As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Monitore ElastiCache clusters da Amazon para criptografia em repouso
Ambiente: produção | Tecnologias: segurança, identidade, conformidade; bancos de dados; infraestrutura; nativo de nuvem | Workload: código aberto |
Serviços da AWS: Amazon SNS; Amazon; Amazon CloudWatch ElastiCache |
Resumo
ElastiCache A Amazon é um serviço da Amazon Web Services (AWS) que fornece uma solução de cache de alto desempenho, escalável e econômica para distribuir um armazenamento de dados na memória ou um ambiente de cache na nuvem. Ele recupera dados de armazenamentos de dados na memória de alto throughput e baixa latência. Essa funcionalidade o torna uma escolha popular para casos de uso em tempo real, como armazenamento em cache, armazenamentos de sessões, jogos, serviços geoespaciais, análises em tempo real e filas. ElastiCache oferece armazenamentos de dados Redis e Memcached, ambos com tempos de resposta inferiores a um milissegundo.
A criptografia de dados ajuda a impedir que usuários não autorizados leiam dados em um cluster e em sistemas de armazenamento de dados em cache associados. Isso inclui dados salvos em mídias persistentes, conhecidos como dados em repouso, e dados que podem ser interceptados enquanto viajam pela rede entre servidores cache e clientes, conhecidos como dados em trânsito.
Você pode ativar a criptografia em repouso ElastiCache para o Redis ao criar um grupo de replicação, definindo o AtRestEncryptionEnabledparâmetro como verdadeiro. Quando esse parâmetro está habilitado, ele criptografa o disco durante as operações de sincronização, backup e troca, além de criptografar os backups armazenados no Amazon Simple Storage Service (Amazon S3). Não é possível habilitar a criptografia em repouso em grupos de replicação existentes. Ao criar um grupo de replicação, você pode habilitar a criptografia em repouso de duas maneiras:
Ao escolher a opção Padrão, que usa criptografia em repouso gerenciada por serviços.
Ao usar uma chave gerenciada pelo cliente e fornecer o ID da chave ou o nome do recurso da Amazon (ARN) do AWS Key Management Service (AWS KMS).
Esse padrão fornece um controle de segurança que monitora as chamadas de API e gera um evento Amazon CloudWatch Events na operação do CreateReplicationGrupo. Esse evento chama uma função do Lambda AWS, que executa um script Python. A função obtém o ID do grupo de replicação da entrada JSON do evento e executa as seguintes verificações para determinar se há uma violação de segurança:
Verifica se a AtRestEncryptionEnabledchave existe.
Se AtRestEncryptionEnabledexistir, verifica o valor para ver se é verdadeiro.
Se o AtRestEncryptionEnabledvalor for definido como false, define uma variável que rastreia violações e envia uma mensagem de violação para um endereço de e-mail fornecido por você, usando uma notificação do Amazon Simple Notification Service (Amazon SNS).
Pré-requisitos e limitações
Pré-requisitos
Uma conta AWS ativa
Um bucket do S3 para carregar o código do Lambda fornecido.
Um endereço de e-mail no qual você deseja receber notificações de violação.
ElastiCache registro ativado, para acesso a todos os registros da API.
Limitações
Esse controle de detecção é regional e deve ser implantado em cada região da AWS que você deseja monitorar.
O controle é compatível com grupos de replicação que executam em uma nuvem privada virtual (VPC).
O controle fornece suporte a grupos de replicação que estão executando os seguintes tipos de nós:
R5, R4, R3
M5, M4, M3
T3, T2
Versões do produto
ElastiCache para Redis versão 3.2.6 ou posterior
Arquitetura
Arquitetura de fluxo de trabalho
Automação e escala
Se você estiver usando o AWS Organizations, poderá usar o AWS Cloudformation StackSets para implantar esse modelo em várias contas que você deseja monitorar.
Ferramentas
Serviços da AWS
Amazon ElastiCache — A Amazon ElastiCache facilita a configuração, o gerenciamento e a escalabilidade de ambientes distribuídos de cache na memória na nuvem da AWS. Ele fornece um cache na memória de alto desempenho, redimensionável e econômico, ao mesmo tempo em que remove a complexidade associada à implantação e ao gerenciamento de um ambiente de cache distribuído. ElastiCache funciona com os mecanismos Redis e Memcached.
AWS CloudFormation — CloudFormation A AWS ajuda você a modelar e configurar seus recursos da AWS, provisioná-los de forma rápida e consistente e gerenciá-los durante todo o ciclo de vida. Você pode usar um modelo para descrever seus recursos e suas dependências, além de iniciá-los e configurá-los juntos como uma pilha, em vez de gerenciar recursos individualmente. Você pode gerenciar e provisionar pilhas em várias contas e regiões da AWS.
AWS Cloudwatch Events — A Amazon CloudWatch Events fornece um fluxo quase em tempo real de eventos do sistema que descrevem mudanças nos recursos da AWS. CloudWatch Os eventos ficam cientes das mudanças operacionais à medida que elas ocorrem e tomam medidas corretivas conforme necessário, enviando mensagens para responder ao ambiente, ativando funções, fazendo alterações e capturando informações de estado.
AWS Lambda – O AWS Lambda é um serviço de computação que permite a execução do código sem provisionar ou gerenciar servidores O Lambda executa o código somente quando necessário e escala automaticamente, desde algumas solicitações por dia a milhares por segundo. Você paga apenas pelo tempo de computação consumido. Não haverá cobranças quando o código não estiver em execução.
Amazon SNS – O Amazon Simple Notification Service (Amazon SNS) é um serviço da Web que coordena e gerencia o envio de mensagens entre publicadores e clientes, incluindo servidores da Web e endereços de e-mail. Os assinantes recebem todas as mensagens publicadas nos tópicos para os quais eles se inscrevem, e todos os assinantes em um tópico recebem as mesmas mensagens.
Código
Esse padrão inclui um anexo com dois arquivos:
ElasticCache-EncryptionAtRest.zip
é um arquivo compactado que inclui o controle de segurança (código Lambda).elasticache_encryption_at_rest.yml
é um CloudFormation modelo que implanta o controle de segurança.
Consulte a seção Épicos para obter informações sobre como usar esses arquivos.
Épicos
Tarefa | Descrição | Habilidades necessárias |
---|---|---|
Faça upload do código para um bucket do S3. | Crie um novo bucket do S3 ou use um bucket do S3 existente para carregar o arquivo | Arquiteto de nuvem |
Implante o CloudFormation modelo. | Abra o console do Cloudformation na mesma região da AWS do bucket S3 e implante o arquivo | Arquiteto de nuvem |
Tarefa | Descrição | Habilidades necessárias |
---|---|---|
Dar o nome do bucket do S3. | Insira o nome do bucket do S3 que você criou ou selecionou no primeiro épico. Esse bucket do S3 contém o arquivo.zip do código Lambda e deve estar na mesma região da AWS do CloudFormation modelo e do recurso que será avaliado. | Arquiteto de nuvem |
Forneça a chave S3. | Forneça a localização do arquivo.zip do código Lambda em seu bucket do S3, sem barras iniciais (por exemplo, | Arquiteto de nuvem |
Forneça um endereço de e-mail. | Forneça um endereço de e-mail ativo no qual você deseja receber notificações de violação. | Arquiteto de nuvem |
Especifique um nível de log. | Especifique o nível de registro e a verbosidade. | Arquiteto de nuvem |
Tarefa | Descrição | Habilidades necessárias |
---|---|---|
Confirme a assinatura por email. | Quando o CloudFormation modelo é implantado com sucesso, ele envia uma mensagem de e-mail de assinatura para o endereço de e-mail que você forneceu. Você deve confirmar essa assinatura de e-mail para receber notificações. | Arquiteto de nuvem |
Recursos relacionados
Criação de uma pilha no CloudFormation console da AWS ( CloudFormation documentação da AWS)
Criptografia em repouso ElastiCache para Redis (documentação da Amazon ElastiCache )
Anexos
Para acessar o conteúdo adicional associado a este documento, descompacte o seguinte arquivo: attachment.zip