SEC 1: Quais etapas você está tomando para controlar o acesso autorizado aos ElastiCache dados?SEC 2: Seus aplicativos exigem autorização adicional para além ElastiCache dos controles baseados em rede? SEG 3: Existe o risco de que os comandos possam ser executados acidentalmente, causando perda ou falha de dados? SEC 4: Como você garante a criptografia de dados em repouso com ElastiCache SEC 5: Como você criptografa dados em trânsito? ElastiCache SEG 6: Como restringir o acesso aos recursos do ambiente de gerenciamento? SEG 7: Como detectar e responder a eventos de segurança?

Pilar de segurança do Amazon ElastiCache Well-Architected Lens

O foco do pilar Segurança está na proteção de informações e sistemas. Os principais tópicos incluem confidencialidade e integridade dos dados, identificação e gerenciamento de quem pode fazer o quê com o gerenciamento baseado em privilégios, proteção de sistemas e estabelecimento de controles para detectar eventos de segurança.

Tópicos

SEC 1: Quais etapas você está tomando para controlar o acesso autorizado aos ElastiCache dados?
SEC 2: Seus aplicativos exigem autorização adicional para além ElastiCache dos controles baseados em rede?
SEG 3: Existe o risco de que os comandos possam ser executados acidentalmente, causando perda ou falha de dados?
SEC 4: Como você garante a criptografia de dados em repouso com ElastiCache
SEC 5: Como você criptografa dados em trânsito? ElastiCache
SEG 6: Como restringir o acesso aos recursos do ambiente de gerenciamento?
SEG 7: Como detectar e responder a eventos de segurança?

SEC 1: Quais etapas você está tomando para controlar o acesso autorizado aos ElastiCache dados?

Introdução em nível de pergunta: Todos os ElastiCache clusters são projetados para serem acessados a partir de instâncias do Amazon Elastic Compute Cloud em uma VPC, funções sem servidor () ou contêineres (Amazon Elastic Container Service)AWS Lambda. O cenário mais encontrado é acessar um ElastiCache cluster de uma instância do Amazon Elastic Compute Cloud dentro da mesma Amazon Virtual Private Cloud (Amazon Virtual Private Cloud). Antes de poder se conectar a um cluster usando uma instância do Amazon EC2, você deve autorizar a instância do Amazon EC2 a acessar o cluster. Para acessar um ElastiCache cluster em execução em uma VPC, é necessário conceder a entrada de rede ao cluster.

Benefício: a entrada de rede no cluster é controlada por meio de grupos de segurança da VPC. Um grupo de segurança atua como firewall virtual para as instâncias do Amazon EC2 a fim de controlar o tráfego de entrada e saída. As regras de entrada controlam o tráfego de entrada para a instância e as regras de saída controlam o tráfego de saída da instância. No caso de ElastiCache, ao iniciar um cluster, é necessário associar um grupo de segurança. Isso garante que as regras de tráfego de entrada e saída estejam em vigor para todos os nós que compõem o cluster. Além disso, ElastiCache está configurado para ser implantado exclusivamente em sub-redes privadas, de forma que elas só possam ser acessadas por meio da rede privada da VPC.

[Obrigatório] O grupo de segurança associado ao seu cluster controla a entrada na rede e o acesso ao cluster. Por padrão, um grupo de segurança não terá nenhuma regra de entrada definida e, portanto, nenhum caminho de entrada para. ElastiCache Para habilitar isso, configure uma regra de entrada no grupo de segurança especificando o endereço/intervalo IP de origem, o tráfego do tipo TCP e a porta do seu ElastiCache cluster (porta padrão 6379 para (Redis OSS), por exemplo ElastiCache ). Embora seja possível permitir um conjunto muito amplo de fontes de entrada, como todos os recursos em uma VPC (0.0.0.0/0), é recomendável ser o mais granular possível na definição das regras de entrada, como autorizar somente o acesso de entrada aos clientes Redis OSS executados em instâncias do Amazon Amazon EC2 associadas a um grupo de segurança específico.

[Recursos]:
AWS Identity and Access Management As políticas [obrigatórias] podem ser atribuídas a AWS Lambda funções que lhes permitem acessar ElastiCache os dados. Para ativar esse recurso, crie uma função de execução do IAM com a AWSLambdaVPCAccessExecutionRole permissão e atribua a função à AWS Lambda função.

[Recursos]: Configurando uma função Lambda para acessar a Amazon em uma ElastiCache Amazon VPC: Tutorial: Configurando uma função Lambda para acessar a Amazon em uma Amazon VPC ElastiCache

SEC 2: Seus aplicativos exigem autorização adicional para além ElastiCache dos controles baseados em rede?

Introdução em nível de pergunta: em cenários em que é necessário restringir ou controlar o acesso aos clusters ElastiCache (Redis OSS) em um nível de cliente individual, é recomendável autenticar por meio do comando AUTH ElastiCache (Redis OSS). ElastiCache Os tokens de autenticação (Redis OSS), com gerenciamento opcional de usuários e grupos de usuários, permitem que o ElastiCache (Redis OSS) exija uma senha antes de permitir que os clientes executem comandos e acessem chaves, melhorando assim a segurança do plano de dados.

Benefício em nível de pergunta: para ajudar a manter seus dados seguros, o ElastiCache (Redis OSS) fornece mecanismos de proteção contra o acesso não autorizado aos seus dados. Isso inclui aplicar a autenticação de controle de acesso baseado em função (RBAC) ou o token de AUTH (senha) a serem usados pelos clientes para se conectarem antes de executar comandos autorizados. ElastiCache

[Melhor] Para ElastiCache (Redis OSS) 6.x e superior, defina controles de autenticação e autorização definindo grupos de usuários, usuários e cadeias de acesso. Atribua usuários a grupos de usuários, depois atribua grupos de usuários a clusters. Para utilizar o RBAC, ele deve ser selecionado na criação do cluster e a criptografia em trânsito deve estar habilitada. Verifique se você está usando um cliente Redis OSS compatível com TLS para poder aproveitar o RBAC.

[Recursos]:
[Melhor] Para versões ElastiCache (Redis OSS) anteriores à 6.x, além de definir um token/senha forte e manter uma política de senha rígida para o AUTH ElastiCache (Redis OSS), é uma prática recomendada alternar a senha/token. ElastiCache pode gerenciar até dois (2) tokens de autenticação a qualquer momento. Você também pode modificar o cluster para exigir explicitamente o uso de tokens de autenticação.

[Recursos]: modificando o token AUTH em um cluster existente ElastiCache (Redis OSS)

SEG 3: Existe o risco de que os comandos possam ser executados acidentalmente, causando perda ou falha de dados?

Introdução em nível de pergunta: há vários comandos do Redis OSS que podem ter impactos adversos nas operações se executados por engano ou por agentes mal-intencionados. Esses comandos podem ter consequências não intencionais do ponto de vista da performance e da segurança dos dados. Por exemplo, um desenvolvedor pode chamar rotineiramente o comando FLUSHALL em um ambiente de desenvolvimento e, devido a um erro, pode tentar inadvertidamente chamar esse comando em um sistema de produção, resultando em perda acidental de dados.

Benefício em nível de pergunta: a partir do ElastiCache (Redis OSS) 5.0.3, você pode renomear determinados comandos que podem prejudicar sua carga de trabalho. Renomear os comandos pode ajudar a evitar que sejam executados acidentalmente no cluster.

[Obrigatório]

[Recursos]:

SEC 4: Como você garante a criptografia de dados em repouso com ElastiCache

Introdução em nível de pergunta: Embora o ElastiCache (Redis OSS) seja um armazenamento de dados na memória, é possível criptografar qualquer dado que possa ser persistido (no armazenamento) como parte das operações padrão do cluster. Isso inclui backups programados e manuais gravados no Amazon S3, bem como dados salvos no armazenamento em disco como resultado de operações de sincronização e troca. Os tipos de instância nas famílias M6g e R6g também oferecem criptografia sempre ativa em memória.

Benefício em nível de pergunta: ElastiCache (Redis OSS) fornece criptografia opcional em repouso para aumentar a segurança dos dados.

[Obrigatório] A criptografia em repouso só pode ser ativada em um ElastiCache cluster (grupo de replicação) quando é criada. Um cluster existente não pode ser modificado para começar a criptografar dados em repouso. Por padrão, ElastiCache fornecerá e gerenciará as chaves usadas na criptografia em repouso.

[Recursos]:
- Condições da criptografia em repouso
- Ativar criptografia em repouso
[Ideal] Utilize os tipos de instância do Amazon EC2 que criptografam dados enquanto eles estão na memória (como M6g ou R6g). Sempre que possível, considere gerenciar suas próprias chaves para criptografia em repouso. Para ambientes de segurança de dados mais rigorosos, o AWS Key Management Service (KMS) pode ser usado para autogerenciar chaves mestras de cliente (CMK). Por meio da ElastiCache integração com AWS Key Management Service, você pode criar, possuir e gerenciar as chaves usadas para criptografia de dados em repouso para seu cluster ElastiCache (Redis OSS).

[Recursos]:

SEC 5: Como você criptografa dados em trânsito? ElastiCache

Introdução: é um requisito comum evitar que os dados sejam comprometidos em trânsito. Isso representa dados dentro de componentes de um sistema distribuído, bem como entre clientes de aplicativos e nós de cluster. ElastiCache (Redis OSS) suporta esse requisito ao permitir a criptografia de dados em trânsito entre clientes e clusters e entre os próprios nós do cluster. Os tipos de instância nas famílias M6g e R6g também oferecem criptografia sempre ativa em memória.

Benefício em nível de pergunta: a criptografia ElastiCache em trânsito da Amazon é um recurso opcional que permite aumentar a segurança de seus dados nos pontos mais vulneráveis, quando eles estão em trânsito de um local para outro.

[Obrigatório] A criptografia em trânsito só pode ser habilitada em um cluster ElastiCache (grupo de replicação) (Redis OSS) após a criação. Observe que, devido ao processamento adicional necessário para criptografar/descriptografar dados, a implementação da criptografia em trânsito vai afetar a performance. Para entender o impacto, é recomendável comparar sua carga de trabalho antes e depois da ativação. encryption-in-transit

[Recursos]:
- Visão geral da criptografia em trânsito

SEG 6: Como restringir o acesso aos recursos do ambiente de gerenciamento?

Introdução em nível de pergunta: as políticas do IAM e o ARN permitem controles de acesso refinados para ElastiCache (Redis OSS), permitindo um controle mais rígido para gerenciar a criação, modificação e exclusão de clusters (Redis OSS). ElastiCache

Benefício em nível de pergunta: o gerenciamento de ElastiCache recursos da Amazon, como grupos de replicação, nós etc. pode ser restrito a AWS contas que tenham permissões específicas com base nas políticas do IAM, melhorando a segurança e a confiabilidade dos recursos.

[Obrigatório] Gerencie o acesso aos ElastiCache recursos da Amazon atribuindo AWS Identity and Access Management políticas específicas aos AWS usuários, permitindo um controle mais preciso sobre quais contas podem realizar quais ações nos clusters.

[Recursos]:
- Visão geral do gerenciamento de permissões de acesso aos seus ElastiCache recursos
- Usando políticas baseadas em identidade (políticas do IAM) para a Amazon ElastiCache

SEG 7: Como detectar e responder a eventos de segurança?

Introdução em nível de pergunta:ElastiCache, quando implantado com o RBAC ativado, exporta CloudWatch métricas para notificar os usuários sobre eventos de segurança. Essas métricas ajudam a identificar tentativas fracassadas de autenticação, acesso a chaves ou execução de comandos para os quais os usuários do RBAC não têm autorização.

Além disso, AWS os recursos de produtos e serviços ajudam a proteger sua carga de trabalho geral automatizando implantações e registrando todas as ações e modificações para posterior revisão/auditoria.

Benefício: ao monitorar eventos, sua organização consegue responder de acordo com seus requisitos, políticas e procedimentos. Automatizar o monitoramento e as respostas a esses eventos de segurança fortalece sua postura geral de segurança.

[Obrigatório] Familiarize-se com as CloudWatch métricas publicadas relacionadas às falhas de autenticação e autorização do RBAC.
- AuthenticationFailures = Tentativas falhadas de autenticação no Redis OSS
- KeyAuthorizationFailures = Tentativas fracassadas dos usuários de acessar as chaves sem permissão
- CommandAuthorizationFailures = Tentativas falhadas dos usuários de executar comandos sem permissão
[Recursos]:
- Métricas para Redis OSS
[Ideal] É recomendável configurar alertas e notificações sobre essas métricas e responder conforme necessário.

[Recursos]:
- Usando CloudWatch alarmes da Amazon
[Melhor] Use o comando Redis OSS ACL LOG para obter mais detalhes

[Recursos]:
- ACL LOG
[Melhor] Familiarize-se com os recursos de AWS produtos e serviços relacionados ao monitoramento, registro e análise de ElastiCache implantações e eventos

[Recursos]:

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Pilar Excelência operacional

Pilar da confiabilidade