Controles do Elasticsearch - AWS Security Hub
[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado[ES.5] Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado[ES.6] Os domínios do Elasticsearch devem ter pelo menos três nós de dados[ES.7] Os domínios do Elasticsearch devem ser configurados com pelo menos três nós principais dedicados[ES.8] As conexões com os domínios do Elasticsearch devem ser criptografadas usando a política de segurança mais recente TLS[ES.9] Os domínios do Elasticsearch devem ser marcados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controles do Elasticsearch

Esses controles estão relacionados aos recursos do Elasticsearch.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para ter mais informações, consulte Disponibilidade de controles por região.

[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.

Requisitos relacionados: PCI DSS v3.2.1/3.4, NIST .800-53.r5 CA-9 (1), .800-53.r5 CM-3 (6), .800-53.r5 SC-13, .800-53.r5 NIST SC-28, .800-53.r5 SC-28 (1), .800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6) NIST NIST NIST NIST

Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest

Severidade: média

Tipo de recurso: AWS::Elasticsearch::Domain

Regra do AWS Config : elasticsearch-encrypted-at-rest

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se os domínios do Elasticsearch têm a configuração da criptografia em repouso habilitada. Ocorrerá uma falha na verificação se a criptografia em repouso não estiver habilitada.

Para uma camada adicional de segurança para seus dados confidenciais OpenSearch, você deve configurá-los OpenSearch para serem criptografados em repouso. Os domínios do Elasticsearch oferecem criptografia de dados em repouso. O recurso é usado AWS KMS para armazenar e gerenciar suas chaves de criptografia. Para realizar a criptografia, ele usa o algoritmo Advanced Encryption Standard com chaves de 256 bits (AES-256).

Para saber mais sobre OpenSearch criptografia em repouso, consulte Criptografia de dados em repouso para o Amazon OpenSearch Service no Amazon OpenSearch Service Developer Guide.

Certos tipos de instâncias, como t.small e t.medium, não oferecem suporte à criptografia de dados em repouso. Para obter detalhes, consulte Tipos de instância compatíveis no Amazon OpenSearch Service Developer Guide.

Correção

Para habilitar a criptografia em repouso para domínios novos e existentes do Elasticsearch, consulte Habilitar a criptografia de dados em repouso no Amazon OpenSearch Service Developer Guide.

[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, v3.2.1/1.3.4, v3.2.1/1.3.6, .800-53.r5 AC-21, .800-53.r5 AC-3, PCI DSS .800-53.r5 AC-3 (7), .800-53.r5 AC-4, PCI DSS .800-53.r5 AC-4 (21), NIST .800-53.r5 AC-6, .800-53.r5 SC-7, .800-53.r5 SC-7 (11), NIST .800-53.r5 SC-7 (16), .800-53.r5 SC-7 (20), NIST .800-53.r5 SC-7 (21), NIST NIST NIST NIST NIST NIST NIST NIST NIST.800-53.r5 SC-7 (3), .800-53.r5 SC-7 (4), NIST .800-53.r5 SC-7 (9) NIST

Categoria: Proteger > Configuração de rede segura > Recursos dentro VPC

Severidade: crítica

Tipo de recurso: AWS::Elasticsearch::Domain

Regra do AWS Config : elasticsearch-in-vpc-only

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se os domínios do Elasticsearch estão em um. VPC Ele não avalia a configuração de roteamento de VPC sub-rede para determinar o acesso público. Você deve garantir que os domínios do Elasticsearch não estejam anexados a sub-redes públicas. Consulte as políticas baseadas em recursos no Amazon OpenSearch Service Developer Guide. Você também deve garantir que o seu VPC esteja configurado de acordo com as melhores práticas recomendadas. Consulte as melhores práticas de segurança para você VPC no Guia VPC do usuário da Amazon.

Os domínios do Elasticsearch implantados em um VPC podem se comunicar com VPC recursos pela AWS rede privada, sem a necessidade de atravessar a Internet pública. Essa configuração aumenta a postura de segurança ao limitar o acesso aos dados em trânsito. VPCsforneça vários controles de rede para proteger o acesso aos domínios do Elasticsearch, incluindo grupos de rede ACL e segurança. O Security Hub recomenda que você migre domínios públicos do Elasticsearch VPCs para aproveitar esses controles.

Correção

Se você criar um domínio com um endpoint público, não poderá colocá-lo posteriormente em umVPC. Em vez disso, você deve criar um novo domínio e migrar seus dados. O inverso também é verdadeiro. Se você criar um domínio em umVPC, ele não poderá ter um endpoint público. Em vez disso, você deve criar outro domínio ou desabilitar esse controle.

Consulte Lançamento de seus domínios do Amazon OpenSearch Service VPC em um no Amazon OpenSearch Service Developer Guide.

[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós

Requisitos relacionados: NIST .800-53.r5 AC-4, .800-53.r5 SC-13, .800-53.r5 SC-23, NIST .800-53.r5 SC-23 (3), .800-53.r5 SC-7 (4), NIST .800-53.r5 SC-8, .800-53.r5 SC-8 (1), NIST .800-53.r5 SC-8 (2) NIST NIST NIST NIST

Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit

Severidade: média

Tipo de recurso: AWS::Elasticsearch::Domain

Regra do AWS Config : elasticsearch-node-to-node-encryption-check

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um domínio do Elasticsearch tem node-to-node criptografia habilitada. O controle falhará se o domínio Elasticsearch não tiver a node-to-node criptografia habilitada. O controle também produz descobertas malsucedidas se uma versão do Elasticsearch não oferecer suporte a verificações de node-to-node criptografia.

HTTPS(TLS) pode ser usado para ajudar a impedir que possíveis invasores espionem ou manipulem o tráfego da rede usando ataques similares. person-in-the-middle Somente conexões criptografadas por meio de HTTPS (TLS) devem ser permitidas. Habilitar a node-to-node criptografia para domínios do Elasticsearch garante que as comunicações dentro do cluster sejam criptografadas em trânsito.

Pode haver uma penalidade de desempenho associada a essa configuração. Você deve estar ciente e testar a compensação de desempenho antes de ativar essa opção.

Correção

Para obter informações sobre como habilitar a node-to-node criptografia em domínios novos e existentes, consulte Habilitar a node-to-node criptografia no Amazon OpenSearch Service Developer Guide.

[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado

Requisitos relacionados: NIST .800-53.r5 AC-2 (4), .800-53.r5 AC-4 (26), NIST .800-53.r5 AC-6 (9), .800-53.r5 AU-10, .800-53.r5 AU-12, .800-53.r5 AU-2, NIST .800-53.r5 AU-3, .800-53.r5 AU-6 (3), NIST .800-53.r5 -53.r5 AU-6 (4), .800-53.r5 CA-7, NIST .800-53.r5 SC-7 (9), .800-53.r5 SI-3 (8), NIST .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST NIST NIST NIST NIST NIST NIST

Categoria: Identificar – Registro em log

Severidade: média

Tipo de recurso: AWS::Elasticsearch::Domain

Regra do AWS Config : elasticsearch-logs-to-cloudwatch

Tipo de programação: acionado por alterações

Parâmetros:

  • logtype = 'error' (não personalizável)

Esse controle verifica se os domínios do Elasticsearch estão configurados para enviar registros de erros aos Logs. CloudWatch

Você deve habilitar os registros de erros para os domínios do Elasticsearch e enviá-los aos Logs para CloudWatch retenção e resposta. Os logs de erros do domínio podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.

Correção

Para obter informações sobre como habilitar a publicação de registros, consulte Habilitando a publicação de registros (console) no Amazon OpenSearch Service Developer Guide.

[ES.5] Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado

Requisitos relacionados: NIST .800-53.r5 AC-2 (4), .800-53.r5 AC-4 (26), NIST .800-53.r5 AC-6 (9), .800-53.r5 AU-10, .800-53.r5 AU-12, .800-53.r5 AU-2, NIST .800-53.r5 AU-3, .800-53.r5 AU-6 (3), NIST .800-53.r5 -53.r5 AU-6 (4), .800-53.r5 CA-7, NIST .800-53.r5 SC-7 (9), .800-53.r5 SI-3 (8), NIST .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST NIST NIST NIST NIST NIST NIST

Categoria: Identificar > Registro em log

Severidade: média

Tipo de recurso: AWS::Elasticsearch::Domain

Regra AWS Config : elasticsearch-audit-logging-enabled (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

  • cloudWatchLogsLogGroupArnList (não personalizável). O Security Hub não preenche esse parâmetro. Lista separada por vírgulas de grupos de CloudWatch registros de registros que devem ser configurados para registros de auditoria.

    Essa regra é válida NON_COMPLIANT se o grupo de CloudWatch registros de registros do domínio Elasticsearch não estiver especificado nessa lista de parâmetros.

Esse controle verifica se os domínios do Elasticsearch têm o registro em log de auditoria ativado. Esse controle falhará se um domínio do Elasticsearch não tiver o registro em log de auditoria ativado.

Os registros em log de auditoria são altamente personalizáveis. Eles permitem que você acompanhe a atividade do usuário em seus clusters do Elasticsearch, incluindo sucessos e falhas de autenticação, solicitações, alterações de indexação e consultas de pesquisa recebidas. OpenSearch

Correção

Para obter instruções detalhadas sobre como habilitar registros de auditoria, consulte Habilitar registros de auditoria no Amazon OpenSearch Service Developer Guide.

[ES.6] Os domínios do Elasticsearch devem ter pelo menos três nós de dados

Requisitos relacionados: NIST .800-53.r5 CP-10, .800-53.r5 CP-6 (2), NIST .800-53.r5 SC-36, .800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5) NIST NIST

Categoria: Recuperação > Resiliência > Alta disponibilidade

Severidade: média

Tipo de recurso: AWS::Elasticsearch::Domain

Regra AWS Config : elasticsearch-data-node-fault-tolerance (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se os domínios do Elasticsearch estão configurados com pelo menos três nós de dados e zoneAwarenessEnabled é true.

Um domínio do Elasticsearch requer pelo menos três nós de dados para alta disponibilidade e tolerância a falhas. A implantação de um domínio do Elasticsearch com pelo menos três nós de dados garante as operações do cluster se um nó falhar.

Correção

Para modificar o número de nós de dados em um domínio do Elasticsearch

  1. Abra o console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/.

  2. Em Domínios, escolha o nome do domínio que você deseja editar.

  3. Selecione Edit domain (Editar domínio).

  4. Em Nós de dados, defina Número de nós como um número maior ou igual a 3.

    Para três implantações de zona de disponibilidade, defina um múltiplo de três para garantir uma distribuição igual entre as zonas de disponibilidade.

  5. Selecione Enviar.

[ES.7] Os domínios do Elasticsearch devem ser configurados com pelo menos três nós principais dedicados

Requisitos relacionados: NIST .800-53.r5 CP-10, .800-53.r5 CP-6 (2), NIST .800-53.r5 SC-36, .800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5) NIST NIST

Categoria: Recuperação > Resiliência > Alta disponibilidade

Severidade: média

Tipo de recurso: AWS::Elasticsearch::Domain

Regra AWS Config: elasticsearch-primary-node-fault-tolerance (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se os domínios do Elasticsearch estão configurados com pelo menos três nós primários dedicados. Esse controle falhará se o domínio não usar nós primários dedicados. Esse controle passa se os domínios do Elasticsearch tiverem cinco nós primários dedicados. No entanto, o uso de mais de três nós primários pode ser desnecessário para reduzir o risco de disponibilidade e resultará em custos adicionais.

Um domínio do Elasticsearch requer pelo menos três nós primários dedicados para alta disponibilidade e tolerância a falhas. Os recursos dedicados do nó primário podem ser sobrecarregados durante as implantações azul/verde do nó de dados porque há nós adicionais para gerenciar. A implantação de um domínio do Elasticsearch com pelo menos três nós primários dedicados garante capacidade suficiente de recursos do nó primário e operações de cluster se um nó falhar.

Correção

Para modificar o número de nós primários dedicados em um OpenSearch domínio

  1. Abra o console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/.

  2. Em Domínios, escolha o nome do domínio que você deseja editar.

  3. Selecione Edit domain (Editar domínio).

  4. Em Nós principais dedicados, defina o Tipo de instância como o tipo de instância desejado.

  5. Defina o Número de nós principais igual a três ou mais.

  6. Selecione Enviar.

[ES.8] As conexões com os domínios do Elasticsearch devem ser criptografadas usando a política de segurança mais recente TLS

Requisitos relacionados: NIST .800-53.r5 AC-17 (2), .800-53.r5 AC-4, .800-53.r5 IA-5 (1), NIST .800-53.r5 SC-12 (3), NIST .800-53.r5 SC-13, .800-53.r5 SC-23 (3), .800-53.r5 SC-7 (4), NIST .800-53.r5 SC-8, .800-53.r5 SC-8 (1), NIST .800-53.r5 SC-8 (2), .800-53.r5 SI-7 (6) NIST NIST NIST NIST NIST NIST NIST

Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit

Severidade: média

Tipo de recurso: AWS::Elasticsearch::Domain

Regra AWS Config : elasticsearch-https-required (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Isso controla se um endpoint de domínio do Elasticsearch está configurado para usar a política de segurança mais recenteTLS. O controle falhará se o endpoint do domínio Elasticsearch não estiver configurado para usar a política mais recente suportada ou se HTTPs não estiver habilitado. A política de TLS segurança atual mais recente suportada éPolicy-Min-TLS-1-2-PFS-2023-10.

HTTPS(TLS) pode ser usado para ajudar a impedir que possíveis invasores usem ataques semelhantes para espionar person-in-the-middle ou manipular o tráfego da rede. Somente conexões criptografadas por meio de HTTPS (TLS) devem ser permitidas. A criptografia de dados em trânsito pode afetar o desempenho. Você deve testar seu aplicativo com esse recurso para entender o perfil de desempenho e o impacto doTLS. TLS1.2 fornece vários aprimoramentos de segurança em relação às versões anteriores do. TLS

Correção

Para ativar a TLS criptografia, use a UpdateDomainConfigAPIoperação para configurar o DomainEndpointOptionsobjeto. Isso define TLSSecurityPolicy o.

[ES.9] Os domínios do Elasticsearch devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::Elasticsearch::Domain

Regra AWS Config : tagged-elasticsearch-domain (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro Descrição Tipo Valores personalizados permitidos Valor padrão do Security Hub
requiredTagKeys Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. StringList Lista de tags que atendem aos AWS requisitos No default value

Esse controle verifica se um domínio do Elasticsearch tem tags com as chaves específicas definidas no parâmetro. requiredTagKeys O controle falhará se o domínio não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o domínio não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABACPara que serve AWS? no Guia do IAM usuário.

nota

Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seus AWS recursos no. Referência geral da AWS

Correção

Para adicionar tags a um domínio do Elasticsearch, consulte Como trabalhar com tags no Amazon OpenSearch Service Developer Guide.