Amazon EMR 제어 - AWS Security Hub
[EMR.1] Amazon EMR 클러스터 프라이머리 노드에는 퍼블릭 IP 주소가 없어야 합니다.[EMR.2] Amazon EMR 퍼블릭 액세스 차단 설정을 활성화해야 합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon EMR 제어

이러한 제어는 Amazon EMR 리소스와 관련이 있습니다.

이러한 컨트롤을 모두 AWS 리전사용할 수 있는 것은 아닙니다. 자세한 정보는 리전별 제어 기능 사용 가능 여부을 참조하세요.

[EMR.1] Amazon EMR 클러스터 프라이머리 노드에는 퍼블릭 IP 주소가 없어야 합니다.

관련 요구 사항: PCI DSS v3.2.1/1.2.1,PCI DSS v3.2.1/1.3.1,PCI DSS v3.2.1/1.3.2,PCI DSS v3.2.1/1.3.4,PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

범주: 보호 > 보안 네트워크 구성

심각도: 높음

리소스 유형: AWS::EMR::Cluster

AWS Config 규칙: emr-master-no-public-ip

스케줄 유형: 주기적

파라미터: 없음

이 제어는 Amazon EMR 클러스터의 프라이머리 노드에 퍼블릭 IP 주소가 있는지 확인합니다. 퍼블릭 IP 주소가 프라이머리 노드 인스턴스 중 하나와 연결되어 있는 경우 제어가 실패합니다.

퍼블릭 IP 주소는 인스턴스에 대한 NetworkInterfaces 구성의 PublicIp 필드에 지정됩니다. 이 제어는 RUNNING 또는 WAITING 상태에 있는 Amazon EMR 클러스터만 검사합니다.

이제 Security Hub가 와 통합되었습니다

시작하는 동안 기본 또는 기본이 아닌 서브넷의 인스턴스에 퍼블릭 IPv4 주소를 할당할지 여부를 제어할 수 있습니다. 기본적으로 기본 서브넷의 속성 값은 true로 설정되어 있습니다. 기본이 아닌 서브넷은 Amazon EC2 시작 인스턴스 마법사로 생성되지 않은 한 IPv4 퍼블릭 주소 지정 속성이 false로 설정되어 있습니다. 이 경우 속성이 true로 설정됩니다.

시작 후에는 인스턴스에서 퍼블릭 IPv4 주소를 수동으로 연결 해제할 수 없습니다.

실패한 결과를 수정하려면 IPv4 퍼블릭 주소 지정 속성이 false으로 설정된 프라이빗 서브넷이 있는 VPC에서 새 클러스터를 시작해야 합니다. 지침은 Amazon EMR 관리 안내서VPC로 클러스터 시작을 참조하세요.

[EMR.2] Amazon EMR 퍼블릭 액세스 차단 설정을 활성화해야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

범주: 보호 > 보안 액세스 관리 > 공개적으로 액세스할 수 없는 리소스

심각도: 심각

리소스 유형: AWS::::Account

AWS Config 규칙: emr-block-public-access

스케줄 유형: 주기적

파라미터: 없음

이 제어는 계정이 Amazon EMR 퍼블릭 액세스 차단을 사용하여 구성되어 있는지 확인합니다. 퍼블릭 액세스 차단 설정이 활성화되지 않았거나 포트 22가 아닌 다른 포트가 허용되면 제어가 실패합니다.

Amazon EMR 퍼블릭 액세스 차단을 사용하면 클러스터에 포트의 퍼블릭 IP 주소로부터 들어오는 인바운드 트래픽을 허용하는 보안 구성이 있는 경우 퍼블릭 서브넷에서 클러스터를 시작할 수 없습니다. AWS 계정 의 사용자가 클러스터를 시작하면 Amazon EMR은 클러스터의 보안 그룹에서 포트 규칙을 확인하고 이를 인바운드 트래픽 규칙과 비교합니다. 보안 그룹에 퍼블릭 IP 주소 IPv4 0.0.0.0/0 또는 IPv6: :/0에 대해 포트를 여는 인바운드 규칙이 있고 해당 포트가 계정에 대한 예외로 지정되지 않은 경우 Amazon EMR은 사용자의 클러스터 생성을 허용하지 않습니다.

참고

퍼블릭 액세스 차단은 기본적으로 활성화되어 있습니다. 계정 보호를 강화하려면 이 기능을 활성화된 상태로 유지하는 것이 좋습니다.

이제 Security Hub가 와 통합되었습니다

Amazon EMR에 대한 퍼블릭 액세스 차단을 구성하려면 Amazon EMR 관리 가이드Amazon EMR 블록 퍼블릭 액세스 사용을 참조하세요.