (2), NIST.800-53.R5 SI-7 (6)

Kategori: Lindungi > Perlindungan data > Enkripsi data dalam perjalanan

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::Elasticsearch::Domain

AWS Config aturan: elasticsearch-https-required (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah titik akhir domain Elasticsearch dikonfigurasi untuk menggunakan kebijakan keamanan TLS terbaru. Kontrol gagal jika titik akhir domain Elasticsearch tidak dikonfigurasi untuk menggunakan kebijakan terbaru yang didukung atau jika HTTPS tidak diaktifkan. Kebijakan keamanan TLS terbaru yang didukung saat ini adalahPolicy-Min-TLS-1-2-PFS-2023-10.

HTTPS (TLS) dapat digunakan untuk membantu mencegah penyerang potensial menggunakan person-in-the-middle atau serangan serupa untuk menguping atau memanipulasi lalu lintas jaringan. Hanya koneksi terenkripsi melalui HTTPS (TLS) yang diizinkan. Mengenkripsi data dalam perjalanan dapat memengaruhi kinerja. Anda harus menguji aplikasi Anda dengan fitur ini untuk memahami profil kinerja dan dampak TLS. TLS 1.2 menyediakan beberapa peningkatan keamanan dibandingkan versi TLS sebelumnya.

Remediasi

Untuk mengaktifkan enkripsi TLS, gunakan operasi UpdateDomainConfigAPI untuk mengkonfigurasi DomainEndpointOptionsobjek. Ini menetapkanTLSSecurityPolicy.

[ES.9] Domain Elasticsearch harus diberi tag

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::Elasticsearch::Domain

AWS Config aturan: tagged-elasticsearch-domain (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub
requiredTagKeys Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. StringList Daftar tag yang memenuhi AWS persyaratan No default value

Kontrol ini memeriksa apakah domain Elasticsearch memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. requiredTagKeys Kontrol gagal jika domain tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika domain tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat Untuk apa ABAC? AWS di Panduan Pengguna IAM.

catatan

Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS

Remediasi

Untuk menambahkan tag ke domain Elasticsearch, lihat Bekerja dengan tag di Panduan Pengembang OpenSearch Layanan Amazon.