Controlli del Security Hub per OpenSearch Service - AWS Security Hub
I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitataI OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblicoI OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodiLa registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitataI OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di datiI OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato[Opensearch.8] Le connessioni ai domini devono essere crittografate utilizzando la politica di OpenSearch sicurezza più recente TLSI OpenSearch domini [Opensearch.9] devono essere etichettatiNei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento softwareI OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlli del Security Hub per OpenSearch Service

Questi AWS Security Hub controlli valutano il OpenSearch servizio e le risorse di Amazon OpenSearch Service (Service).

Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.

I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata

Requisiti correlati: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, v3.2.1/7.2.1, (1), 3, 8, 8 (1), .800-53.r5 SI-7 PCI DSS (6) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST

Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest

Gravità: media

Tipo di risorsa: AWS::OpenSearch::Domain

Regola AWS Config : opensearch-encrypted-at-rest

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se la encryption-at-rest configurazione dei OpenSearch domini è abilitata. Il controllo non riesce se la crittografia dei dati inattivi non è abilitata.

Per un ulteriore livello di sicurezza per i dati sensibili, è necessario configurare il dominio di OpenSearch servizio in modo che venga crittografato quando è inattivo. Quando configuri la crittografia dei dati inattivi, AWS KMS archivia e gestisce le chiavi di crittografia. Per eseguire la crittografia, AWS KMS utilizza l'algoritmo Advanced Encryption Standard con chiavi a 256 bit (AES-256).

Per ulteriori informazioni sulla crittografia dei OpenSearch servizi a riposo, consulta Encryption of data at rest for Amazon OpenSearch Service nella Amazon OpenSearch Service Developer Guide.

Correzione

Per abilitare la crittografia a riposo per OpenSearch domini nuovi ed esistenti, consulta Enabling encryption of data at rest nella Amazon OpenSearch Service Developer Guide.

I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico

Requisiti correlati: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21),,, (11), (16), (20), (21) NIST.800-53.r5 AC-3, (3), (4) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (9) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoria: Protezione > Configurazione di rete sicura > Risorse interne VPC

Severità: critica

Tipo di risorsa: AWS::OpenSearch::Domain

Regola AWS Config : opensearch-in-vpc-only

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se i OpenSearch domini si trovano in un. VPC Non valuta la configurazione del routing della VPC sottorete per determinare l'accesso pubblico.

È necessario assicurarsi che i OpenSearch domini non siano collegati a sottoreti pubbliche. Consulta le politiche basate sulle risorse nella Amazon OpenSearch Service Developer Guide. Dovresti inoltre assicurarti che il tuo VPC sia configurato secondo le migliori pratiche consigliate. Consulta le migliori pratiche di sicurezza per te VPC nella Amazon VPC User Guide.

OpenSearch i domini distribuiti all'interno di un VPC possono comunicare con VPC le risorse sulla AWS rete privata, senza la necessità di attraversare la rete Internet pubblica. Questa configurazione aumenta il livello di sicurezza limitando l'accesso ai dati in transito. VPCsforniscono una serie di controlli di rete per proteggere l'accesso ai OpenSearch domini, inclusi i gruppi di rete ACL e di sicurezza. Security Hub consiglia di migrare OpenSearch i domini pubblici VPCs per sfruttare questi controlli.

Correzione

Se si crea un dominio con un endpoint pubblico, non è possibile inserirlo successivamente all'interno di un. VPC Devi invece creare un nuovo dominio ed eseguire la migrazione dei dati. È vero anche il contrario. Se crei un dominio all'interno di unVPC, non può avere un endpoint pubblico. È invece necessario creare un altro dominio o disabilitare questo controllo.

Per istruzioni, consulta Launching your Amazon OpenSearch Service Domains all'interno di una VPC pagina della Amazon OpenSearch Service Developer Guide.

I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi

Requisiti correlati: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8

Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit

Gravità: media

Tipo di risorsa: AWS::OpenSearch::Domain

Regola AWS Config : opensearch-node-to-node-encryption-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se i OpenSearch domini hanno la node-to-node crittografia abilitata. Questo controllo ha esito negativo se node-to-node la crittografia è disabilitata nel dominio.

HTTPS(TLS) può essere utilizzato per impedire a potenziali aggressori di intercettare o manipolare il traffico di rete utilizzando attacchi simili. person-in-the-middle Dovrebbero essere consentite solo le connessioni crittografate su (). HTTPS TLS L'abilitazione della node-to-node crittografia per i OpenSearch domini garantisce che le comunicazioni all'interno del cluster siano crittografate durante il transito.

Questa configurazione può comportare un calo delle prestazioni. È necessario conoscere e testare il compromesso in termini di prestazioni prima di attivare questa opzione.

Correzione

Per abilitare node-to-node la crittografia su un OpenSearch dominio, consulta node-to-node Enabling encryption nella Amazon OpenSearch Service Developer Guide.

La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch

Requisiti correlati: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), .800-53.r5 SI-7 (8) NIST NIST

Categoria: Identificazione > Registrazione

Gravità: media

Tipo di risorsa: AWS::OpenSearch::Domain

Regola AWS Config : opensearch-logs-to-cloudwatch

Tipo di pianificazione: modifica attivata

Parametri:

  • logtype = 'error'(non personalizzabile)

Questo controllo verifica se i OpenSearch domini sono configurati per inviare i log degli errori ai CloudWatch registri. Questo controllo ha esito negativo se la registrazione degli errori non CloudWatch è abilitata per un dominio.

È necessario abilitare i log degli errori per i OpenSearch domini e inviarli a Logs per la conservazione e la CloudWatch risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità.

Correzione

Per abilitare la pubblicazione dei log, consulta Enabling log publishing (console) nella Amazon OpenSearch Service Developer Guide.

I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata

Requisiti correlati: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), .800-53.r5 SI-7 (8) NIST NIST

Categoria: Identificazione > Registrazione

Gravità: media

Tipo di risorsa: AWS::OpenSearch::Domain

Regola AWS Config : opensearch-audit-logging-enabled

Tipo di pianificazione: modifica attivata

Parametri:

  • cloudWatchLogsLogGroupArnList(non personalizzabile): Security Hub non compila questo parametro. Elenco separato da virgole di gruppi di CloudWatch log che devono essere configurati per i log di controllo.

Questa regola si applica NON_COMPLIANT se il gruppo di log CloudWatch Logs del OpenSearch dominio non è specificato in questo elenco di parametri.

Questo controllo verifica se nei OpenSearch domini è abilitata la registrazione di controllo. Questo controllo ha esito negativo se in un OpenSearch dominio non è abilitata la registrazione di controllo.

I log di controllo sono altamente personalizzabili. Ti consentono di tenere traccia delle attività degli utenti sui tuoi OpenSearch cluster, compresi i successi e gli errori di autenticazione, le richieste, le modifiche all'indicizzazione e le OpenSearch query di ricerca in arrivo.

Correzione

Per istruzioni su come abilitare i log di controllo, consulta Enabling audit logs nella Amazon OpenSearch Service Developer Guide.

I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoria: Recupero > Resilienza > Alta disponibilità

Gravità: media

Tipo di risorsa: AWS::OpenSearch::Domain

Regola AWS Config : opensearch-data-node-fault-tolerance

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se i OpenSearch domini sono configurati con almeno tre nodi di dati e zoneAwarenessEnabled lo è. true Questo controllo ha esito negativo per un OpenSearch dominio se instanceCount è inferiore a 3 o lo zoneAwarenessEnabled èfalse.

Un OpenSearch dominio richiede almeno tre nodi di dati per un'elevata disponibilità e tolleranza agli errori. L'implementazione di un OpenSearch dominio con almeno tre nodi di dati garantisce le operazioni del cluster in caso di guasto di un nodo.

Correzione

Per modificare il numero di nodi di dati in un dominio OpenSearch

  1. Accedi alla AWS console e apri la console Amazon OpenSearch Service all'indirizzo https://console.aws.amazon.com/aos/.

  2. In I miei domini, scegli il nome del dominio da modificare e scegli Modifica.

  3. In Nodi di dati imposta Numero di nodi su un numero maggiore di3. Se esegui la distribuzione in tre zone di disponibilità, imposta il numero su un multiplo di tre per garantire una distribuzione equa tra le zone di disponibilità.

  4. Scegli Invia.

I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato

Requisiti correlati: NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6

Categoria: Protezione > Gestione degli accessi sicuri > API Azioni sensibili limitate

Gravità: alta

Tipo di risorsa: AWS::OpenSearch::Domain

Regola AWS Config : opensearch-access-control-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se nei OpenSearch domini è abilitato il controllo granulare degli accessi. Il controllo fallisce se il controllo di accesso a grana fine non è abilitato. Il controllo granulare degli accessi richiede advanced-security-options che il parametro sia abilitato. OpenSearch update-domain-config

Il controllo granulare degli accessi offre modi aggiuntivi per controllare l'accesso ai tuoi dati su Amazon Service. OpenSearch

Correzione

Per abilitare il controllo granulare degli accessi, consulta la sezione Controllo granulare degli accessi in Amazon Service nella Amazon OpenSearch Service Developer Guide. OpenSearch

[Opensearch.8] Le connessioni ai domini devono essere crittografate utilizzando la politica di OpenSearch sicurezza più recente TLS

Requisiti correlati: NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)

Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit

Gravità: media

Tipo di risorsa: AWS::OpenSearch::Domain

Regola AWS Config : opensearch-https-required

Tipo di pianificazione: modifica attivata

Parametri:

  • tlsPolicies: Policy-Min-TLS-1-2-PFS-2023-10(non personalizzabile)

Questo controllo verifica se un endpoint di dominio Amazon OpenSearch Service è configurato per utilizzare la politica di TLS sicurezza più recente. Il controllo fallisce se l'endpoint del OpenSearch dominio non è configurato per utilizzare l'ultima politica supportata o se HTTPs non è abilitato.

HTTPS(TLS) può essere utilizzato per impedire a potenziali aggressori di utilizzare person-in-the-middle o attacchi simili per intercettare o manipolare il traffico di rete. Dovrebbero essere consentite solo le connessioni crittografate su HTTPS (). TLS La crittografia dei dati in transito può influire sulle prestazioni. È consigliabile testare l'applicazione con questa funzionalità per comprendere il profilo delle prestazioni e l'impatto diTLS. TLS1.2 offre diversi miglioramenti della sicurezza rispetto alle versioni precedenti di. TLS

Correzione

Per abilitare TLS la crittografia, utilizzare l'UpdateDomainConfigAPIoperazione. Configura il DomainEndpointOptionscampo per specificare il valore perTLSSecurityPolicy. Per ulteriori informazioni, consulta N ode-to-node encryption nella Amazon OpenSearch Service Developer Guide.

I OpenSearch domini [Opensearch.9] devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::OpenSearch::Domain

AWS Config regola: tagged-opensearch-domain (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Descrizione Type Valori personalizzati consentiti Valore predefinito di Security Hub
requiredTagKeys Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. StringList Elenco di tag che soddisfano i requisiti AWS No default value

Questo controllo verifica se un dominio Amazon OpenSearch Service ha tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il dominio non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il dominio non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e alle risorse. AWS È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti AWS servizi, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS

Correzione

Per aggiungere tag a un dominio OpenSearch di servizio, consulta Working with tags nella Amazon OpenSearch Service Developer Guide.

Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software

Requisiti correlati: NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), .800-53.r5 SI-2 (5) NIST NIST

Categoria: Identificazione > Gestione di vulnerabilità, patch e versioni

Gravità: bassa

Tipo di risorsa: AWS::OpenSearch::Domain

Regola AWS Config : opensearch-update-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se in un dominio Amazon OpenSearch Service è installato l'ultimo aggiornamento software. Il controllo fallisce se un aggiornamento software è disponibile ma non è installato per il dominio.

OpenSearch Gli aggiornamenti del software di servizio forniscono le correzioni, gli aggiornamenti e le funzionalità più recenti della piattaforma disponibili per l'ambiente. Mantenere up-to-date l'installazione delle patch aiuta a mantenere la sicurezza e la disponibilità del dominio. Se non viene intrapresa alcuna azione sugli aggiornamenti richiesti, il software di servizio viene aggiornato automaticamente (in genere dopo 2 settimane). Ti consigliamo di pianificare gli aggiornamenti in un periodo di scarso traffico verso il dominio per ridurre al minimo le interruzioni del servizio.

Correzione

Per installare gli aggiornamenti software per un OpenSearch dominio, consulta Starting an update nella Amazon OpenSearch Service Developer Guide.

I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati

Requisiti correlati:, 6 NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 .800-53.r5 SI-13 NIST

Categoria: Recupero > Resilienza > Alta disponibilità

Gravità: media

Tipo di risorsa: AWS::OpenSearch::Domain

Regola AWS Config : opensearch-primary-node-fault-tolerance

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un dominio Amazon OpenSearch Service è configurato con almeno tre nodi primari dedicati. Il controllo fallisce se il dominio ha meno di tre nodi primari dedicati.

OpenSearch Il servizio utilizza nodi primari dedicati per aumentare la stabilità del cluster. Un nodo primario dedicato esegue attività di gestione del cluster, ma non contiene dati né risponde alle richieste di caricamento dei dati. Si consiglia di utilizzare Multi-AZ con standby, che aggiunge tre nodi primari dedicati a ciascun dominio di produzione OpenSearch .

Correzione

Per modificare il numero di nodi primari per un OpenSearch dominio, consulta Creazione e gestione dei domini Amazon OpenSearch Service nella Amazon OpenSearch Service Developer Guide.