Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
ElastiCache Controlli Amazon
Questi controlli sono correlati alle ElastiCache risorse.
Questi controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.
[ElastiCache.1] I cluster ElastiCache Redis dovrebbero avere il backup automatico abilitato
Requisiti correlati: NIST .800-53.r5 CP-10, .800-53.r5 CP-6, NIST .800-53.r5 CP-6 (1), NIST .800-53.r5 CP-6 (2), .800-53.r5 CP-9, .800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, NIST .800-53.r5 SI-13 (5) NIST NIST NIST
Categoria: Recupero > Resilienza > Backup abilitati
Gravità: alta
Tipo di risorsa: AWS::ElastiCache::CacheCluster
AWS Config regola: elasticache-redis-cluster-automatic-backup-check
Tipo di pianificazione: periodica
Parametri:
| Parametro | Descrizione | Type | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
|
|
Periodo minimo di conservazione delle istantanee in giorni |
Numero intero |
|
|
Questo controllo valuta se un cluster Amazon ElastiCache (RedisOSS) ha pianificato backup automatici. Il controllo fallisce se il periodo di SnapshotRetentionLimit tempo per il cluster Redis è inferiore al periodo di tempo specificato. A meno che non si fornisca un valore di parametro personalizzato per il periodo di conservazione delle istantanee, Security Hub utilizza un valore predefinito di 1 giorno.
I cluster Amazon ElastiCache (RedisOSS) possono eseguire il backup dei propri dati. Il backup può essere utilizzato per ripristinare un cluster o dare fonte a un nuovo cluster. Il backup è costituito dai metadati del cluster, insieme a tutti i dati nel cluster. Tutti i backup vengono scritti su Amazon Simple Storage Service (Amazon S3), che fornisce uno storage durevole. Puoi ripristinare i dati creando un nuovo cluster Redis e popolandolo con i dati di un backup. È possibile gestire i backup utilizzando il AWS Management Console, il AWS Command Line Interface (AWS CLI) e il. ElastiCache API
Correzione
Per pianificare backup automatici su un cluster ElastiCache (RedisOSS), consulta la sezione Pianificazione dei backup automatici nella Amazon User Guide. ElastiCache
[ElastiCache.2] ElastiCache (RedisOSS) i cluster di cache dovrebbero avere l'aggiornamento automatico della versione secondaria abilitato
Requisiti correlati: NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), .800-53.r5 SI-2 (5) NIST NIST
Categoria: Identificazione > Gestione di vulnerabilità, patch e versioni
Gravità: alta
Tipo di risorsa: AWS::ElastiCache::CacheCluster
Regola AWS Config : elasticache-auto-minor-version-upgrade-check
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo valuta se ElastiCache (RedisOSS) applica automaticamente gli aggiornamenti di versione minori ai cluster di cache. Questo controllo ha esito negativo se ai cluster di cache ElastiCache (RedisOSS) non vengono applicati automaticamente aggiornamenti di versione minori.
AutoMinorVersionUpgradeè una funzionalità che puoi attivare in ElastiCache (RedisOSS) per aggiornare automaticamente i cluster di cache quando è disponibile una nuova versione del motore di cache secondario. Questi aggiornamenti potrebbero includere patch di sicurezza e correzioni di bug. Continuare up-to-date a installare le patch è un passo importante per proteggere i sistemi.
Correzione
Per applicare aggiornamenti automatici delle versioni secondarie a un cluster di cache esistente ElastiCache (RedisOSS), consulta Upgrading engine versions nella Amazon User Guide. ElastiCache
[ElastiCache.3] I gruppi di replica ElastiCache (RedisOSS) devono avere il failover automatico abilitato
Requisiti correlati: NIST .800-53.r5 CP-10, .800-53.r5 SC-36, .800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5) NIST NIST
Categoria: Recupero > Resilienza > Alta disponibilità
Gravità: media
Tipo di risorsa: AWS::ElastiCache::ReplicationGroup
Regola AWS Config : elasticache-repl-grp-auto-failover-enabled
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se i gruppi di replica ElastiCache (RedisOSS) hanno il failover automatico abilitato. Questo controllo ha esito negativo se il failover automatico non è abilitato per un gruppo di replica Redis.
Quando il failover automatico è abilitato per un gruppo di replica, il ruolo del nodo primario eseguirà automaticamente il failover su una delle repliche di lettura. Questa promozione del failover e della replica consente di riprendere la scrittura sul nuovo sistema primario una volta completata la promozione, riducendo così i tempi di inattività complessivi in caso di guasto.
Correzione
Per abilitare il failover automatico per un gruppo di replica esistente ElastiCache (RedisOSS), consulta Modifying an cluster ElastiCache nella Amazon User Guide. ElastiCache Se usi la ElastiCache console, imposta il failover automatico su abilitato.
[ElastiCache.4] I gruppi di replica ElastiCache (RedisOSS) devono essere crittografati quando sono inattivi
Requisiti correlati: NIST .800-53.r5 CA-9 (1), NIST .800-53.r5 CM-3 (6), .800-53.r5 SC-13, .800-53.r5 SC-28, NIST .800-53.r5 SC-28 (1), NIST .800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6) NIST NIST
Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest
Gravità: media
Tipo di risorsa: AWS::ElastiCache::ReplicationGroup
Regola AWS Config : elasticache-repl-grp-encrypted-at-rest
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se i gruppi di replica ElastiCache (RedisOSS) sono crittografati quando sono inattivi. Questo controllo ha esito negativo se un gruppo di replica ElastiCache (RedisOSS) non è crittografato a riposo.
La crittografia dei dati inattivi riduce il rischio che un utente non autenticato acceda ai dati archiviati su disco. ElastiCache I gruppi di replica (RedisOSS) devono essere crittografati quando sono inattivi per un ulteriore livello di sicurezza.
Correzione
Per configurare la crittografia a riposo su un gruppo di replica ElastiCache (RedisOSS), consulta Enabling at-rest encryption nella Amazon User Guide. ElastiCache
[ElastiCache.5] I gruppi di replica ElastiCache (RedisOSS) devono essere crittografati in transito
Requisiti correlati: NIST .800-53.r5 AC-17 (2), .800-53.r5 AC-4, .800-53.r5 IA-5 (1), NIST .800-53.r5 SC-12 (3), NIST .800-53.r5 SC-13, .800-53.r5 SC-23, .800-53.r5 SC-23 (3), NIST .800-53.r5 SC-7 (4), .800-53.r5 SC-7 (4), NIST .800-53.r5 SC-7 (4), .800-53.r5. -53,5 SC-8, NIST .800-53.r5 SC-8 (1), NIST .800-53.r5 SC-8 (2), .800-53.r5 SI-7 (6) NIST NIST NIST NIST NIST
Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit
Gravità: media
Tipo di risorsa: AWS::ElastiCache::ReplicationGroup
Regola AWS Config : elasticache-repl-grp-encrypted-in-transit
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se i gruppi di replica ElastiCache (RedisOSS) sono crittografati in transito. Questo controllo ha esito negativo se un gruppo di replica ElastiCache (RedisOSS) non è crittografato in transito.
La crittografia dei dati in transito riduce il rischio che un utente non autorizzato possa intercettare il traffico di rete. L'attivazione della crittografia in transito su un gruppo di replica ElastiCache (RedisOSS) crittografa i dati ogni volta che vengono spostati da una posizione all'altra, ad esempio tra i nodi del cluster o tra il cluster e l'applicazione.
Correzione
Per configurare la crittografia in transito su un gruppo di replica ElastiCache (RedisOSS), consulta Enabling in-transit encryption nella Amazon User Guide. ElastiCache
[ElastiCache.6] I gruppi di replica ElastiCache (RedisOSS) precedenti alla versione 6.0 devono utilizzare Redis AUTH
Requisiti correlati: NIST .800-53.r5 AC-2 (1), .800-53.r5 AC-3, .800-53.r5 AC-3 (15), NIST .800-53.r5 AC-3 (7), .800-53.r5 AC-6 NIST NIST NIST
Categoria: Protezione > Gestione degli accessi sicuri
Gravità: media
Tipo di risorsa: AWS::ElastiCache::ReplicationGroup
Regola AWS Config : elasticache-repl-grp-redis-auth-enabled
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se i gruppi di replica ElastiCache (RedisOSS) hanno Redis abilitato. AUTH Il controllo ha esito negativo per un gruppo di replica ElastiCache (RedisOSS) se la versione Redis dei relativi nodi è inferiore alla 6.0 e non è in uso. AuthToken
Quando utilizzi token di autenticazione o password Redis, Redis richiede una password prima di consentire ai client di eseguire i comandi, il che migliora la sicurezza dei dati. Per Redis 6.0 e versioni successive, consigliamo di utilizzare Role-Based Access Control (). RBAC Poiché non RBAC è supportato per le versioni Redis precedenti alla 6.0, questo controllo valuta solo le versioni che non possono utilizzare la funzionalità. RBAC
Correzione
Per utilizzare Redis AUTH su un gruppo di replica ElastiCache (RedisOSS), consulta Modifica del AUTH token su un OSS cluster ElastiCache (Redis) esistente nella Amazon User Guide. ElastiCache
[ElastiCache.7] i ElastiCache cluster non devono utilizzare il gruppo di sottoreti predefinito
Requisiti correlati: NIST .800-53.r5 AC-4, NIST .800-53.r5 AC-4 (21), .800-53.r5 SC-7, NIST .800-53.r5 SC-7 (11), .800-53.r5 SC-7 (16), NIST .800-53.r5 SC-7 (21), NIST .800-53.r5 SC-7 (4), .800-53.r5 SC-7 (5) NIST NIST NIST
Categoria: Protezione > Configurazione di rete protetta
Gravità: alta
Tipo di risorsa: AWS::ElastiCache::CacheCluster
Regola AWS Config : elasticache-subnet-group-check
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se ElastiCache i cluster sono configurati con un gruppo di sottoreti personalizzato. Il controllo ha esito negativo per un ElastiCache cluster se CacheSubnetGroupName ha il valore. default
Quando si avvia un ElastiCache cluster, viene creato un gruppo di sottoreti predefinito se non ne esiste già uno. Il gruppo predefinito utilizza le sottoreti del Virtual Private Cloud predefinito (). VPC Si consiglia di utilizzare gruppi di sottoreti personalizzati che limitino le sottoreti in cui risiede il cluster e la rete che il cluster eredita dalle sottoreti.
Correzione
Per creare un nuovo gruppo di sottoreti per un ElastiCache cluster, consulta la sezione Creazione di un gruppo di sottoreti nella Amazon ElastiCache User Guide.
