Controles OpenSearch do Amazon Service - AWS Security Hub
Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativadaOs OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao públicoOs OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nósO registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativadoOs OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativadoOs OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dadosOs OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recenteOs OpenSearch domínios [Opensearch.9] devem ser marcadosOs OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instaladaOs OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controles OpenSearch do Amazon Service

Esses controles estão relacionados aos recursos OpenSearch do Serviço.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para ter mais informações, consulte Disponibilidade de controles por região.

Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SI-7(6)

Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest

Severidade: média

Tipo de recurso: AWS::OpenSearch::Domain

Regra do AWS Config : opensearch-encrypted-at-rest

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se os OpenSearch domínios têm a encryption-at-rest configuração ativada. Ocorrerá uma falha na verificação se a criptografia em repouso não estiver habilitada.

Para uma camada adicional de segurança para dados confidenciais, você deve configurar seu domínio de OpenSearch serviço para ser criptografado em repouso. Quando você configura a criptografia de dados em repouso, AWS KMS armazena e gerencia suas chaves de criptografia. Para realizar a criptografia, AWS KMS usa o algoritmo Advanced Encryption Standard com chaves de 256 bits (AES-256).

Para saber mais sobre a criptografia OpenSearch de serviços em repouso, consulte Criptografia de dados em repouso para o Amazon OpenSearch Service no Amazon OpenSearch Service Developer Guide.

Correção

Para habilitar a criptografia em repouso para OpenSearch domínios novos e existentes, consulte Habilitar a criptografia de dados em repouso no Amazon OpenSearch Service Developer Guide.

Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

Categoria: Proteger > Configuração de rede segura > Recursos na VPC

Severidade: crítica

Tipo de recurso: AWS::OpenSearch::Domain

Regra do AWS Config : opensearch-in-vpc-only

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se os OpenSearch domínios estão em uma VPC. Ele não avalia a configuração de roteamento da sub-rede da VPC para determinar a acessibilidade pública.

Você deve garantir que os OpenSearch domínios não estejam vinculados a sub-redes públicas. Consulte as políticas baseadas em recursos no Amazon OpenSearch Service Developer Guide. Você também deve garantir que a VPC esteja configurada de acordo com as melhores práticas recomendadas. Para saber mais, consulte Grupos de segurança para a VPC no Guia do usuário do Amazon VPC.

OpenSearch os domínios implantados em uma VPC podem se comunicar com os recursos da VPC pela AWS rede privada, sem a necessidade de atravessar a Internet pública. Essa configuração aumenta a postura de segurança ao limitar o acesso aos dados em trânsito. As VPCs fornecem vários controles de rede para proteger o acesso aos OpenSearch domínios, incluindo ACL de rede e grupos de segurança. O Security Hub recomenda que você migre OpenSearch domínios públicos para VPCs para aproveitar esses controles.

Correção

Se você criar um domínio com um endpoint público, não será possível colocá-lo em uma VPC posteriormente. Em vez disso, você deve criar um novo domínio e migrar seus dados. O inverso também é verdadeiro. Se você criar um domínio com uma VPC, ele não poderá ter um endpoint público. Em vez disso, você deve criar outro domínio ou desabilitar esse controle.

Para obter instruções, consulte Lançamento de seus domínios do Amazon OpenSearch Service em uma VPC no OpenSearch Amazon Service Developer Guide.

Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós

Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2)

Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit

Severidade: média

Tipo de recurso: AWS::OpenSearch::Domain

Regra do AWS Config : opensearch-node-to-node-encryption-check

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se os OpenSearch domínios têm a node-to-node criptografia ativada. Esse controle falhará se a node-to-node criptografia estiver desativada no domínio.

O HTTPS (TLS) pode ser usado para ajudar a impedir que possíveis invasores espionem ou manipulem o tráfego da rede usando ataques similares. person-in-the-middle Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. A ativação da node-to-node criptografia para OpenSearch domínios garante que as comunicações dentro do cluster sejam criptografadas em trânsito.

Pode haver uma penalidade de desempenho associada a essa configuração. Você deve estar ciente e testar a compensação de desempenho antes de ativar essa opção.

Correção

Para habilitar a node-to-node criptografia em um OpenSearch domínio, consulte Como ativar a node-to-node criptografia no Amazon OpenSearch Service Developer Guide.

O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado

Requisitos relacionados: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8)

Categoria: Identificar > Registro em log

Severidade: média

Tipo de recurso: AWS::OpenSearch::Domain

Regra do AWS Config : opensearch-logs-to-cloudwatch

Tipo de programação: acionado por alterações

Parâmetros:

  • logtype = 'error' (não personalizável)

Esse controle verifica se os OpenSearch domínios estão configurados para enviar registros de erros para o CloudWatch Logs. Esse controle falhará se o registro de erros não CloudWatch estiver habilitado para um domínio.

Você deve ativar os registros de erros para OpenSearch domínios e enviá-los aos CloudWatch Registros para retenção e resposta. Os logs de erros do domínio podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.

Correção

Para habilitar a publicação de registros, consulte Ativação da publicação de registros (console) no Amazon OpenSearch Service Developer Guide.

Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado

Requisitos relacionados: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8)

Categoria: Identificar > Registro em log

Severidade: média

Tipo de recurso: AWS::OpenSearch::Domain

Regra do AWS Config : opensearch-audit-logging-enabled

Tipo de programação: acionado por alterações

Parâmetros:

  • cloudWatchLogsLogGroupArnList (não personalizável): o Security Hub não preenche esse parâmetro. Lista separada por vírgulas de grupos de CloudWatch registros de registros que devem ser configurados para registros de auditoria.

Essa regra é NON_COMPLIANT válida se o grupo de CloudWatch registros de registros do OpenSearch domínio não estiver especificado nessa lista de parâmetros.

Esse controle verifica se os OpenSearch domínios têm o registro de auditoria ativado. Esse controle falhará se um OpenSearch domínio não tiver o registro de auditoria ativado.

Os registros em log de auditoria são altamente personalizáveis. Eles permitem que você acompanhe a atividade do usuário em seus OpenSearch clusters, incluindo sucessos e falhas de autenticação, solicitaçõesOpenSearch, alterações de índice e consultas de pesquisa recebidas.

Correção

Para obter instruções sobre como habilitar registros de auditoria, consulte Habilitar registros de auditoria no Amazon OpenSearch Service Developer Guide.

Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

Categoria: Recuperação > Resiliência > Alta disponibilidade

Severidade: média

Tipo de recurso: AWS::OpenSearch::Domain

Regra do AWS Config : opensearch-data-node-fault-tolerance

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se os OpenSearch domínios estão configurados com pelo menos três nós de dados e zoneAwarenessEnabled estátrue. Esse controle falhará para um OpenSearch domínio se instanceCount for menor que 3 ou zoneAwarenessEnabled forfalse.

Um OpenSearch domínio requer pelo menos três nós de dados para alta disponibilidade e tolerância a falhas. A implantação de um OpenSearch domínio com pelo menos três nós de dados garante as operações do cluster se um nó falhar.

Correção

Para modificar o número de nós de dados em um OpenSearch domínio

  1. Faça login no AWS console e abra o console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/.

  2. Em Meus domínios, escolha o nome do domínio a ser editado e escolha Editar.

  3. Em Nós de dados, defina Número de nós como um número maior que 3. Se estiver fazendo implantações em três zonas de disponibilidade, defina um múltiplo de três para garantir uma distribuição igual entre as zonas de disponibilidade.

  4. Selecione Enviar.

Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado

Requisitos relacionados: NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6

Categoria: Proteger > Gerenciamento de acesso seguro > Ações confidenciais de API restritas

Severidade: alta

Tipo de recurso: AWS::OpenSearch::Domain

Regra do AWS Config : opensearch-access-control-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se os OpenSearch domínios têm um controle de acesso refinado ativado. O controle falhará se o controle de acesso refinado não estiver habilitado. O controle de acesso refinado exige que advanced-security-options o OpenSearch parâmetro update-domain-config seja ativado.

O controle de acesso refinado oferece formas adicionais de controlar o acesso aos seus dados no Amazon Service. OpenSearch

Correção

Para habilitar o controle de acesso refinado, consulte Controle de acesso refinado no Amazon Service no Amazon OpenSearch Service Developer Guide. OpenSearch

[Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente

Requisitos relacionados: NIST.800-53.r5 AC-17(2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5(1), NIST.800-53.r5 SC-12(3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SI-7(6)

Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit

Severidade: média

Tipo de recurso: AWS::OpenSearch::Domain

Regra do AWS Config : opensearch-https-required

Tipo de programação: acionado por alterações

Parâmetros:

  • tlsPolicies: Policy-Min-TLS-1-2-PFS-2023-10 (não personalizável)

Isso controla se um endpoint de domínio do Amazon OpenSearch Service está configurado para usar a política de segurança TLS mais recente. O controle falhará se o endpoint do OpenSearch domínio não estiver configurado para usar a política compatível mais recente ou se o HTTPs não estiver habilitado.

O HTTPS (TLS) pode ser usado para ajudar a impedir que possíveis invasores usem ataques semelhantes para espionar person-in-the-middle ou manipular o tráfego da rede. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. A criptografia de dados em trânsito pode afetar o desempenho. Você deve testar seu aplicativo com esse atributo para entender o perfil de desempenho e o impacto do TLS. O TLS 1.2 fornece vários aprimoramentos de segurança em relação às versões anteriores do TLS.

Correção

Para ativar a criptografia TLS, use a operação da UpdateDomainConfigAPI. Configure o DomainEndpointOptionscampo para especificar o valor paraTLSSecurityPolicy. Para obter mais informações, consulte ode-to-node Criptografia N no Amazon OpenSearch Service Developer Guide.

Os OpenSearch domínios [Opensearch.9] devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::OpenSearch::Domain

Regra AWS Config : tagged-opensearch-domain (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro Descrição Tipo Valores personalizados permitidos Valor padrão do Security Hub
requiredTagKeys Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. StringList Lista de tags que atendem aos AWS requisitos No default value

Esse controle verifica se um domínio do Amazon OpenSearch Service tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o domínio não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o domínio não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define permissões com base em tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. Você pode criar uma única política ABAC ou um conjunto separado de políticas para seus diretores do IAM. Você pode criar essas políticas ABAC para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte Para que serve o ABAC? AWS no Guia do usuário do IAM.

nota

Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seus AWS recursos no. Referência geral da AWS

Correção

Para adicionar tags a um domínio OpenSearch de serviço, consulte Como trabalhar com tags no Amazon OpenSearch Service Developer Guide.

Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada

Requisitos relacionados: NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5)

Categoria: Identificar > Gerenciamento de vulnerabilidades, patches e versões

Severidade: baixa

Tipo de recurso: AWS::OpenSearch::Domain

Regra do AWS Config : opensearch-update-check

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um domínio do Amazon OpenSearch Service tem a atualização de software mais recente instalada. O controle falhará se uma atualização de software estiver disponível, mas não instalada para o domínio.

OpenSearch As atualizações do software de serviço fornecem as correções, atualizações e recursos mais recentes da plataforma disponíveis para o ambiente. Manter up-to-date a instalação do patch ajuda a manter a segurança e a disponibilidade do domínio. Se você não tomar nenhuma ação sobre as atualizações necessárias, o software do serviço será atualizado automaticamente (normalmente após duas semanas). Recomendamos programar atualizações durante um período de pouco tráfego para o domínio para minimizar a interrupção do serviço.

Correção

Para instalar atualizações de software para um OpenSearch domínio, consulte Iniciando uma atualização no Amazon OpenSearch Service Developer Guide.

Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-36, Nist.800-53.r5 SI-13

Categoria: Recuperação > Resiliência > Alta disponibilidade

Severidade: média

Tipo de recurso: AWS::OpenSearch::Domain

Regra do AWS Config : opensearch-primary-node-fault-tolerance

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um domínio do Amazon OpenSearch Service está configurado com pelo menos três nós primários dedicados. O controle falhará se o domínio tiver menos de três nós primários dedicados.

OpenSearch O serviço usa nós primários dedicados para aumentar a estabilidade do cluster. Um nó primário dedicado executa tarefas de gerenciamento de clusters, mas não retém dados nem responde às solicitações de upload de dados. Recomendamos que você use o Multi-AZ com standby, o que adiciona três nós primários dedicados a cada domínio de produção OpenSearch .

Correção

Para alterar o número de nós primários de um OpenSearch domínio, consulte Criação e gerenciamento de domínios do Amazon OpenSearch Service no Amazon OpenSearch Service Developer Guide.