아마존 ElastiCache 컨트롤

이러한 컨트롤은 ElastiCache 리소스와 관련이 있습니다.

이러한 컨트롤을 모두 사용할 수 있는 것은 아닙니다 AWS 리전. 자세한 정보는 리전별 제어 기능 사용 가능 여부을 참조하세요.

[ElastiCache.1] ElastiCache Redis 클러스터에는 자동 백업이 활성화되어 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13(5)

범주: 복구 > 복원력 > 백업 활성화

심각도: 높음

리소스 유형: AWS::ElastiCache::CacheCluster

AWS Config 규칙: elasticache-redis-cluster-automatic-backup-check

스케줄 유형: 주기적

파라미터:

파라미터	설명	유형	허용된 사용자 지정 값	Security Hub 기본값
snapshotRetentionPeriod	최소 스냅샷 보존 기간(일수)	Integer	1~35	1

이 컨트롤은 Amazon ElastiCache for Redis 클러스터에 자동 백업이 예약되어 있는지 평가합니다. Redis 클러스터에 대한 SnapshotRetentionLimit가 지정된 기간 미만이면 제어가 실패합니다. 스냅샷 보존 기간에 대한 사용자 지정 파라미터 값을 제공하지 않는 한 Security Hub는 기본값인 1일을 사용합니다.

Amazon ElastiCache for Redis 클러스터는 데이터를 백업할 수 있습니다. 클러스터를 복원하거나 새 클러스터를 시드하기 위해 백업을 사용할 수 있습니다. 백업은 클러스터의 모든 데이터와 클러스터의 메타데이터로 구성됩니다. 모든 백업은 Amazon Simple Storage Service(S3)에 쓰여지므로 내구성 있는 스토리지가 확보됩니다. 새로운 Redis 클러스터를 생성하고 백업 데이터로 채워 데이터를 복원할 수 있습니다. AWS Management Console, AWS Command Line Interface (AWS CLI) 및 ElastiCache API를 사용하여 백업을 관리할 수 있습니다.

이제 Security Hub가 와 통합되었습니다

ElastiCache Redis용 클러스터에서 자동 백업을 예약하려면 Amazon ElastiCache 사용 설명서의 자동 백업 일정 잡기를 참조하십시오.

[ElastiCache.2] Redis 캐시 ElastiCache 클러스터의 경우 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5)

범주: 식별 > 취약성, 패치 및 버전 관리

심각도: 높음

리소스 유형: AWS::ElastiCache::CacheCluster

AWS Config 규칙: elasticache-auto-minor-version-upgrade-check

스케줄 유형: 주기적

파라미터: 없음

이 컨트롤은 ElastiCache for Redis가 마이너 버전 업그레이드를 캐시 클러스터에 자동으로 적용하는지 여부를 평가합니다. Redis 캐시 ElastiCache 클러스터의 경우 마이너 버전 업그레이드가 자동으로 적용되지 않으면 이 제어가 실패합니다.

AutoMinorVersionUpgrade새로운 마이너 캐시 엔진 버전이 출시되면 Redis에서 ElastiCache 캐시 클러스터를 자동으로 업그레이드하도록 설정할 수 있는 기능입니다. 이러한 업그레이드에는 보안 패치 및 버그 수정이 포함될 수 있습니다. 패치 설치 상태를 유지하는 up-to-date 것은 시스템 보안을 유지하기 위한 중요한 단계입니다.

이제 Security Hub가 와 통합되었습니다

기존 ElastiCache Redis용 캐시 클러스터에 자동 마이너 버전 업그레이드를 적용하려면 Amazon ElastiCache 사용 설명서의 엔진 버전 업그레이드를 참조하십시오.

[ElastiCache.3] ElastiCache Redis의 경우 복제 그룹에 자동 장애 조치가 활성화되어 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

범주: 복구 > 복원력 > 고가용성

심각도: 중간

리소스 유형: AWS::ElastiCache::ReplicationGroup

AWS Config 규칙: elasticache-repl-grp-auto-failover-enabled

스케줄 유형: 주기적

파라미터: 없음

이 컨트롤은 Redis 복제 그룹에 자동 장애 조치가 활성화되어 있는지 ElastiCache 확인합니다. Redis 복제 그룹에 자동 장애 조치가 활성화되어 있지 않으면 이 제어가 실패합니다.

복제 그룹에 대해 자동 장애 조치가 활성화된 경우 기본 노드의 역할은 자동으로 읽기 전용 복제본 중 하나로 장애 조치됩니다. 이러한 장애 조치 및 복제본 승격을 통해 승격이 완료된 후 새 기본 복제본에 대한 쓰기를 재개할 수 있으므로 실패 시 전체 가동 중지 시간이 줄어듭니다.

이제 Security Hub가 와 통합되었습니다

기존 ElastiCache Redis용 복제 그룹의 자동 장애 조치를 활성화하려면 Amazon ElastiCache 사용 설명서의 ElastiCache 클러스터 수정을 참조하십시오. ElastiCache 콘솔을 사용하는 경우 자동 장애 조치를 활성화됨으로 설정하십시오.

[ElastiCache.4] Redis 복제 그룹의 ElastiCache 경우 유휴 상태에서 그룹을 암호화해야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)

카테고리: 보호 > 데이터 보호 > 암호화 data-at-rest

심각도: 중간

리소스 유형: AWS::ElastiCache::ReplicationGroup

AWS Config 규칙: elasticache-repl-grp-encrypted-at-rest

스케줄 유형: 주기적

파라미터: 없음

이 컨트롤은 Redis 복제 그룹이 유휴 상태에서 암호화되었는지 ElastiCache 확인합니다. ElastiCache Redis용 복제 그룹이 유휴 상태에서 암호화되지 않으면 이 제어가 실패합니다.

데이터를 저장 시 암호화하면 인증되지 않은 사용자가 디스크에 저장된 데이터에 액세스할 위험이 줄어듭니다. ElastiCache Redis의 경우 추가 보안 계층을 위해 복제 그룹을 유휴 상태에서 암호화해야 합니다.

이제 Security Hub가 와 통합되었습니다

ElastiCache Redis용 복제 그룹에서 저장 중 암호화를 구성하려면 Amazon ElastiCache 사용 설명서의 유휴 암호화 활성화를 참조하십시오.

[ElastiCache.5] ElastiCache Redis의 경우 복제 그룹은 전송 중에 암호화되어야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-17(2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5(1), NIST.800-53.r5 SC-12(3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SI-7(6)

카테고리: 보호 > 데이터 보호 > 암호화 data-in-transit

심각도: 중간

리소스 유형: AWS::ElastiCache::ReplicationGroup

AWS Config 규칙: elasticache-repl-grp-encrypted-in-transit

스케줄 유형: 주기적

파라미터: 없음

이 컨트롤은 Redis 복제 그룹이 전송 중에 암호화되었는지 ElastiCache 확인합니다. ElastiCache Redis용 복제 그룹이 전송 중에 암호화되지 않으면 이 제어가 실패합니다.

전송 데이터를 암호화하면 권한이 없는 사용자가 네트워크 트래픽을 도청할 위험이 줄어듭니다. ElastiCache Redis용 복제 그룹에서 전송 중 암호화를 활성화하면 클러스터 내 노드 간 또는 클러스터와 애플리케이션 간 등 데이터가 한 위치에서 다른 위치로 이동할 때마다 데이터가 암호화됩니다.

이제 Security Hub가 와 통합되었습니다

Redis 복제 그룹에서 전송 중 암호화를 구성하려면 Amazon ElastiCache 사용 설명서의 전송 중 암호화 활성화를 참조하십시오. ElastiCache

[ElastiCache.6] 버전 6.0 이전의 Redis 복제 그룹의 ElastiCache 경우 Redis 인증을 사용해야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-6

범주: 보호 > 보안 액세스 관리

심각도: 중간

리소스 유형: AWS::ElastiCache::ReplicationGroup

AWS Config 규칙: elasticache-repl-grp-redis-auth-enabled

스케줄 유형: 주기적

파라미터: 없음

이 컨트롤은 Redis 복제 그룹에 Redis ElastiCache AUTH가 활성화되어 있는지 확인합니다. Redis 버전의 노드가 6.0 미만이고 사용 중이 아닌 경우 ElastiCache Redis용 복제 그룹에 대한 제어가 실패합니다. AuthToken

Redis 인증 토큰 또는 비밀번호를 사용하는 경우 Redis는 클라이언트가 명령을 실행하도록 허용하기 전에 비밀번호를 요구하므로 데이터 보안이 향상됩니다. Redis 6.0 이상 버전의 경우 RBAC(역할 기반 액세스 제어)를 사용하는 것이 좋습니다. 6.0 이전의 Redis 버전에서는 RBAC가 지원되지 않으므로 이 제어는 RBAC 기능을 사용할 수 없는 버전만 평가합니다.

이제 Security Hub가 와 통합되었습니다

ElastiCache Redis용 복제 그룹에서 Redis AUTH를 사용하려면 Amazon 사용 설명서의 기존 ElastiCache Redis용 클러스터의 AUTH 토큰 수정을 참조하십시오. ElastiCache

[ElastiCache.7] ElastiCache 클러스터는 기본 서브넷 그룹을 사용해서는 안 됩니다.

관련 요구 사항: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(5)

범주: 보호 > 보안 네트워크 구성

심각도: 높음

리소스 유형: AWS::ElastiCache::CacheCluster

AWS Config 규칙: elasticache-subnet-group-check

스케줄 유형: 주기적

파라미터: 없음

이 컨트롤은 ElastiCache 클러스터가 사용자 지정 서브넷 그룹으로 구성되어 있는지 확인합니다. 값이 default 있는 경우 ElastiCache 클러스터에 대한 CacheSubnetGroupName 제어가 실패합니다.

ElastiCache 클러스터를 시작할 때 기본 서브넷 그룹이 아직 없는 경우 기본 서브넷 그룹이 생성됩니다. 기본 그룹은 기본 Virtual Private Cloud(VPC)의 서브넷을 사용합니다. 클러스터가 있는 서브넷과 클러스터가 서브넷에서 상속하는 네트워킹을 더욱 제한하는 사용자 지정 서브넷 그룹을 사용하는 것이 좋습니다.

이제 Security Hub가 와 통합되었습니다

ElastiCache 클러스터의 새 서브넷 그룹을 생성하려면 Amazon ElastiCache 사용 설명서의 서브넷 그룹 생성을 참조하십시오.