Controles do Security Hub para o Amazon EMR - AWS Security Hub
[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito

Controles do Security Hub para o Amazon EMR

Esses controles do AWS Security Hub CSPM avaliam o serviço e os recursos do Amazon EMR (anteriormente denominado Amazon Elastic MapReduce). Os controles podem não estar disponíveis em todas as Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.

[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos

Requisitos relacionados: PCI DSS v3.2.1/1.2.1,PCI DSS v3.2.1/1.3.1,PCI DSS v3.2.1/1.3.2,PCI DSS v3.2.1/1.3.4,PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

Categoria: Proteger > Configuração de rede segura

Gravidade: alta

Tipo de recurso: AWS::EMR::Cluster

Regra do AWS Config: emr-master-no-public-ip

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se os nós principais nos clusters do Amazon EMR têm endereços IP públicos. O controle falhará se os endereços IP públicos estiverem associados a qualquer uma das instâncias do nó principal.

Os endereços IP públicos são designados no campo PublicIp da configuração NetworkInterfaces da instância. Esse controle verifica somente os clusters do Amazon EMR que estão em um estado RUNNING ou WAITING.

Correção

Durante a inicialização, você pode controlar se sua instância em uma sub-rede padrão ou não padrão é atribuída a um endereço IPv4 público. Por padrão, as sub-redes padrão têm esse atributo definido como true. As sub-redes não padrão têm o atributo de endereçamento público IPv4 configurado como false, a menos que ele tenha sido criado pelo assistente de inicialização de instâncias do Amazon EC2. Nesse caso, o atributo é definido como true.

Após a inicialização, você não pode desassociar manualmente o endereço público IPv4 da sua instância.

Para corrigir uma falha na descoberta, é necessário iniciar um novo cluster em uma VPC com uma sub-rede privada que tenha o atributo de endereçamento público IPv4 definido como false. Para obter instruções, consulte Executar clusters em uma VPC no Guia de gerenciamento do Amazon EMR.

[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada

Requisitos relacionados: PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

Categoria: Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público

Gravidade: crítica

Tipo de recurso: AWS::::Account

Regra do AWS Config: emr-block-public-access

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se sua conta está configurada com o bloqueio de acesso público do Amazon EMR. O controle falhará se a configuração de bloqueio de acesso público não estiver habilitada ou se qualquer porta diferente da porta 22 for permitida.

O bloqueio de acesso público do Amazon EMR impede que você inicie um cluster em uma sub-rede pública se o cluster tiver uma configuração de segurança que permita tráfego de entrada de endereços IP públicos em uma porta. Quando um usuário de sua Conta da AWS inicia um cluster, o Amazon EMR verifica as regras de porta no grupo de segurança do cluster e as compara com as regras de tráfego de entrada. Se o grupo de segurança tiver uma regra de entrada que abra portas para os endereços IP públicos IPv4 0.0.0.0/0 ou IPv6 ::/0, e essas portas não forem especificadas como exceções para a conta, o Amazon EMR não permitirá que o usuário crie o cluster.

nota

O bloqueio de acesso público é habilitado por padrão. Para aumentar a proteção da conta, é recomendável mantê-la habilitada.

Correção

Para configurar o bloqueio de acesso público para o Amazon EMR, consulte Uso do bloqueio de acesso público do Amazon EMR no Guia de gerenciamento do Amazon EMR.

[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso

Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CP-9(8), NIST.800-53.r5 SI-12

Categoria: Proteger > Proteção de dados > Criptografia de dados em repouso

Gravidade: média

Tipo de recurso: AWS::EMR::SecurityConfiguration

AWS Config Regra: emr-security-configuration-encryption-rest

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Este controle verifica se uma configuração de segurança do Amazon EMR tem a criptografia em repouso habilitada. O controle falhará se a configuração de segurança não habilitar a criptografia em repouso.

Dados em repouso se referem a dados armazenados em um armazenamento persistente e não volátil por qualquer período. Criptografar os dados em repouso ajuda a proteger sua confidencialidade, reduzindo o risco de que um usuário não autorizado possa acessá-los.

Correção

Para habilitar a criptografia em repouso em uma configuração de segurança do Amazon EMR, consulte Configuração da criptografia de dados no Guia de gerenciamento do Amazon EMR.

[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito

Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3)

Categoria: Proteger > Proteção de dados > Criptografia de dados em trânsito

Gravidade: média

Tipo de recurso: AWS::EMR::SecurityConfiguration

AWS Config Regra: emr-security-configuration-encryption-transit

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Este controle verifica se uma configuração de segurança do Amazon EMR tem a criptografia em trânsito habilitada. O controle falhará se a configuração de segurança não habilitar a criptografia em trânsito.

Dados em trânsito se referem a dados que se movem de um local para outro, como entre os nós do cluster ou entre o cluster e a aplicação. Os dados podem se mover pela Internet ou em uma rede privada. Criptografar dados em trânsito reduz o risco de um usuário não autorizado espionar o tráfego da rede.

Correção

Para habilitar a criptografia em trânsito em uma configuração de segurança do Amazon EMR, consulte Configuração da criptografia de dados no Guia de gerenciamento do Amazon EMR.