As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles do Security Hub para ElastiCache
Esses AWS Security Hub os controles avaliam o ElastiCache serviço e os recursos da Amazon.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulteDisponibilidade de controles por região.
[ElastiCache.1] Os clusters ElastiCache (RedisOSS) devem ter backups automáticos habilitados
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST
Categoria: Recuperação > Resiliência > Backups ativados
Severidade: alta
Tipo de recurso: AWS::ElastiCache::CacheCluster,AWS:ElastiCache:ReplicationGroup
AWS Config regra: elasticache-redis-cluster-automatic-backup-check
Tipo de programação: Periódico
Parâmetros:
| Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
|
|
Período mínimo de retenção de snapshot em dias |
Inteiro |
|
|
Esse controle avalia se um cluster Amazon ElastiCache (RedisOSS) tem backups automáticos programados. O controle falhará se o SnapshotRetentionLimit para o cluster do Redis menor que o período de tempo especificado. A menos que você forneça um valor de parâmetro personalizado para o período de retenção do snapshot, o Security Hub usará um valor padrão de 1 dia.
Os clusters Amazon ElastiCache (RedisOSS) podem fazer backup de seus dados. O backup pode ser usado para restaurar um cluster ou propagar um novo cluster. O backup consiste nos metadados do cluster, juntamente com todos os dados do cluster. Todos os backups são gravados no Amazon Simple Storage Service (Amazon S3), que fornece armazenamento durável. Você pode restaurar seus dados criando um novo cluster Redis e preenchendo-o com dados de um backup. Você pode gerenciar backups usando o AWS Management Console, o AWS Command Line Interface (AWS CLI), e ElastiCache API o.
Correção
Para programar backups automáticos em um cluster ElastiCache (RedisOSS), consulte Programação de backups automáticos no Guia ElastiCache do usuário da Amazon.
[ElastiCache.2] Os clusters ElastiCache (RedisOSS) devem ter atualizações automáticas de versões secundárias habilitadas
Requisitos relacionados: NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), .800-53.r5 SI-2 (5) NIST NIST
Categoria: Identificar > Gerenciamento de vulnerabilidades, patches e versões
Severidade: alta
Tipo de recurso: AWS::ElastiCache::CacheCluster
AWS Config regra: elasticache-auto-minor-version-upgrade-check
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle avalia se o ElastiCache (RedisOSS) aplica automaticamente atualizações de versões secundárias aos clusters de cache. O controle falhará se os clusters de cache ElastiCache (RedisOSS) não tiverem atualizações de versão menores aplicadas automaticamente.
AutoMinorVersionUpgradeé um recurso que você pode ativar ElastiCache (RedisOSS) para que seus clusters de cache sejam atualizados automaticamente quando uma nova versão secundária do mecanismo de cache estiver disponível. Essas atualizações podem incluir patches de segurança e correções de erros. Continuar up-to-date com a instalação do patch é uma etapa importante para proteger os sistemas.
Correção
Para aplicar atualizações automáticas de versões secundárias a um cluster de cache existente ElastiCache (RedisOSS), consulte Atualização de versões do mecanismo no Guia do usuário da Amazon ElastiCache .
[ElastiCache.3] Os grupos de replicação ElastiCache (RedisOSS) devem ter o failover automático ativado
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Categoria: Recuperação > Resiliência > Alta disponibilidade
Severidade: média
Tipo de recurso: AWS::ElastiCache::ReplicationGroup
AWS Config regra: elasticache-repl-grp-auto-failover-enabled
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se um grupo de replicação ElastiCache (RedisOSS) tem o failover automático ativado. O controle falhará se o failover automático não estiver habilitado para um grupo de OSS replicação do Redis.
Quando o failover automático é habilitado para um grupo de replicação, o perfil do nó primário fará failover automaticamente para uma das réplicas de leitura. O failover e a promoção de réplica garantem que você possa continuar a gravar no novo primário assim que a promoção estiver concluída, reduzindo o tempo de interrupção geral em caso de falha.
Correção
Para habilitar o failover automático para um grupo de replicação existente ElastiCache (RedisOSS), consulte Modificação de um cluster ElastiCache no Guia do usuário da Amazon. ElastiCache Se você usa o ElastiCache console, defina o failover automático como ativado.
[ElastiCache.4] Os grupos de replicação ElastiCache (RedisOSS) devem ser criptografados em repouso
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)
Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest
Severidade: média
Tipo de recurso: AWS::ElastiCache::ReplicationGroup
AWS Config regra: elasticache-repl-grp-encrypted-at-rest
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se um grupo de replicação ElastiCache (RedisOSS) está criptografado em repouso. O controle falhará se um grupo de replicação ElastiCache (RedisOSS) não estiver criptografado em repouso.
Criptografar dados em repouso reduz o risco de um usuário não autenticado ter acesso aos dados armazenados em disco. ElastiCache Os grupos de replicação (RedisOSS) devem ser criptografados em repouso para uma camada adicional de segurança.
Correção
Para configurar a criptografia em repouso em um grupo de replicação ElastiCache (RedisOSS), consulte Habilitar a criptografia em repouso no Guia do usuário da Amazon. ElastiCache
[ElastiCache.5] Os grupos de replicação ElastiCache (RedisOSS) devem ser criptografados em trânsito
Requisitos relacionados: NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), NIST .800-53.r5 SI-7 (6)
Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit
Severidade: média
Tipo de recurso: AWS::ElastiCache::ReplicationGroup
AWS Config regra: elasticache-repl-grp-encrypted-in-transit
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se um grupo de replicação ElastiCache (RedisOSS) está criptografado em trânsito. O controle falhará se um grupo de replicação ElastiCache (RedisOSS) não estiver criptografado em trânsito.
Criptografar dados em trânsito reduz o risco de um usuário não autorizado espionar o tráfego da rede. A ativação da criptografia em trânsito em um grupo de replicação ElastiCache (RedisOSS) criptografa seus dados sempre que eles são movidos de um lugar para outro, como entre os nós do cluster ou entre o cluster e o aplicativo.
Correção
Para configurar a criptografia em trânsito em um grupo de replicação ElastiCache (RedisOSS), consulte Habilitar a criptografia em trânsito no Guia do usuário da Amazon. ElastiCache
[ElastiCache.6] ElastiCache (RedisOSS) grupos de replicação de versões anteriores devem ter o Redis ativado OSS AUTH
Requisitos relacionados: NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
Categoria: Proteger > Gerenciamento de acesso seguro
Severidade: média
Tipo de recurso: AWS::ElastiCache::ReplicationGroup
AWS Config regra: elasticache-repl-grp-redis-auth-enabled
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se um grupo de replicação ElastiCache (RedisOSS) tem o Redis OSS AUTH ativado. O controle falhará se a OSS versão Redis dos nós do grupo de replicação estiver abaixo de 6.0 e AuthToken não estiver em uso.
Ao usar os tokens de autenticação do Redis, ou senhas, o Redis exige uma senha antes de permitir que os clientes executem comandos, melhorando assim a segurança dos dados. Para o Redis 6.0 e versões posteriores, recomendamos usar o Controle de Acesso Baseado em Função (). RBAC Como não RBAC é compatível com versões do Redis anteriores à 6.0, esse controle avalia apenas as versões que não podem usar o recurso. RBAC
Correção
Para usar o Redis AUTH em um grupo de replicação ElastiCache (RedisOSS), consulte Modificação do AUTH token em um OSS cluster existente ElastiCache (Redis) no Guia do usuário da Amazon. ElastiCache
[ElastiCache.7] Os clusters ElastiCache (RedisOSS) não devem usar o grupo de sub-rede padrão
Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)
Categoria: Proteger > Configuração de rede segura
Severidade: alta
Tipo de recurso: AWS::ElastiCache::CacheCluster
AWS Config regra: elasticache-subnet-group-check
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se um cluster ElastiCache (RedisOSS) está configurado com um grupo de sub-rede personalizado. O controle falhará se CacheSubnetGroupName for um ElastiCache cluster tiver o valordefault.
Ao iniciar um ElastiCache cluster, um grupo de sub-rede padrão é criado, caso ainda não exista um. O grupo padrão usa sub-redes da nuvem privada virtual padrão ()VPC. Recomendamos usar grupos de sub-redes personalizados que sejam mais restritivos em relação às sub-redes em que o cluster reside e à rede que o cluster herda das sub-redes.
Correção
Para criar um novo grupo de sub-redes para um ElastiCache cluster, consulte Criação de um grupo de sub-redes no Guia ElastiCache do usuário da Amazon.
