Amazon에 대한 Security Hub 제어 EMR

이러한 AWS Security Hub 제어는 AmazonEMR(이전 명칭: Amazon Elastic MapReduce) 서비스 및 리소스를 평가합니다.

이러한 제어 기능을 전혀 사용하지 못할 수 있습니다 AWS 리전. 자세한 내용은 리전별 제어 기능 사용 가능 여부 단원을 참조하십시오.

[EMR.1] Amazon EMR 클러스터 기본 노드에는 퍼블릭 IP 주소가 없어야 합니다.

관련 요구 사항: PCI DSS v3.2.1/1.2.1,PCI DSS v3.2.1/1.3.1,PCI DSS v3.2.1/1.3.2,PCI DSS v3.2.1/1.3.4,PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-21 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

범주: 보호 > 보안 네트워크 구성

심각도: 높음

리소스 유형: AWS::EMR::Cluster

AWS Config 규칙: emr-master-no-public-ip

스케줄 유형: 주기적

파라미터: 없음

이 제어는 Amazon EMR 클러스터의 마스터 노드에 퍼블릭 IP 주소가 있는지 확인합니다. 퍼블릭 IP 주소가 프라이머리 노드 인스턴스 중 하나와 연결되어 있는 경우, 제어가 실패합니다.

퍼블릭 IP 주소는 인스턴스에 대한 NetworkInterfaces 구성의 PublicIp 필드에 지정됩니다. 이 제어는 RUNNING 또는 WAITING 상태의 Amazon EMR 클러스터만 확인합니다.

문제 해결

시작 중에 기본 서브넷의 인스턴스에 퍼블릭 주소가 할당되는지 아니면 기본 서브넷이 아닌 서브넷에 퍼블릭 IPv4 주소가 할당되는지 제어할 수 있습니다. 기본적으로 기본 서브넷의 속성 값은 true로 설정되어 있습니다. 기본값이 아닌 서브넷은 Amazon 인스턴스 EC2 시작 마법사에서 생성하지 false않은 한 IPv4 퍼블릭 주소 지정 속성이 로 설정되어 있습니다. 이 경우, 속성이 true로 설정됩니다.

시작 후에는 인스턴스에서 퍼블릭 IPv4 주소의 연결을 수동으로 해제할 수 없습니다.

실패한 결과를 해결하려면 IPv4 퍼블릭 주소 지정 속성이 로 설정된 프라이빗 서브넷이 VPC 있는에서 새 클러스터를 시작해야 합니다false. 지침은 Amazon EMR 관리 안내서의 로 클러스터 시작VPC을 참조하세요.

[EMR.2] Amazon 퍼블릭 액세스 EMR 차단 설정을 활성화해야 합니다.

관련 요구 사항: PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

범주: 보호 > 보안 액세스 관리 > 공개적으로 액세스할 수 없는 리소스

심각도: 심각

리소스 유형: AWS::::Account

AWS Config 규칙: emr-block-public-access

스케줄 유형: 주기적

파라미터: 없음

이 제어는 계정이 Amazon 퍼블릭 액세스 EMR 차단으로 구성되어 있는지 확인합니다. 퍼블릭 액세스 차단 설정이 활성화되지 않았거나 포트 22가 아닌 다른 포트가 허용되면 제어가 실패합니다.

Amazon 퍼블릭 액세스 EMR 차단은 클러스터에 포트의 퍼블릭 IP 주소로부터의 인바운드 트래픽을 허용하는 보안 구성이 있는 경우 퍼블릭 서브넷에서 클러스터를 시작하지 못하도록 합니다. 의 AWS 계정 사용자가 클러스터를 시작하면 Amazon은 클러스터에 대한 보안 그룹의 포트 규칙을 EMR 확인하고 이를 인바운드 트래픽 규칙과 비교합니다. 보안 그룹에 퍼블릭 IP 주소 0.0.0.0/0 또는 IPv6 ::/0에 대한 IPv4 포트를 여는 인바운드 규칙이 있고 해당 포트가 계정에 대한 예외로 지정되지 않은 경우 Amazon은 사용자가 클러스터를 생성하도록 허용하지 EMR 않습니다.

참고

퍼블릭 액세스 차단은 기본적으로 활성화되어 있습니다. 계정 보호를 강화하려면 이 기능을 활성화된 상태로 유지하는 것이 좋습니다.

문제 해결

Amazon에 대한 퍼블릭 액세스 차단을 구성하려면 Amazon EMR 관리 안내서의 Amazon 퍼블릭 액세스 EMR 차단 사용을 EMR참조하세요.