ElastiCache の Security Hub コントロール - AWS Security Hub

ElastiCache の Security Hub コントロール

これらの AWS Security Hub コントロールは、Amazon ElastiCache サービスとリソースを評価します。

これらのコントロールは、すべての AWS リージョン で使用できるとは限りません。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[ElastiCache.1] ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります

関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)

カテゴリ: リカバリ > 耐障害性 > バックアップの有効化

重要度:

リソースタイプ: AWS::ElastiCache::CacheClusterAWS:ElastiCache:ReplicationGroup

AWS Config ルール: elasticache-redis-cluster-automatic-backup-check

スケジュールタイプ: 定期的

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値

snapshotRetentionPeriod

最小スナップショット保持期間 (日数)

整数

135

1

このコントロールは、Amazon ElastiCache (Redis OSS) クラスターに自動バックアップがスケジュールされているかどうかを評価します。Redis クラスターの SnapshotRetentionLimit が指定された期間未満の場合、コントロールは失敗します。スナップショット保持期間に対してカスタムパラメータ値を指定しない限り、Security Hub はデフォルト値の 1 日を使用します。

Amazon ElastiCache (Redis OSS) クラスターでは、データをバックアップできます。バックアップを使用して、クラスターを復元したり、新しいクラスターをシードしたりできます。バックアップは、クラスター内の全データとクラスターのメタデータで構成されます。すべてのバックアップは、耐久性のあるストレージを提供する Amazon Simple Storage Service (Amazon S3) に書き込まれます。新しい Redis クラスターを作成し、バックアップのデータを挿入することでデータを復元できます。AWS Management Console、AWS Command Line Interface (AWS CLI)、ElastiCache API を使用してバックアップを管理できます。

修正

ElastiCache (Redis OSS) クラスターで自動バックアップをスケジュールするには、「Amazon ElastiCache ユーザーガイド」の「自動バックアップのスケジュール」を参照してください。

[ElastiCache.2] ElastiCache (Redis OSS) キャッシュクラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります

関連する要件: NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)

カテゴリ: 特定 > 脆弱性、パッチ、バージョン管理

重要度:

リソースタイプ : AWS::ElastiCache::CacheCluster

AWS Config ルール : elasticache-auto-minor-version-upgrade-check

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、ElastiCache (Redis OSS) がキャッシュクラスターにマイナーバージョンアップグレードを自動的に適用するかどうかを評価します。コントロールは、ElastiCache (Redis OSS) がキャッシュクラスターにマイナーバージョンアップグレードを自動的に適用していない場合、失敗します。

AutoMinorVersionUpgrade は、新しいマイナーキャッシュエンジンバージョンが利用可能になるとキャッシュクラスターを自動的にアップグレードできる機能であり、ElastiCache (Redis OSS) で有効化できます。これらのアップグレードには、セキュリティパッチとバグ修正を含む場合があります。パッチのインストールを最新の状態に保つことは、システムを保護する上で重要なステップです。

修正

既存の ElastiCache (Redis OSS) キャッシュクラスターの自動マイナーバージョンアップグレードを適用するには、「Amazon ElastiCache ユーザーガイド」の「エンジンバージョンのアップグレード」を参照してください。

[ElastiCache.3] ElastiCache (Redis OSS) レプリケーショングループでは、自動フェイルオーバーを有効にする必要があります

関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

カテゴリ: リカバリ > 耐障害性 > 高可用性

重要度:

リソースタイプ : AWS::ElastiCache::ReplicationGroup

AWS Config ルール : elasticache-repl-grp-auto-failover-enabled

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、Amazon ElastiCache (Redis OSS) レプリケーショングループの自動フェイルオーバーが有効になっているかどうかを確認します。Redis OSS レプリケーショングループで自動フェイルオーバーが有効になっていない場合、コントロールは失敗します。

レプリケーショングループで自動フェイルオーバーを有効にすると、プライマリノードのロールは、いずれかのリードレプリカに自動的にフェイルオーバーされます。このフェイルオーバーとレプリカの昇格により、昇格の完了後すぐに新しいプライマリへの書き込みを再開できるため、障害発生時も全体のダウンタイムを短縮できます。

修正

既存の ElastiCache (Redis OSS) レプリケーショングループの自動フェイルオーバーを有効にするには、「Amazon ElastiCache ユーザーガイド」の「ElastiCache クラスターの変更」を参照してください。ElastiCache コンソールを使用する場合は、[自動フェイルオーバー] を有効に設定します。

[ElastiCache.4] ElastiCache レプリケーショングループは保管中に暗号化する必要があります

関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

カテゴリ: 保護 > データ保護 > 保管中のデータの暗号化

重要度:

リソースタイプ : AWS::ElastiCache::ReplicationGroup

AWS Config ルール : elasticache-repl-grp-encrypted-at-rest

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、ElastiCache (Redis OSS) レプリケーショングループが保管時に暗号化されているかどうかをチェックします。コントロールは、ElastiCache (Redis OSS) レプリケーショングループが保管時に暗号化されていない場合、失敗します。

保管中のデータを暗号化すると、認証されていないユーザーがディスクに保存しているデータにアクセスするリスクが低減されます。ElastiCache (Redis OSS) レプリケーショングループは、セキュリティを強化するために、保管中に暗号化する必要があります。

修正

ElastiCache (Redis OSS) レプリケーショングループで保管中の暗号化を設定するには、「Amazon ElastiCache ユーザーガイド」の「保管時の暗号化を有効にする」を参照してください。

[ElastiCache.5] ElastiCache レプリケーショングループは転送時に暗号化する必要があります

関連する要件: NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)

カテゴリ: 保護 > データ保護 > 転送中のデータの暗号化

重要度:

リソースタイプ : AWS::ElastiCache::ReplicationGroup

AWS Config ルール : elasticache-repl-grp-encrypted-in-transit

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、ElastiCache (Redis OSS) レプリケーショングループが転送中に暗号化されているかどうかをチェックします。このコントロールは、ElastiCache (Redis OSS) レプリケーショングループが転送中に暗号化されていない場合、失敗します。

転送中のデータを暗号化することで、権限のないユーザーがネットワークトラフィックを盗聴するリスクが軽減されます。ElastiCache (Redis OSS) レプリケーショングループで転送中の暗号化を有効にすると、ある場所から別の場所に移動するデータ (クラスターのノード間、クラスターとアプリケーション間など) に対して必ず暗号化が行なわれます。

修正

ElastiCache (Redis OSS) レプリケーショングループで転送中の暗号化を設定するには、「Amazon ElastiCache ユーザーガイド」の「転送中の暗号化を有効にする」を参照してください。

[ElastiCache.6] 以前のバージョンの ElastiCache (Redis OSS) レプリケーショングループでは Redis OSS AUTH を有効にする必要があります

関連する要件: NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6

カテゴリ: 保護 > セキュアなアクセス管理

重要度:

リソースタイプ : AWS::ElastiCache::ReplicationGroup

AWS Config ルール : elasticache-repl-grp-redis-auth-enabled

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、ElastiCache (Redis OSS) レプリケーショングループの Redis OSS AUTH が有効になっているかどうかを確認します。Redis OSS バージョンが 6.0 より前で AuthToken が使用されていない場合、ElastiCache for Redis レプリケーショングループのコントロールは失敗します。

Redis 認証トークンまたはパスワードを使用すると、Redis はクライアントにコマンドの実行を許可する前にパスワードを要求するため、データのセキュリティが向上します。Redis 6.0 以降のバージョンでは、ロールベースのアクセス制御 (RBAC) の使用をお勧めします。RBAC は 6.0 より前のバージョンの Redis ではサポートされていないため、このコントロールは RBAC 機能を使用できないバージョンのみを評価します。

修正

ElastiCache (Redis OSS) レプリケーショングループで Redis AUTH を使用するには、「Amazon ElastiCache ユーザーガイド」の「既存の ElastiCache (Redis OSS) クラスターでの AUTH トークンの変更」を参照してください。

[ElastiCache.7] ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください

関連する要件: NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(5)

カテゴリ: 保護 > セキュアなネットワーク設定

重要度:

リソースタイプ : AWS::ElastiCache::CacheCluster

AWS Config ルール : elasticache-subnet-group-check

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、ElastiCache (Redis OSS) クラスターにカスタムサブネットグループが設定されているかどうかを確認します。ElastiCache クラスターの CacheSubnetGroupName の値が default である場合、コントロールは失敗します。

ElastiCache クラスターを起動すると、デフォルトのサブネットグループがまだ存在しない場合は作成されます。デフォルトグループは、デフォルトの仮想プライベートクラウド (VPC) のサブネットを使用します。クラスターが存在するサブネットや、クラスターがサブネットから継承するネットワークの制限機能がより強力な、カスタムサブネットグループを使用することをお勧めします。

修正

ElastiCache クラスターの新しいサブネットグループを作成するには、「Amazon ElastiCache ユーザーガイド」の「サブネットグループの作成」を参照してください。