SEC 1: Quali misure state adottando per controllare l'accesso autorizzato ai dati? ElastiCache SEC 2: Le vostre applicazioni richiedono un'autorizzazione aggiuntiva rispetto ai ElastiCache controlli basati sulla rete? SIC 3: esiste il rischio che i comandi possano essere eseguiti inavvertitamente, causando la perdita di dati o errori nei dati? SEC 4: Come si garantisce la crittografia inattiva dei dati con ElastiCache SEC 5: Come si crittografano i dati in transito? ElastiCache SIC 6: come si limita l'accesso alle risorse del piano di controllo (control-plane)? SIC 7: come si rileva e si risponde agli eventi di sicurezza?

Pilastro della sicurezza delle ElastiCache lenti Amazon Well-Architected

Il pilastro della sicurezza si concentra sulla protezione delle informazioni e dei sistemi. Gli argomenti chiave includono la riservatezza e l'integrità dei dati, l'identificazione e la gestione di chi può fare cosa mediante la gestione basata su privilegi, la protezione dei sistemi e l'istituzione di controlli per rilevare gli eventi di sicurezza.

Argomenti

SEC 1: Quali misure state adottando per controllare l'accesso autorizzato ai dati? ElastiCache
SEC 2: Le vostre applicazioni richiedono un'autorizzazione aggiuntiva rispetto ai ElastiCache controlli basati sulla rete?
SIC 3: esiste il rischio che i comandi possano essere eseguiti inavvertitamente, causando la perdita di dati o errori nei dati?
SEC 4: Come si garantisce la crittografia inattiva dei dati con ElastiCache
SEC 5: Come si crittografano i dati in transito? ElastiCache
SIC 6: come si limita l'accesso alle risorse del piano di controllo (control-plane)?
SIC 7: come si rileva e si risponde agli eventi di sicurezza?

SEC 1: Quali misure state adottando per controllare l'accesso autorizzato ai dati? ElastiCache

Introduzione a livello di domanda: tutti i ElastiCache cluster sono progettati per essere accessibili da istanze di Amazon Elastic Compute Cloud in un VPC, funzioni serverless (AWS Lambda) o contenitori (Amazon Elastic Container Service). Lo scenario più comune consiste nell'accedere a un ElastiCache cluster da un'istanza Amazon Elastic Compute Cloud all'interno dello stesso Amazon Virtual Private Cloud (Amazon Virtual Private Cloud). Prima di poter eseguire la connessione a un cluster da un'istanza Amazon EC2, devi autorizzare l'istanza Amazon EC2 ad accedere al cluster. Per accedere a un ElastiCache cluster in esecuzione in un VPC, è necessario concedere l'accesso alla rete al cluster.

Vantaggio della domanda: l'ingresso della rete nel cluster è controllato tramite i gruppi di sicurezza del VPC. Un gruppo di sicurezza funge da firewall virtuale per le istanze Amazon EC2 per controllare il traffico in entrata e quello in uscita. Le regole in entrata controllano il traffico in entrata verso l'istanza e le regole in uscita controllano il traffico in uscita dall'istanza. Nel caso di ElastiCache, quando si avvia un cluster, è necessario associare un gruppo di sicurezza. In tal modo si garantisce che le regole del traffico in entrata e in uscita siano in atto per tutti i nodi che costituiscono il cluster. Inoltre, ElastiCache è configurato per l'implementazione esclusivamente su sottoreti private in modo che siano accessibili solo tramite la rete privata del VPC.

[Obbligatorio] Il gruppo di sicurezza associato al cluster controlla l'ingresso e l'accesso della rete al cluster. Per impostazione predefinita, un gruppo di sicurezza non ha alcuna regola in entrata definita e, quindi, nessun percorso di ingresso. ElastiCache Per abilitare questa funzionalità, configura una regola in entrata sul gruppo di sicurezza specificando l'indirizzo/intervallo IP di origine, il traffico di tipo TCP e la porta per il ElastiCache cluster (porta predefinita 6379 per (Redis OSS), ad esempio). ElastiCache Sebbene sia possibile consentire un set molto ampio di fonti di ingresso, come tutte le risorse all'interno di un VPC (0.0.0.0/0), si consiglia di essere il più granulari possibile nella definizione delle regole in entrata, ad esempio autorizzando solo l'accesso in entrata ai client Redis OSS in esecuzione su istanze Amazon Amazon EC2 associate a un gruppo di sicurezza specifico.

[Risorse]:
[Obbligatorio] è possibile assegnare politiche a funzioni che consentono loro di accedere ai dati.AWS Identity and Access Management AWS Lambda ElastiCache Per abilitare questa funzionalità, crea un ruolo di esecuzione IAM con l'AWSLambdaVPCAccessExecutionRoleautorizzazione, quindi assegna il ruolo alla AWS Lambda funzione.

[Risorse]: Configurazione di una funzione Lambda per accedere ad Amazon in un ElastiCache Amazon VPC: Tutorial: Configurazione di una funzione Lambda per accedere ad Amazon in un Amazon VPC ElastiCache

SEC 2: Le vostre applicazioni richiedono un'autorizzazione aggiuntiva rispetto ai ElastiCache controlli basati sulla rete?

Introduzione a livello di domanda: negli scenari in cui è necessario limitare o controllare l'accesso ai cluster ElastiCache (Redis OSS) a livello di singolo client, si consiglia di effettuare l'autenticazione tramite il comando AUTH (Redis OSS). ElastiCache ElastiCache I token di autenticazione (Redis OSS), con gestione opzionale di utenti e gruppi di utenti, consentono ElastiCache (Redis OSS) di richiedere una password prima di consentire ai client di eseguire comandi e chiavi di accesso, migliorando così la sicurezza del piano dati.

Vantaggio a livello di domanda: per contribuire a proteggere i dati, ElastiCache (Redis OSS) fornisce meccanismi di protezione contro l'accesso non autorizzato ai dati. Ciò include l'applicazione del Role-Based Access Control (RBAC) AUTH o del token AUTH (password) a cui i client devono connettersi prima di eseguire comandi autorizzati. ElastiCache

[Ideale] Per ElastiCache (Redis OSS) 6.x e versioni successive, definisci i controlli di autenticazione e autorizzazione definendo gruppi di utenti, utenti e stringhe di accesso. Assegna gli utenti ai gruppi di utenti, quindi assegna i gruppi di utenti ai cluster. Per utilizzare il RBAC, è necessario selezionarlo al momento della creazione del cluster e abilitare la crittografia in transito. Assicurati di utilizzare un client Redis OSS che supporti TLS per poter sfruttare RBAC.

[Risorse]:
[Ideale] Per le versioni ElastiCache (Redis OSS) precedenti alla 6.x, oltre a impostare token/password complessi e mantenere una politica rigorosa in materia di password per ElastiCache (Redis OSS) AUTH, è consigliabile ruotare la password/il token. ElastiCache può gestire fino a due (2) token di autenticazione alla volta. Puoi anche modificare il cluster per richiedere esplicitamente l'uso di token di autenticazione.

[Risorse]: modifica del token AUTH su un cluster esistente ElastiCache (Redis OSS)

SIC 3: esiste il rischio che i comandi possano essere eseguiti inavvertitamente, causando la perdita di dati o errori nei dati?

Introduzione a livello di domanda: esistono diversi comandi Redis OSS che possono avere un impatto negativo sulle operazioni se eseguiti per errore o da attori malintenzionati. Questi comandi possono avere conseguenze impreviste dal punto di vista delle prestazioni e della sicurezza dei dati. Ad esempio, uno sviluppatore che esegue regolarmente il comando FLUSHALL in un ambiente di sviluppo potrebbe per errore chiamare inavvertitamente questo comando in un sistema di produzione, con conseguente perdita accidentale di dati.

Vantaggio a livello di domanda: a partire da ElastiCache (Redis OSS) 5.0.3, è possibile rinominare determinati comandi che potrebbero compromettere il carico di lavoro. La ridenominazione dei comandi può aiutare a evitare che vengano eseguiti inavvertitamente sul cluster.

[Obbligatorio]

[Risorse]:

SEC 4: Come si garantisce la crittografia inattiva dei dati con ElastiCache

Introduzione a livello di domanda: Sebbene ElastiCache (Redis OSS) sia un archivio dati in memoria, è possibile crittografare qualsiasi dato che possa essere reso persistente (in archiviazione) come parte delle operazioni standard del cluster. Ad esempio i backup pianificati e manuali scritti su Amazon S3, nonché i dati salvati nello spazio di archiviazione su disco a seguito di operazioni di sincronizzazione e scambio. I tipi di istanza delle famiglie M6g e R6g offrono anche la crittografia in memoria sempre attiva.

Vantaggio a livello di domanda: ElastiCache (Redis OSS) offre una crittografia opzionale a riposo per aumentare la sicurezza dei dati.

[Obbligatorio] La crittografia a riposo può essere abilitata su un ElastiCache cluster (gruppo di replica) solo al momento della creazione. Un cluster esistente non può essere modificato per iniziare a crittografare i dati a riposo. Per impostazione predefinita, ElastiCache fornirà e gestirà le chiavi utilizzate nella crittografia at-rest.

[Risorse]:
- Condizioni di crittografia dei dati inattivi
- Abilitazione della crittografia dei dati inattivi
[Best practice] Utilizza i tipi di istanza Amazon EC2 che crittografano i dati mentre sono in memoria (come M6g o R6g). Ove possibile, valuta la possibilità di gestire le chiavi per la crittografia a riposo. Per ambienti di sicurezza dei dati più rigorosi, è possibile utilizzare AWS Key Management Service (KMS) per gestire automaticamente le Customer Master Keys (CMK). Grazie ElastiCache all'integrazione con AWS Key Management Service, puoi creare, possedere e gestire le chiavi utilizzate per la crittografia dei dati inattivi per il tuo cluster ElastiCache (Redis OSS).

[Risorse]:

SEC 5: Come si crittografano i dati in transito? ElastiCache

Introduzione della domanda: è un requisito comune per evitare che i dati vengano compromessi durante il transito. Rappresenta i dati all'interno dei componenti di un sistema distribuito, nonché tra i client delle applicazioni e i nodi del cluster. ElastiCache (Redis OSS) supporta questo requisito consentendo la crittografia dei dati in transito tra client e cluster e tra i nodi del cluster stessi. I tipi di istanza delle famiglie M6g e R6g offrono anche la crittografia in memoria sempre attiva.

Vantaggio a livello di domanda: la crittografia ElastiCache in transito di Amazon è una funzionalità opzionale che consente di aumentare la sicurezza dei dati nei punti più vulnerabili, quando sono in transito da una posizione all'altra.

[Obbligatorio] La crittografia in transito può essere abilitata solo su un cluster ElastiCache (Redis OSS) (gruppo di replica) al momento della creazione. Tieni presente che, a causa dell'elaborazione aggiuntiva richiesta per la crittografia/decrittografia dei dati, l'implementazione della crittografia in transito avrà un certo impatto sulle prestazioni. Per comprenderne l'impatto, si consiglia di eseguire un benchmark del carico di lavoro prima e dopo l'attivazione. encryption-in-transit

[Risorse]:
- Panoramica della crittografia dei dati in transito

SIC 6: come si limita l'accesso alle risorse del piano di controllo (control-plane)?

Introduzione a livello di domanda: le policy IAM e l'ARN consentono controlli granulari degli accessi per ElastiCache (Redis OSS), consentendo un controllo più rigoroso per gestire la creazione, la modifica e l'eliminazione dei cluster (Redis OSS). ElastiCache

Vantaggio a livello di domanda: la gestione ElastiCache delle risorse Amazon, come gruppi di replica, nodi, ecc., può essere limitata agli AWS account che dispongono di autorizzazioni specifiche basate sulle politiche IAM, migliorando la sicurezza e l'affidabilità delle risorse.

[Obbligatorio] Gestisci l'accesso alle ElastiCache risorse di Amazon assegnando AWS Identity and Access Management policy specifiche agli AWS utenti, permettendo un controllo più preciso su quali account possono eseguire quali azioni sui cluster.

[Risorse]:
- Panoramica della gestione delle autorizzazioni di accesso alle tue risorse ElastiCache
- Utilizzo di politiche basate sull'identità (politiche IAM) per Amazon ElastiCache

SIC 7: come si rileva e si risponde agli eventi di sicurezza?

Introduzione a livello di domanda:ElastiCache, se distribuito con RBAC abilitato, esporta CloudWatch i parametri per notificare agli utenti gli eventi di sicurezza. Queste metriche aiutano a identificare i tentativi di autenticazione non riusciti, le chiavi di accesso o l'esecuzione di comandi per i quali la connessione degli utenti con il RBAC non è autorizzata.

Inoltre, le risorse relative a AWS prodotti e servizi aiutano a proteggere il carico di lavoro complessivo automatizzando le implementazioni e registrando tutte le azioni e le modifiche per una successiva revisione o verifica.

Vantaggio della domanda: monitorando gli eventi, consenti all'organizzazione di rispondere in base a requisiti, policy e procedure. L'automazione del monitoraggio e delle risposte a questi eventi rafforza il livello generale di sicurezza.

[Obbligatorio] Acquisisci familiarità con le CloudWatch metriche pubblicate relative agli errori di autenticazione e autorizzazione RBAC.
- AuthenticationFailures = Tentativi falliti di autenticazione su Redis OSS
- KeyAuthorizationFailures = Tentativi falliti da parte degli utenti di accedere alle chiavi senza autorizzazione
- CommandAuthorizationFailures = Tentativi falliti da parte degli utenti di eseguire comandi senza autorizzazione
[Risorse]:
- Metriche per Redis OSS
[Best practice] Ti consigliamo di configurare avvisi e notifiche su queste metriche e rispondere se necessario.

[Risorse]:
- Utilizzo degli CloudWatch allarmi Amazon
[Ottimale] Usa il comando Redis OSS ACL LOG per raccogliere ulteriori dettagli

[Risorse]:
- ACL LOG
[Migliore] Acquisisci familiarità con le funzionalità dei AWS prodotti e dei servizi per quanto riguarda il monitoraggio, la registrazione e l'analisi delle implementazioni e degli eventi ElastiCache

[Risorse]:

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Pilastro dell'eccellenza operativa

Principio dell'affidabilità