OpenSearch Service の Security Hub コントロール

これらの AWS Security Hub コントロールは、Amazon OpenSearch Service (OpenSearch Service) サービスとリソースを評価します。

これらのコントロールは、一部ので使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります

関連する要件: PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/7.2.1、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SI-7(6)

カテゴリ: 保護 > データ保護 > 保管中のデータの暗号化

重要度: 中

リソースタイプ : AWS::OpenSearch::Domain

AWS Config ルール : opensearch-encrypted-at-rest

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、OpenSearch ドメインで保管中の暗号化設定が有効になっているかどうかをチェックします。保管中の暗号化が有効になっていない場合、チェックは失敗します。

機密データのセキュリティを強化するには、保管中に暗号化するように OpenSearch Service ドメインを設定する必要があります。保管中のデータの暗号化を設定すると、は暗号化キー AWS KMS を保存および管理します。暗号化を実行するために、は 256 ビットキー (AES-256) で Advanced Encryption Standard アルゴリズム AWS KMS を使用します。

保管中の OpenSearch での暗号化の詳細については、Amazon OpenSearch Service デベロッパーガイド」の「Amazon OpenSearch Service の保管中のデータの暗号化」を参照してください。

修正

新規および既存の OpenSearch ドメインの保管時の暗号化を有効にするには、「Amazon OpenSearch Service 開発者ガイド」の「保管中のデータの暗号化の有効化」を参照してください。

[Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります

関連する要件: PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)

カテゴリ: 保護 > セキュアなネットワーク設定 > VPC 内のリソース

重要度: 非常事態

リソースタイプ : AWS::OpenSearch::Domain

AWS Config ルール : opensearch-in-vpc-only

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、OpenSearch ドメインが VPC 内にあるかどうかをチェックします。このコントロールは、パブリックアクセスの可能性を判断するための VPC サブネットルーティング設定を評価しません。

OpenSearch ドメインがパブリックサブネットに添付済みではないことを確認する必要があります。「Amazon OpenSearch Service 開発者ガイド」の「リソースベースのポリシー」を参照してください。また、推奨されるベストプラクティスに従って VPC が確実に設定されていることを確認する必要があります。「Amazon VPC ユーザーガイド」の「VPC のセキュリティのベストプラクティス」を参照してください。

VPC 内にデプロイされた OpenSearch ドメインは、パブリックインターネットを経由することなく、プライベート AWS ネットワーク経由で VPC リソースと通信できます。この設定では、転送中のデータへのアクセスを制限することにより、セキュリティ体制が向上します。VPC は、ネットワーク ACL やセキュリティグループを含む、OpenSearch ドメインへのアクセスを安全にするため、多数のネットワークコントロールを提供します。Security Hub では、これらのコントロールを有効に利用するために、パブリック OpenSearch ドメインを VPC に移行することを推奨します。

修正

パブリックエンドポイントを使用してドメインを作成する場合、後で VPC 内にドメインを配置することはできません。代わりに、新規のドメインを作成して、データを移行する必要があります。逆の場合も同様です。VPC 内にドメインを作成する場合、パブリックエンドポイントを持つことはできません。代わりに、別のドメインを作成するか、このコントロールを無効にする必要があります。

手順については、「Amazon OpenSearch Service デベロッパーガイド」の「VPC 内で Amazon OpenSearch Service ドメインを起動する」を参照してください。

[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります

関連する要件: NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)

カテゴリ: 保護 > データ保護 > 転送中のデータの暗号化

重要度: 中

リソースタイプ : AWS::OpenSearch::Domain

AWS Config ルール : opensearch-node-to-node-encryption-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、OpenSearch ドメインでノード間の暗号化が有効になっているかどうかをチェックします。ドメインでノード間の暗号化が無効になっている場合、このコントロールは失敗します。

HTTPS (TLS) を使用すると、潜在的な攻撃者が中間者攻撃または同様の攻撃を使用してネットワークトラフィックを盗聴または操作することを防止できます。HTTPS (TLS) 経由の暗号化された接続のみを許可する必要があります。OpenSearch ドメインでノード間の暗号化を有効にすると、クラスター内通信は転送中に確実に暗号化されます。

この設定には、パフォーマンス上のペナルティが発生する可能性があります。このオプションを有効にする前に、パフォーマンスのトレードオフを認識してテストする必要があります。

修正

OpenSearch ドメインでノード間の暗号化を有効にするには、「Amazon OpenSearch Service デベロッパーガイド」の「ノード間の暗号化を有効にする」を参照してください。

[Opensearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります

関連する要件: NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)

カテゴリ: 識別 > ログ記録

重要度: 中

リソースタイプ : AWS::OpenSearch::Domain

AWS Config ルール : opensearch-logs-to-cloudwatch

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

logtype = 'error' (カスタマイズ不可)

このコントロールは、OpenSearch ドメインが CloudWatch Logs にエラーログを送信するように設定されているかどうかをチェックします。CloudWatch へのエラーログ記録がドメインに対して有効になっていない場合、このコントロールは失敗します。

OpenSearch ドメインのエラーログを有効にし、それらのログを CloudWatch Logs に送信して保持と応答を行う必要があります。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。

修正

ログ発行を有効にするには、「Amazon OpenSearch Service デベロッパーガイド」の「ログ発行を有効にする (コンソール)」を参照してください。

[Opensearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります

関連する要件： NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r NIST.800-53.r5 SC-7 SI-3 SI-4 SI-710.2.15

カテゴリ: 識別 > ログ記録

重要度: 中

リソースタイプ : AWS::OpenSearch::Domain

AWS Config ルール : opensearch-audit-logging-enabled

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

cloudWatchLogsLogGroupArnList (カスタマイズ不可) – Security Hub は、このパラメータを設定しません。監査ログ用に設定する必要がある CloudWatch Logs ロググループのカンマ区切りリスト。

このコントロールは、OpenSearch ドメインで監査ログ記録が有効になっているかどうかをチェックします。OpenSearch ドメインで監査ログ記録が有効になっていない場合、このコントロールは失敗します。

監査ログは高度なカスタマイズが可能です。これらを使用することで、認証の成功と失敗、OpenSearch へのリクエスト、インデックスの変更、受信検索クエリなど、OpenSearch クラスターでのユーザーアクティビティを追跡できます。

修正

監査ログを有効にする手順については、「Amazon OpenSearch Service デベロッパーガイド」の「監査ログの有効化」を参照してください。

[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です

関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

カテゴリ: リカバリ > 耐障害性 > 高可用性

重要度: 中

リソースタイプ : AWS::OpenSearch::Domain

AWS Config ルール : opensearch-data-node-fault-tolerance

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは OpenSearch ドメインが少なくとも 3 つのデータノードが設定されているか、また zoneAwarenessEnabled が true かどうかをチェックします。OpenSearch ドメインでは、instanceCount が 3 より小さいか zoneAwarenessEnabled が false の場合、このコントロールは失敗します。

OpenSearch ドメインでは、高可用性と耐障害性のために少なくとも 3 つのデータノードが必要です。少なくとも 3 つのデータノードを持つ OpenSearch ドメインをデプロイすると、ノードに障害が発生した場合のクラスター操作が確実になります。

修正

OpenSearch ドメインのデータノード数を変更するには

AWS コンソールにサインインし、https://console.aws.amazon.com/aos/ で Amazon OpenSearch Service コンソールを開きます。
[My domains] (ドメイン) で、編集するドメインの名前を選択し、[Edit] (編集) を選択します。
[Data nodes] (データノード) で、[Number of nodes] (ノード数) を 3 以上の数値に設定します。3 つのアベイラビリティーゾーンに展開する場合は、アベイラビリティーゾーン間で均等に分配されるように 3 の倍数に設定します。
[送信] を選択します。

[Opensearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります

関連する要件: NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-5、NIST.800-53.r5 AC-6

カテゴリ: 保護 > セキュアなアクセス管理 > 機密性の高い API オペレーションアクションを制限する

重要度: 高

リソースタイプ : AWS::OpenSearch::Domain

AWS Config ルール : opensearch-access-control-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

OpenSearch ドメインが、きめ細かなアクセスコントロールを有効にしているかどうかをチェックします。きめ細かなアクセスコントロールが有効でない場合、このコントロールは失敗します。OpenSearch パラメータ update-domain-config を有効にするには、きめ細かなアクセスコントロールに advanced-security-options が必要となります。

きめ細かなアクセスコントロールは、Amazon OpenSearch Service のデータへのアクセスをコントロールする追加の方法を提供します。

修正

きめ細かなアクセスコントロールを有効にする方法については、「Amazon OpenSearch Service デベロッパーガイド」の「Amazon OpenSearch Service のきめ細かなアクセスコントロール」を参照してください。

[Opensearch.8] OpenSearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります

関連する要件: NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)

カテゴリ: 保護 > データ保護 > 転送中のデータの暗号化

重要度: 中

リソースタイプ : AWS::OpenSearch::Domain

AWS Config ルール : opensearch-https-required

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

tlsPolicies: Policy-Min-TLS-1-2-PFS-2023-10 (カスタマイズ不可)

このコントロールは、Amazon OpenSearch Service ドメインエンドポイントが最新の TLS セキュリティポリシーを使用するように設定されているかどうかを確認します。OpenSearch ドメインエンドポイントが最新のサポートされているポリシーを使用するように設定されていない場合、または HTTPS が有効になっていない場合、コントロ―ルは失敗します。

HTTPS (TLS) を使用すると、潜在的な攻撃者が中間者攻撃または同様の攻撃を使用してネットワークトラフィックを盗聴または操作することを防止できます。HTTPS (TLS) 経由の暗号化された接続のみを許可する必要があります。転送中のデータの暗号化は、パフォーマンスに影響する可能性があります。TLS のパフォーマンスプロファイルと TLS の影響を把握するには、この機能を使用してアプリケーションをテストする必要があります。TLS 1.2 は、以前の TLS バージョンに比べて、いくつかのセキュリティ機能の強化を提供します。

修正

TLS 暗号化を有効にするには、UpdateDomainConfig API オペレーションを使用してください。「DomainEndpointOptions」フィールドを設定して、TLSSecurityPolicy の値を指定します。詳細については、「Amazon OpenSearch Service デベロッパーガイド」の「ノード間の暗号化」を参照してください。

[Opensearch.9] OpenSearch ドメインはにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ : AWS::OpenSearch::Domain

AWS Config ルール: tagged-opensearch-domain (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ	説明	[Type] (タイプ)	許可されているカスタム値	Security Hub のデフォルト値
`requiredTagKeys`	評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。	StringList	AWS 要件を満たすタグのリスト	`No default value`

このコントロールは、Amazon OpenSearch Service ドメインにパラメータ requiredTagKeys で定義された特定のキーを持つタグがあるかどうかをチェックします。ドメインにタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ドメインにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、IAM ユーザーガイドの「ABAC とは AWS」を参照してください。

注記

タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、を含む多くのからアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。

修正

OpenSearch Service ドメインにタグを追加するには、「Amazon OpenSearch Service デベロッパーガイド」の「タグの使用」を参照してください。

[Opensearch.10] OpenSearch ドメインには、最新のソフトウェアアップデートがインストールされている必要があります

関連する要件： NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCI DSS v4.0.1/6.3.3

カテゴリ: 特定 > 脆弱性、パッチ、バージョン管理

重要度: 低

リソースタイプ : AWS::OpenSearch::Domain

AWS Config ルール : opensearch-update-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon OpenSearch Service ドメインに最新のソフトウェアアップデートがインストールされているかどうかをチェックします。ソフトウェアアップデートが利用可能で、ドメインにインストールされていない場合、コントロールは失敗します。

OpenSearch Service のソフトウェアアップデートは、環境で使用可能な最新のプラットフォーム修正、更新、および機能を提供します。パッチのインストールを最新の状態に保つことは、ドメインのセキュリティと可用性を維持するのに役立ちます。必要なアップデートに関するアクションを実行しない場合、サービスソフトウェアは (通常 2 週間後に) 自動的に更新されます。サービスの中断を最小限に抑えるため、ドメインへのトラフィックが少ない時間帯にアップデートをスケジュールすることをお勧めします。

修正

OpenSearch ドメインのソフトウェアアップデートをインストールするには、「Amazon OpenSearch Service 開発者ガイド」の「更新を開始する」を参照してください。

[Opensearch.11] OpenSearch ドメインには少なくとも 3 つの専用プライマリノードが必要です

関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-2、NIST.800-53.r5 SC-5、NIST.800-53.r5 SC-36、NIST.800-53.r5 SI-13

カテゴリ: リカバリ > 耐障害性 > 高可用性

重要度: 低

リソースタイプ : AWS::OpenSearch::Domain

AWS Config ルール : opensearch-primary-node-fault-tolerance

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは Amazon OpenSearch Service ドメインが少なくとも 3 つの専用プライマリノードで設定されているかどうかをチェックします。ドメインの専用プライマリノードが 3 つ未満の場合、コントロールは失敗します。

OpenSearch Service では、クラスターの安定性を向上するために専用プライマリノードを使用します。専用プライマリノードはクラスター管理タスクを実行しますが、データは保持せず、データのアップロードリクエストにも応答しません。スタンバイ付きマルチ AZ を使用することを推奨します。これにより、本番稼働用の各 OpenSearch Service ドメインに 3 つの専用プライマリノードが追加されます。

修正

OpenSearch ドメインのプライマリノードの数を変更するには、「Amazon OpenSearch Service デベロッパーガイド」の「Amazon OpenSearch Service ドメインの作成と管理」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS Network Firewall コントロール

AWS Private CA コントロール