Kontrol Security Hub untuk OpenSearch Layanan - AWS Security Hub

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol Security Hub untuk OpenSearch Layanan

AWS Security Hub Kontrol ini mengevaluasi OpenSearch layanan dan sumber daya Amazon OpenSearch Service (Service).

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.

[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat

Persyaratan terkait: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, v3.2.1/7.2.1, (1), 3, 8, 8 (1), PCI DSS .800-53.r5 SI-7 (6) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST

Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::OpenSearch::Domain

AWS Config aturan: opensearch-encrypted-at-rest

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah OpenSearch domain memiliki encryption-at-rest konfigurasi yang diaktifkan. Pemeriksaan gagal jika enkripsi saat istirahat tidak diaktifkan.

Untuk lapisan keamanan tambahan untuk data sensitif, Anda harus mengonfigurasi domain OpenSearch Layanan Anda untuk dienkripsi saat istirahat. Saat Anda mengonfigurasi enkripsi data saat istirahat, AWS KMS menyimpan dan mengelola kunci enkripsi Anda. Untuk melakukan enkripsi, AWS KMS gunakan algoritma Advanced Encryption Standard dengan kunci 256-bit (AES-256).

Untuk mempelajari lebih lanjut tentang enkripsi OpenSearch Layanan saat istirahat, lihat Enkripsi data saat istirahat untuk OpenSearch Layanan Amazon di Panduan Pengembang OpenSearch Layanan Amazon.

Remediasi

Untuk mengaktifkan enkripsi saat istirahat untuk OpenSearch domain baru dan yang sudah ada, lihat Mengaktifkan enkripsi data saat istirahat di Panduan Pengembang OpenSearch Layanan Amazon.

[Opensearch.2] OpenSearch domain tidak boleh diakses publik

Persyaratan terkait: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11), (16), (20) NIST.800-53.r5 AC-3, (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Kategori: Lindungi > Konfigurasi jaringan aman> Sumber daya dalam VPC

Tingkat keparahan: Kritis

Jenis sumber daya: AWS::OpenSearch::Domain

AWS Config aturan: opensearch-in-vpc-only

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah OpenSearch domain berada dalam aVPC. Itu tidak mengevaluasi konfigurasi perutean VPC subnet untuk menentukan akses publik.

Anda harus memastikan bahwa OpenSearch domain tidak dilampirkan ke subnet publik. Lihat Kebijakan berbasis sumber daya di Panduan Pengembang Layanan Amazon OpenSearch . Anda juga harus memastikan bahwa Anda VPC dikonfigurasi sesuai dengan praktik terbaik yang direkomendasikan. Lihat Praktik terbaik keamanan untuk Anda VPC di Panduan VPC Pengguna Amazon.

OpenSearch domain yang digunakan dalam VPC dapat berkomunikasi dengan VPC sumber daya melalui AWS jaringan pribadi, tanpa perlu melintasi internet publik. Konfigurasi ini meningkatkan postur keamanan dengan membatasi akses ke data dalam perjalanan. VPCsmenyediakan sejumlah kontrol jaringan untuk mengamankan akses ke OpenSearch domain, termasuk jaringan ACL dan grup keamanan. Security Hub menyarankan agar Anda memigrasikan OpenSearch domain publik VPCs untuk memanfaatkan kontrol ini.

Remediasi

Jika Anda membuat domain dengan titik akhir publik, Anda nantinya tidak dapat menempatkannya di dalam file. VPC Sebagai gantinya, Anda harus membuat domain baru dan memigrasi data Anda. Begitu juga sebaliknya. Jika Anda membuat domain dalam aVPC, itu tidak dapat memiliki titik akhir publik. Sebagai gantinya, Anda harus membuat domain lain atau menonaktifkan kontrol ini.

Untuk petunjuknya, lihat Meluncurkan domain OpenSearch Layanan Amazon Anda VPC dalam Panduan Pengembang OpenSearch Layanan Amazon.

[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node

Persyaratan terkait: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2)

Kategori: Lindungi > Perlindungan Data > Enkripsi data-in-transit

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::OpenSearch::Domain

AWS Config aturan: opensearch-node-to-node-encryption-check

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah OpenSearch domain telah mengaktifkan node-to-node enkripsi. Kontrol ini gagal jika node-to-node enkripsi dinonaktifkan pada domain.

HTTPS(TLS) dapat digunakan untuk membantu mencegah penyerang potensial menguping atau memanipulasi lalu lintas jaringan menggunakan atau serangan serupa. person-in-the-middle Hanya koneksi terenkripsi over HTTPS (TLS) yang diizinkan. Mengaktifkan node-to-node enkripsi untuk OpenSearch domain memastikan bahwa komunikasi intra-cluster dienkripsi dalam perjalanan.

Mungkin ada penalti kinerja yang terkait dengan konfigurasi ini. Anda harus mengetahui dan menguji trade-off kinerja sebelum mengaktifkan opsi ini.

Remediasi

Untuk mengaktifkan node-to-node enkripsi pada OpenSearch domain, lihat Mengaktifkan node-to-node enkripsi di Panduan Pengembang OpenSearch Layanan Amazon.

[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch

Persyaratan terkait: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST

Kategori: Identifikasi > Logging

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::OpenSearch::Domain

AWS Config aturan: opensearch-logs-to-cloudwatch

Jenis jadwal: Perubahan dipicu

Parameter:

  • logtype = 'error'(tidak dapat disesuaikan)

Kontrol ini memeriksa apakah OpenSearch domain dikonfigurasi untuk mengirim log kesalahan ke CloudWatch Log. Kontrol ini gagal jika error logging ke tidak CloudWatch diaktifkan untuk domain.

Anda harus mengaktifkan log kesalahan untuk OpenSearch domain dan mengirim log tersebut ke CloudWatch Log untuk penyimpanan dan respons. Log kesalahan domain dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan.

Remediasi

Untuk mengaktifkan penerbitan log, lihat Mengaktifkan penerbitan log (konsol) di Panduan Pengembang OpenSearch Layanan Amazon.

[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit

Persyaratan terkait: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8), v4.0.1/10.2.1 NIST PCI DSS

Kategori: Identifikasi > Logging

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::OpenSearch::Domain

AWS Config aturan: opensearch-audit-logging-enabled

Jenis jadwal: Perubahan dipicu

Parameter:

  • cloudWatchLogsLogGroupArnList(tidak dapat disesuaikan) - Security Hub tidak mengisi parameter ini. Daftar grup CloudWatch log Log yang dipisahkan koma yang harus dikonfigurasi untuk log audit.

Aturan ini adalah NON_COMPLIANT jika grup CloudWatch log Log OpenSearch domain tidak ditentukan dalam daftar parameter ini.

Kontrol ini memeriksa apakah OpenSearch domain telah mengaktifkan pencatatan audit. Kontrol ini gagal jika OpenSearch domain tidak mengaktifkan pencatatan audit.

Log audit sangat dapat disesuaikan. Mereka memungkinkan Anda melacak aktivitas pengguna di OpenSearch klaster Anda, termasuk keberhasilan dan kegagalan otentikasi, permintaan, perubahan indeksOpenSearch, dan kueri penelusuran yang masuk.

Remediasi

Untuk petunjuk cara mengaktifkan log audit, lihat Mengaktifkan log audit di Panduan Pengembang OpenSearch Layanan Amazon.

[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data

Persyaratan terkait: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Kategori: Pulihkan > Ketahanan > Ketersediaan tinggi

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::OpenSearch::Domain

AWS Config aturan: opensearch-data-node-fault-tolerance

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah OpenSearch domain dikonfigurasi dengan setidaknya tiga node data dan zoneAwarenessEnabled adalahtrue. Kontrol ini gagal untuk OpenSearch domain jika instanceCount kurang dari 3 atau zoneAwarenessEnabled kurangfalse.

OpenSearch Domain membutuhkan setidaknya tiga node data untuk ketersediaan tinggi dan toleransi kesalahan. Menyebarkan OpenSearch domain dengan setidaknya tiga node data memastikan operasi cluster jika node gagal.

Remediasi

Untuk mengubah jumlah node data dalam OpenSearch domain
  1. Masuk ke AWS konsol dan buka konsol OpenSearch Layanan Amazon di https://console.aws.amazon.com/aos/.

  2. Di bawah Domain saya, pilih nama domain yang akan diedit, dan pilih Edit.

  3. Di bawah Data node mengatur Jumlah node ke angka yang lebih besar dari3. Jika Anda menerapkan ke tiga Availability Zone, setel nomor ke kelipatan tiga untuk memastikan distribusi yang sama di seluruh Availability Zone.

  4. Pilih Kirim.

[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus

Persyaratan terkait: NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6

Kategori: Lindungi > Manajemen Akses Aman > API Tindakan sensitif dibatasi

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::OpenSearch::Domain

AWS Config aturan: opensearch-access-control-enabled

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah OpenSearch domain memiliki kontrol akses berbutir halus yang diaktifkan. Kontrol gagal jika kontrol akses berbutir halus tidak diaktifkan. Kontrol akses berbutir halus membutuhkan OpenSearch parameter advanced-security-options yang akan diaktifkanupdate-domain-config.

Kontrol akses berbutir halus menawarkan cara tambahan untuk mengontrol akses ke data Anda di Layanan Amazon. OpenSearch

Remediasi

Untuk mengaktifkan kontrol akses berbutir halus, lihat Kontrol akses berbutir halus di OpenSearch Layanan Amazon di Panduan Pengembang Layanan Amazon. OpenSearch

[Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan terbaru TLS

Persyaratan terkait: NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), NIST .800-53.r5 SI-7 (6)

Kategori: Lindungi > Perlindungan Data > Enkripsi data-in-transit

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::OpenSearch::Domain

AWS Config aturan: opensearch-https-required

Jenis jadwal: Perubahan dipicu

Parameter:

  • tlsPolicies: Policy-Min-TLS-1-2-PFS-2023-10(tidak dapat disesuaikan)

Kontrol ini memeriksa apakah titik akhir domain OpenSearch Layanan Amazon dikonfigurasi untuk menggunakan kebijakan TLS keamanan terbaru. Kontrol gagal jika titik akhir OpenSearch domain tidak dikonfigurasi untuk menggunakan kebijakan terbaru yang didukung atau jika HTTPs tidak diaktifkan.

HTTPS(TLS) dapat digunakan untuk membantu mencegah penyerang potensial menggunakan person-in-the-middle atau serangan serupa untuk menguping atau memanipulasi lalu lintas jaringan. Hanya koneksi terenkripsi over HTTPS (TLS) yang diizinkan. Mengenkripsi data dalam perjalanan dapat memengaruhi kinerja. Anda harus menguji aplikasi Anda dengan fitur ini untuk memahami profil kinerja dan dampaknyaTLS. TLS1.2 menyediakan beberapa peningkatan keamanan dibandingkan versi sebelumnya. TLS

Remediasi

Untuk mengaktifkan TLS enkripsi, gunakan UpdateDomainConfigAPIoperasi. Konfigurasikan DomainEndpointOptionsbidang untuk menentukan nilai untukTLSSecurityPolicy. Untuk informasi selengkapnya, lihat Node-to-node enkripsi di Panduan Pengembang OpenSearch Layanan Amazon.

[Opensearch.9] domain harus ditandai OpenSearch

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::OpenSearch::Domain

AWS Config aturan: tagged-opensearch-domain (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub
requiredTagKeys Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. StringList Daftar tag yang memenuhi AWS persyaratan No default value

Kontrol ini memeriksa apakah domain OpenSearch Layanan Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika domain tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika domain tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat ABACUntuk apa AWS? dalam IAMUser Guide.

catatan

Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS

Remediasi

Untuk menambahkan tag ke domain OpenSearch Layanan, lihat Bekerja dengan tag di Panduan Pengembang OpenSearch Layanan Amazon.

[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru

Persyaratan terkait: NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), .800-53.r5 SI-2 (5), v4.0.1/6.3.3 NIST NIST PCI DSS

Kategori: Identifikasi > Kerentanan, tambalan, dan manajemen versi

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::OpenSearch::Domain

AWS Config aturan: opensearch-update-check

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah domain OpenSearch Layanan Amazon memiliki pembaruan perangkat lunak terbaru yang diinstal. Kontrol gagal jika pembaruan perangkat lunak tersedia tetapi tidak diinstal untuk domain.

OpenSearch Pembaruan perangkat lunak layanan menyediakan perbaikan, pembaruan, dan fitur platform terbaru yang tersedia untuk lingkungan. Menjaga up-to-date instalasi patch membantu menjaga keamanan dan ketersediaan domain. Jika tidak ada tindakan yang diambil pada pembaruan yang diperlukan, perangkat lunak layanan diperbarui secara otomatis (biasanya setelah 2 minggu). Kami merekomendasikan penjadwalan pembaruan selama waktu lalu lintas rendah ke domain untuk meminimalkan gangguan layanan.

Remediasi

Untuk menginstal pembaruan perangkat lunak untuk OpenSearch domain, lihat Memulai pembaruan di Panduan Pengembang OpenSearch Layanan Amazon.

[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus

Persyaratan terkait: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 6, NIST .800-53.r5 SI-13

Kategori: Pulihkan > Ketahanan > Ketersediaan tinggi

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::OpenSearch::Domain

AWS Config aturan: opensearch-primary-node-fault-tolerance

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah domain OpenSearch Layanan Amazon dikonfigurasi dengan setidaknya tiga node utama khusus. Kontrol gagal jika domain memiliki kurang dari tiga node utama khusus.

OpenSearch Layanan menggunakan node primer khusus untuk meningkatkan stabilitas cluster. Node utama khusus melakukan tugas manajemen klaster, tetapi tidak menyimpan data atau menanggapi permintaan unggahan data. Kami menyarankan Anda menggunakan Multi-AZ dengan standby, yang menambahkan tiga node utama khusus untuk setiap domain produksi OpenSearch .

Remediasi

Untuk mengubah jumlah node utama untuk OpenSearch domain, lihat Membuat dan mengelola domain OpenSearch Layanan Amazon di Panduan Pengembang OpenSearch Layanan Amazon.