Elasticsearch のセキュリティハブ

これらの AWS Security Hub コントロールは、Elasticsearch サービスとリソースを評価します。

これらのコントロールは、すべてので利用できるとは限りません AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります

関連要件： PCI DSS v3.2.1/3.4、 NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13、 NIST.800-53.r5 SC-28、 NIST.800-53.r5 SC-28(1)、 NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

カテゴリ： 保護 > データ保護 > の暗号化 data-at-rest

重要度: 中

リソースタイプ : AWS::Elasticsearch::Domain

AWS Config ルール : elasticsearch-encrypted-at-rest

スケジュールタイプ: 定期的

パラメータ: なし

このコントロールは、Elasticsearch ドメインで保管中の暗号化設定が有効になっているかどうかをチェックします。保管時の暗号化が有効になっていない場合、チェックは失敗します。

の機密データのセキュリティレイヤーを強化するには OpenSearch、保管時に暗号化 OpenSearch されるようにを設定する必要があります。Elasticsearch ドメインは、保管中のデータの暗号化を提供します。この機能は、 AWS KMS を使用して暗号化キーを保存および管理します。暗号化を実行するには、256 ビットキー (AES-256) で Advanced Encryption Standard アルゴリズムを使用します。

保管時の OpenSearch 暗号化の詳細については、「Amazon OpenSearch Service デベロッパーガイド」の「Amazon Service の保管中のデータの暗号化」を参照してください。 OpenSearch

t.small や t.medium などの特定のインスタンスタイプでは、保管中のデータの暗号化がサポートされていません。詳細については、「Amazon OpenSearch Service デベロッパーガイド」の「サポートされているインスタンスタイプ」を参照してください。

修正

新規および既存の Elasticsearch ドメインの保管時の暗号化を有効にするには、「Amazon OpenSearch Service デベロッパーガイド」の「保管中のデータの暗号化の有効化」を参照してください。

[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります

関連要件： PCI DSS v3.2.1/1.2.1、PCIDSSv3.2.1/1.3.1、PCIDSSv3.2.1/1.3.2、PCIDSSv3.2.1/1.3.4、PCIDSSv3.2.1/1.3.6、 NIST.800-53.r5 AC-21 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7)、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7(16) NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-7(20)、 NIST.800-53.r5 SC-7(21)、 NIST.800-53.r5 SC-7(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(9)

カテゴリ： 保護 > 安全なネットワーク設定 > 内のリソース VPC

重要度: 非常事態

リソースタイプ : AWS::Elasticsearch::Domain

AWS Config ルール : elasticsearch-in-vpc-only

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、Elasticsearch ドメインがにあるかどうかを確認しますVPC。パブリックアクセスを決定するためにVPCサブネットルーティング設定を評価しません。Elasticsearch ドメインがパブリックサブネットに添付済みでないことを確認する必要があります。Amazon Service デベロッパーガイドの「リソースベースのポリシー」を参照してください。 OpenSearch また、 VPCが推奨されるベストプラクティスに従って設定されていることを確認する必要があります。Amazon VPC ユーザーガイドの「のセキュリティのベストプラクティスVPC」を参照してください。

内にデプロイされた Elasticsearch ドメインVPCは、パブリックインターネットを経由することなく、プライベート AWS ネットワーク経由でVPCリソースと通信できます。この設定では、転送中のデータへのアクセスを制限することにより、セキュリティ体制が向上します。VPCs は、ネットワークACLやセキュリティグループなど、Elasticsearch ドメインへのアクセスを保護するための多数のネットワークコントロールを提供します。Security Hub では、パブリック Elasticsearch ドメインをに移行VPCsして、これらのコントロールを利用することをお勧めします。

修正

パブリックエンドポイントを使用してドメインを作成する場合、後で内に配置することはできませんVPC。代わりに、新規のドメインを作成して、データを移行する必要があります。逆の場合も同様です。内にドメインを作成する場合VPC、パブリックエンドポイントを持つことはできません。代わりに、別のドメインを作成するか、このコントロールを無効にする必要があります。

Amazon OpenSearch Service デベロッパーガイドの「内の Amazon Service ドメインの起動VPC」を参照してください。 OpenSearch

[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります

関連する要件： NIST.800-53.r5 AC-4， NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8， NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2)

カテゴリ： 保護 > データ保護 > の暗号化 data-in-transit

重要度: 中

リソースタイプ : AWS::Elasticsearch::Domain

AWS Config ルール : elasticsearch-node-to-node-encryption-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Elasticsearch ドメインで node-to-node暗号化が有効になっているかどうかを確認します。Elasticsearch ドメインで暗号化が有効になっていない場合、 node-to-nodeコントロールは失敗します。Elasticsearch バージョンが暗号化チェックをサポート node-to-nodeしていない場合、コントロールは失敗した検出結果も生成します。

HTTPS (TLS) を使用すると、潜在的な攻撃者がまたは同様の攻撃を使用して person-in-the-middleネットワークトラフィックを盗聴したり操作したりすることを防ぐことができます。HTTPS (TLS) 経由の暗号化された接続のみが許可されます。Elasticsearch ドメインの暗号化を有効にする node-to-nodeと、クラスター内通信が転送中に暗号化されます。

この設定には、パフォーマンス上のペナルティが発生する可能性があります。このオプションを有効にする前に、パフォーマンスのトレードオフを認識してテストする必要があります。

修正

新規および既存のドメインで暗号化を有効にする node-to-node方法については、「Amazon OpenSearch Service デベロッパーガイド」の「暗号化を有効にする node-to-node」を参照してください。

[ES.4] CloudWatch ログへの Elasticsearch ドメインエラーログ記録を有効にする必要があります

関連要件： NIST.800-53.r5 AC-2 (4) NIST.800-53.r5 AC-4、(26)、 NIST.800-53.r5 AC-6(9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)

カテゴリ: 識別 - ログ記録

重要度: 中

リソースタイプ : AWS::Elasticsearch::Domain

AWS Config ルール : elasticsearch-logs-to-cloudwatch

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

logtype = 'error' (カスタマイズ不可)

このコントロールは、Elasticsearch ドメインが CloudWatch ログにエラーログを送信するように設定されているかどうかを確認します。

Elasticsearch ドメインのエラーログを有効にし、保持と応答のために CloudWatch ログに送信する必要があります。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。

修正

ログ発行を有効にする方法については、Amazon OpenSearch Service デベロッパーガイドの「ログ発行の有効化 (コンソール）」を参照してください。

[ES.5] Elasticsearch ドメインで監査ログ記録が有効になっている必要があります

カテゴリ: 識別 > ログ記録

重要度: 中

リソースタイプ : AWS::Elasticsearch::Domain

AWS Config ルール: elasticsearch-audit-logging-enabled (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

cloudWatchLogsLogGroupArnList (カスタマイズ不可)。Security Hub は、このパラメータを設定しません。監査ログ用に設定する必要がある CloudWatch ログロググループのカンマ区切りリスト。

このルールはNON_COMPLIANT、Elasticsearch ドメインの CloudWatch Logs ロググループがこのパラメータリストで指定されていない場合です。

このコントロールは、Elasticsearch ドメインで監査ログ記録が有効になっているかどうかをチェックします。Elasticsearch ドメインで監査ログ記録が有効になっていない場合、このコントロールは失敗します。

監査ログは高度なカスタマイズが可能です。これにより、認証の成功と失敗、へのリクエスト、インデックスの変更、受信検索クエリなど OpenSearch、Elasticsearch クラスターでのユーザーアクティビティを追跡できます。

修正

監査ログを有効にする詳細な手順については、「Amazon Service デベロッパーガイド」の「監査ログを有効にする」を参照してください。 OpenSearch

[ES.6] Elasticsearch ドメインには少なくとも 3 つのデータノードが必要です

関連要件： NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

カテゴリ: リカバリ > 耐障害性 > 高可用性

重要度: 中

リソースタイプ : AWS::Elasticsearch::Domain

AWS Config ルール: elasticsearch-data-node-fault-tolerance (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Elasticsearch ドメインに少なくとも 3 つのデータノードが設定されていること、また zoneAwarenessEnabled が true かどうかをチェックします。

Elasticsearch ドメインでは、高可用性と耐障害性のために少なくとも 3 つのデータノードが必要です。少なくとも 3 つのデータノードを持つ Elasticsearch ドメインをデプロイすると、ノードに障害が発生した場合のクラスター操作が確保されます。

修正

Elasticsearch ドメインのデータノードの数を変更するには

で Amazon OpenSearch Service コンソールを開きますhttps://console.aws.amazon.com/aos/。
[ドメイン] で、編集するドメインの名前を選択します。
[Edit domain] (ドメインの編集) を選択します。
[Data nodes] (データノード) で、[Number of nodes] (ノード数) に 3 以上の数値を設定します。

3 つのアベイラビリティーゾーンのデプロイは、3 の倍数に設定してアベイラビリティーゾーン間で均等に配信されるようにします。
[Submit] (送信) を選択します。

[ES.7] Elasticsearch ドメインは、少なくとも 3 つの専用マスターノードを設定する必要があります。

関連要件： NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

カテゴリ: リカバリ > 耐障害性 > 高可用性

重要度: 中

リソースタイプ : AWS::Elasticsearch::Domain

AWS Configルール: elasticsearch-primary-node-fault-tolerance (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Elasticsearch ドメインが少なくとも 3 つの専用プライマリノードで構成されているかどうかを確認します。ドメインが専用プライマリノードを使用しない場合、このコントロールは失敗します。このコントロールは、Elasticsearch ドメインに 5 つの専用プライマリノードがある場合に合格します。ただし、可用性リスクを軽減するために 3 つ以上のプライマリノードを使用する必要がなくなり、追加コストが発生する可能性があります。

Elasticsearch ドメインには、高可用性と耐障害性を実現するために、少なくとも 3 つの専用プライマリノードが必要です。データノードのブルー/グリーンデプロイ中には、管理するノードが他にもあるため、専用のプライマリノードリソースに負担がかかる可能性があります。少なくとも 3 つの専用プライマリノードを使用して Elasticsearch ドメインをデプロイすると、ノードが失敗した場合に十分なプライマリノードリソース容量とクラスターオペレーションが確保されます。

修正

OpenSearch ドメイン内の専用プライマリノードの数を変更するには

で Amazon OpenSearch Service コンソールを開きますhttps://console.aws.amazon.com/aos/。
[ドメイン] で、編集するドメインの名前を選択します。
[Edit domain] (ドメインの編集) を選択します。
[Dedicated master nodes] (専用マスターノード) で、[Instance type] (インスタンスタイプ) に目的のインスタンスタイプを設定します。
[Number of master nodes] (マスターノードの数) を 3 以上に設定します。
[Submit] (送信) を選択します。

[ES.8] Elasticsearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります。

関連要件： NIST.800-53.r5 AC-17(2) NIST.800-53.r5 AC-4、 NIST.800-53.r5 IA-5(1)、 NIST.800-53.r5 SC-12(3)、 NIST.800-53.r5 SC-13、 NIST.800-53.r5 SC-23、 NIST.800-53.r5 SC-23(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-8(1) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)

カテゴリ： 保護 > データ保護 > の暗号化 data-in-transit

重要度: 中

リソースタイプ : AWS::Elasticsearch::Domain

AWS Config ルール: elasticsearch-https-required (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Elasticsearch ドメインエンドポイントが最新のTLSセキュリティポリシーを使用するように設定されているかどうかを確認します。Elasticsearch ドメインエンドポイントが最新のサポートされているポリシーを使用するように設定されていない場合、またはが有効になっていない場合、コントロールHTTPsは失敗します。現在サポートされている最新のTLSセキュリティポリシーはですPolicy-Min-TLS-1-2-PFS-2023-10。

HTTPS (TLS) は、潜在的な攻撃者がネットワークトラフィックを盗聴したり操作したりするために、または類似の攻撃を使用する person-in-the-middleのを防ぐのに役立ちます。HTTPS (TLS) 経由の暗号化された接続のみが許可されます。転送中のデータの暗号化は、パフォーマンスに影響する可能性があります。パフォーマンスプロファイルとの影響を理解するには、この機能を使用してアプリケーションをテストする必要がありますTLS。TLS 1.2 では、の以前のバージョンよりもいくつかのセキュリティ強化が提供されますTLS。

修正

TLS 暗号化を有効にするには、を使用します。 UpdateDomainConfig API を設定するためのオペレーション DomainEndpointOptions オブジェクト。これにより、が設定されますTLSSecurityPolicy。

[ES.9] Elasticsearch ドメインにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ : AWS::Elasticsearch::Domain

AWS Config ルール: tagged-elasticsearch-domain (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ	説明	[Type] (タイプ)	許可されているカスタム値	Security Hub のデフォルト値
`requiredTagKeys`	評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。	StringList	AWS 要件を満たすタグのリスト	`No default value`

このコントロールは、Elasticsearch ドメインにパラメータで定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。ドメインにタグキーがない場合、またはパラメータで指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、ドメインにキーがタグ付けされていない場合は失敗します。システムタグは自動的に適用されaws:、で始まるものは無視されます。

タグはリソースに割り当てるラベルで AWS 、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの特定、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。IAM エンティティ (ユーザーまたはロール) と AWS リソースにタグをアタッチできます。プリンIAMシパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーは、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように設計できます。詳細については、IAM「ユーザーガイド」の「 ABACとは AWS」を参照してください。

注記

個人を特定できる情報 (PII) やその他の機密情報をタグに追加しないでください。タグには AWS のサービス、を含む多くのがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」のAWS 「リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。

修正

Elasticsearch ドメインにタグを追加するには、「Amazon OpenSearch Service デベロッパーガイド」の「タグの使用」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Elastic Load Balancing のコントロール

Amazon EMRコントロール