Security Hub per Elasticsearch - AWS Security Hub
[ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata[ES.2] I domini Elasticsearch non devono essere accessibili al pubblico[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch [ES.5] I domini Elasticsearch devono avere la registrazione di controllo abilitata[ES.6] I domini Elasticsearch devono avere almeno tre nodi di dati[ES.7] I domini Elasticsearch devono essere configurati con almeno tre nodi master dedicati[ES.8] Le connessioni ai domini Elasticsearch devono essere crittografate utilizzando la politica di sicurezza più recente TLS[ES.9] I domini Elasticsearch devono essere etichettati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Security Hub per Elasticsearch

Questi AWS Security Hub controlli valutano il servizio e le risorse Elasticsearch.

Questi controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.

[ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata

Requisiti correlati: PCI DSS v3.2.1/3.4, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), .800-53.r5 SI-7 ( NIST.800-53.r5 SC-26) NIST.800-53.r5 SC-7 NIST

Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest

Gravità: media

Tipo di risorsa: AWS::Elasticsearch::Domain

Regola AWS Config : elasticsearch-encrypted-at-rest

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se nei domini Elasticsearch è abilitata la configurazione Encryption at Rest. Il controllo non riesce se la crittografia dei dati inattivi non è abilitata.

Per un ulteriore livello di sicurezza per i tuoi dati sensibili OpenSearch, dovresti configurarli in modo che vengano crittografati quando sono inattivi. OpenSearch I domini Elasticsearch offrono la crittografia dei dati archiviati. La funzionalità consente di AWS KMS archiviare e gestire le chiavi di crittografia. Per eseguire la crittografia, utilizza l'algoritmo Advanced Encryption Standard con chiavi a 256 bit (AES-256).

Per ulteriori informazioni sulla OpenSearch crittografia a riposo, consulta Encryption of data at rest for Amazon OpenSearch Service nella Amazon OpenSearch Service Developer Guide.

Alcuni tipi di istanze, come t.small et.medium, non supportano la crittografia dei dati inattivi. Per i dettagli, consulta Tipi di istanze supportati nella Amazon OpenSearch Service Developer Guide.

Correzione

Per abilitare la crittografia a riposo per i domini Elasticsearch nuovi ed esistenti, consulta Enabling encryption of data at rest nella Amazon OpenSearch Service Developer Guide.

[ES.2] I domini Elasticsearch non devono essere accessibili al pubblico

Requisiti correlati: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21),,, (11), (16), (20), (21) NIST.800-53.r5 AC-3, (3), (4) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (9) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoria: Protezione > Configurazione di rete sicura > Risorse interne VPC

Severità: critica

Tipo di risorsa: AWS::Elasticsearch::Domain

Regola AWS Config : elasticsearch-in-vpc-only

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se i domini Elasticsearch si trovano in un. VPC Non valuta la configurazione del routing della VPC sottorete per determinare l'accesso pubblico. È necessario assicurarsi che i domini Elasticsearch non siano collegati a sottoreti pubbliche. Consulta le politiche basate sulle risorse nella Amazon OpenSearch Service Developer Guide. Dovresti inoltre assicurarti che il tuo VPC sia configurato secondo le migliori pratiche consigliate. Consulta le migliori pratiche di sicurezza per te VPC nella Amazon VPC User Guide.

I domini Elasticsearch distribuiti all'interno di un VPC possono comunicare con VPC le risorse sulla AWS rete privata, senza la necessità di attraversare la rete Internet pubblica. Questa configurazione aumenta il livello di sicurezza limitando l'accesso ai dati in transito. VPCsforniscono una serie di controlli di rete per proteggere l'accesso ai domini Elasticsearch, inclusi i gruppi di rete e di sicurezza. ACL Security Hub consiglia di migrare i domini Elasticsearch pubblici VPCs per sfruttare questi controlli.

Correzione

Se crei un dominio con un endpoint pubblico, non puoi inserirlo successivamente all'interno di un. VPC Devi invece creare un nuovo dominio ed eseguire la migrazione dei dati. È vero anche il contrario. Se crei un dominio all'interno di unVPC, non può avere un endpoint pubblico. È invece necessario creare un altro dominio o disabilitare questo controllo.

Consulta Launching your Amazon OpenSearch Service Domains all'interno di una VPC pagina della Amazon OpenSearch Service Developer Guide.

[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi

Requisiti correlati: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8

Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit

Gravità: media

Tipo di risorsa: AWS::Elasticsearch::Domain

Regola AWS Config : elasticsearch-node-to-node-encryption-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un dominio Elasticsearch ha node-to-node la crittografia abilitata. Il controllo ha esito negativo se il dominio Elasticsearch non ha la crittografia abilitata. node-to-node Il controllo produce risultati non riusciti anche se una versione di Elasticsearch non supporta i controlli di crittografia. node-to-node

HTTPS(TLS) può essere utilizzato per impedire a potenziali aggressori di intercettare o manipolare il traffico di rete utilizzando attacchi simili. person-in-the-middle Dovrebbero essere consentite solo le connessioni crittografate su (). HTTPS TLS L'abilitazione della node-to-node crittografia per i domini Elasticsearch garantisce che le comunicazioni all'interno del cluster siano crittografate in transito.

Questa configurazione può comportare un calo delle prestazioni. È necessario conoscere e testare il compromesso in termini di prestazioni prima di attivare questa opzione.

Correzione

Per informazioni sull'attivazione della node-to-node crittografia su domini nuovi ed esistenti, consulta node-to-nodeEnabling encryption nella Amazon OpenSearch Service Developer Guide.

[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch

Requisiti correlati: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), .800-53.r5 SI-7 (8) NIST NIST

Categoria: Identificazione - Registrazione

Gravità: media

Tipo di risorsa: AWS::Elasticsearch::Domain

Regola AWS Config : elasticsearch-logs-to-cloudwatch

Tipo di pianificazione: modifica attivata

Parametri:

  • logtype = 'error'(non personalizzabile)

Questo controllo verifica se i domini Elasticsearch sono configurati per inviare log di errori a Logs. CloudWatch

È necessario abilitare i log degli errori per i domini Elasticsearch e inviarli a Logs per la conservazione e la risposta. CloudWatch I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità.

Correzione

Per informazioni su come abilitare la pubblicazione dei log, consulta Enabling log publishing (console) nella Amazon OpenSearch Service Developer Guide.

[ES.5] I domini Elasticsearch devono avere la registrazione di controllo abilitata

Requisiti correlati: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), .800-53.r5 SI-7 (8) NIST NIST

Categoria: Identificazione > Registrazione

Gravità: media

Tipo di risorsa: AWS::Elasticsearch::Domain

AWS Config regola: elasticsearch-audit-logging-enabled (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

  • cloudWatchLogsLogGroupArnList(non personalizzabile). Security Hub non inserisce questo parametro. Elenco separato da virgole di gruppi di CloudWatch log che devono essere configurati per i log di controllo.

    Questa regola si applica NON_COMPLIANT se il gruppo di log CloudWatch Logs del dominio Elasticsearch non è specificato in questo elenco di parametri.

Questo controllo verifica se i domini Elasticsearch hanno la registrazione di controllo abilitata. Questo controllo ha esito negativo se un dominio Elasticsearch non ha la registrazione di controllo abilitata.

I log di controllo sono altamente personalizzabili. Ti consentono di tenere traccia delle attività degli utenti sui tuoi cluster Elasticsearch, inclusi i successi e gli errori di autenticazione, le richieste, le modifiche all' OpenSearchindice e le query di ricerca in arrivo.

Correzione

Per istruzioni dettagliate sull'abilitazione dei log di controllo, consulta Enabling audit logs nella Amazon OpenSearch Service Developer Guide.

[ES.6] I domini Elasticsearch devono avere almeno tre nodi di dati

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoria: Recupero > Resilienza > Alta disponibilità

Gravità: media

Tipo di risorsa: AWS::Elasticsearch::Domain

AWS Config regola: elasticsearch-data-node-fault-tolerance (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se i domini Elasticsearch sono configurati con almeno tre nodi di dati e lo è. zoneAwarenessEnabled true

Un dominio Elasticsearch richiede almeno tre nodi di dati per un'elevata disponibilità e tolleranza agli errori. L'implementazione di un dominio Elasticsearch con almeno tre nodi di dati garantisce le operazioni del cluster in caso di guasto di un nodo.

Correzione

Per modificare il numero di nodi di dati in un dominio Elasticsearch

  1. Apri la console Amazon OpenSearch Service all'indirizzo https://console.aws.amazon.com/aos/.

  2. In Domini, scegli il nome del dominio che desideri modificare.

  3. Scegli Modifica dominio.

  4. In Nodi di dati, imposta Numero di nodi su un numero maggiore o uguale a3.

    Per tre implementazioni con zone di disponibilità, imposta un multiplo di tre per garantire una distribuzione equa tra le zone di disponibilità.

  5. Scegli Invia.

[ES.7] I domini Elasticsearch devono essere configurati con almeno tre nodi master dedicati

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoria: Recupero > Resilienza > Alta disponibilità

Gravità: media

Tipo di risorsa: AWS::Elasticsearch::Domain

AWS Config regola: elasticsearch-primary-node-fault-tolerance (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se i domini Elasticsearch sono configurati con almeno tre nodi primari dedicati. Questo controllo ha esito negativo se il dominio non utilizza nodi primari dedicati. Questo controllo viene eseguito se i domini Elasticsearch hanno cinque nodi primari dedicati. Tuttavia, l'utilizzo di più di tre nodi primari potrebbe non essere necessario per mitigare il rischio di disponibilità e comportare costi aggiuntivi.

Un dominio Elasticsearch richiede almeno tre nodi primari dedicati per l'elevata disponibilità e la tolleranza agli errori. Le risorse dedicate dei nodi primari possono essere esaurite durante le implementazioni blu/verdi dei nodi dati perché ci sono nodi aggiuntivi da gestire. L'implementazione di un dominio Elasticsearch con almeno tre nodi primari dedicati garantisce una capacità sufficiente delle risorse del nodo primario e le operazioni del cluster in caso di guasto di un nodo.

Correzione

Per modificare il numero di nodi primari dedicati in un dominio OpenSearch

  1. Apri la console Amazon OpenSearch Service all'indirizzo https://console.aws.amazon.com/aos/.

  2. In Domini, scegli il nome del dominio che desideri modificare.

  3. Scegli Modifica dominio.

  4. In Nodi master dedicati, imposta il tipo di istanza sul tipo di istanza desiderato.

  5. Imposta il numero di nodi master pari o superiore a tre.

  6. Scegli Invia.

[ES.8] Le connessioni ai domini Elasticsearch devono essere crittografate utilizzando la politica di sicurezza più recente TLS

Requisiti correlati: NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)

Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit

Gravità: media

Tipo di risorsa: AWS::Elasticsearch::Domain

AWS Config regola: elasticsearch-https-required (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un endpoint del dominio Elasticsearch è configurato per utilizzare la politica di sicurezza più recente. TLS Il controllo fallisce se l'endpoint del dominio Elasticsearch non è configurato per utilizzare l'ultima politica supportata o se non è abilitato. HTTPs L'ultima politica di TLS sicurezza attualmente supportata è. Policy-Min-TLS-1-2-PFS-2023-10

HTTPS(TLS) può essere utilizzato per impedire a potenziali aggressori di utilizzare person-in-the-middle o attacchi simili per intercettare o manipolare il traffico di rete. Dovrebbero essere consentite solo le connessioni crittografate su HTTPS (). TLS La crittografia dei dati in transito può influire sulle prestazioni. È consigliabile testare l'applicazione con questa funzionalità per comprendere il profilo delle prestazioni e l'impatto diTLS. TLS1.2 offre diversi miglioramenti della sicurezza rispetto alle versioni precedenti di. TLS

Correzione

Per abilitare la TLS crittografia, utilizzare UpdateDomainConfigAPIoperazione per configurare DomainEndpointOptionsoggetto. Questo imposta ilTLSSecurityPolicy.

[ES.9] I domini Elasticsearch devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::Elasticsearch::Domain

AWS Config regola: tagged-elasticsearch-domain (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Descrizione Tipo Valori personalizzati consentiti Valore predefinito di Security Hub
requiredTagKeys Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. StringList Elenco di tag che soddisfano i requisiti AWS No default value

Questo controllo verifica se un dominio Elasticsearch ha tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se il dominio non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il dominio non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e alle risorse. AWS È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS

Correzione

Per aggiungere tag a un dominio Elasticsearch, consulta Working with tags nella Amazon OpenSearch Service Developer Guide.