Security Hub 控件适用于 ElastiCache - AWS Security Hub
[ElastiCache.1] ElastiCache (RedisOSS) 集群应启用自动备份[ElastiCache.2] ElastiCache (RedisOSS) 集群应启用自动次要版本升级[ElastiCache.3] ElastiCache 复制组应启用自动故障切换[ElastiCache.4] ElastiCache 复制组应进行静态加密[ElastiCache.5] ElastiCache 复制组在传输过程中应加密[ElastiCache.6] ElastiCache (RedisOSS)早期版本的复制组应启用 Redis OSS AUTH[ElastiCache.7] ElastiCache 群集不应使用默认子网组

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Security Hub 控件适用于 ElastiCache

这些 AWS Security Hub 控制措施用于评估 Amazon ElastiCache 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息,请参阅 按地区划分的控件可用性

[ElastiCache.1] ElastiCache (RedisOSS) 集群应启用自动备份

相关要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、NIST .800-53.r5 SI-12、.800-53.r5 SI-13 (5) NIST

类别:恢复 > 弹性 > 启用备份

严重性:

资源类型:AWS::ElastiCache::CacheClusterAWS:ElastiCache:ReplicationGroup

AWS Config 规则:elasticache-redis-cluster-automatic-backup-check

计划类型:定期

参数:

参数 描述 类型 允许的自定义值 Security Hub 默认值

snapshotRetentionPeriod

最短快照保留期(以天为单位)

整数

135

1

此控件用于评估 Amazon ElastiCache (RedisOSS) 集群是否已计划自动备份。如果 Redis 集群的 SnapshotRetentionLimit 小于指定时间段,则控制失败。除非您为快照保留期提供自定义参数值,否则 Security Hub 将使用默认值即 1 天。

亚马逊 ElastiCache (RedisOSS) 集群可以备份其数据。可以使用备份还原集群或为新集群做种。备份包含集群的元数据以及集群中的所有数据。所有备份都会写入 Amazon Simple Storage Service (Amazon S3),该服务提供持久存储。您可以通过创建新的 Redis 集群并使用备份中的数据填充该集群来恢复数据。您可以使用 AWS Management Console、 AWS Command Line Interface (AWS CLI) 和来管理备份 ElastiCache API。

修复

要在 ElastiCache (RedisOSS) 集群上安排自动备份,请参阅 Amazon ElastiCache 用户指南中的安排自动备份

[ElastiCache.2] ElastiCache (RedisOSS) 集群应启用自动次要版本升级

相关要求:NIST.800-53.r5 SI-2、.800-53.r5 SI-2 (2)、NIST .800-53.r5 SI-2 (4)、.800-53.r5 SI-2 (5) v4.0.1/6.3.3 NIST NIST PCI DSS

类别:识别 > 漏洞、补丁和版本管理

严重性:

资源类型:AWS::ElastiCache::CacheCluster

AWS Config 规则:elasticache-auto-minor-version-upgrade-check

计划类型:定期

参数:

此控件评估 ElastiCache (RedisOSS) 是否自动对缓存集群应用次要版本升级。如果 ElastiCache (RedisOSS)缓存集群没有自动应用次要版本升级,则控制失败。

AutoMinorVersionUpgrade是一项您可以在 ElastiCache (RedisOSS) 中开启的功能,以便在新的次要缓存引擎版本可用时自动升级缓存集群。这些升级可能包括安全补丁和错误修复。继续 up-to-date安装补丁是保护系统的重要一步。

修复

要对现有 ElastiCache (RedisOSS) 缓存集群应用自动次要版本升级,请参阅 Amazon ElastiCache 用户指南中的升级引擎版本

[ElastiCache.3] ElastiCache 复制组应启用自动故障切换

相关要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、NIST .800-53.r5 SI-13 (5)

类别:恢复 > 弹性 > 高可用性

严重性:

资源类型:AWS::ElastiCache::ReplicationGroup

AWS Config 规则:elasticache-repl-grp-auto-failover-enabled

计划类型:定期

参数:

此控件检查 ElastiCache 复制组是否启用了自动故障转移。如果未为复制组启用自动故障转移,则控制失败。

为复制组启用自动失效转移后,主节点的角色将自动将失效转移到其中一个只读副本。此失效转移和副本升级可确保您可以在升级完成后恢复写入新的主数据库,从而减少发生故障时的总体停机时间。

修复

要为现有 ElastiCache 复制组启用自动故障转移,请参阅 Amazon ElastiCache 用户指南中的修改 ElastiCache 集群。如果您使用 ElastiCache 控制台,请将自动故障转移设置为启用。

[ElastiCache.4] ElastiCache 复制组应进行静态加密

相关要求: NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、 NIST.800-53.r5 SC-2 8、 NIST.800-53.r5 SC-2 8 (1)、 NIST.800-53.r5 SC-7 (10)、NIST .800-53.r5 SI-7 (6)

类别:保护 > 数据保护 > 加密 data-at-rest

严重性:

资源类型:AWS::ElastiCache::ReplicationGroup

AWS Config 规则:elasticache-repl-grp-encrypted-at-rest

计划类型:定期

参数:

此控件检查 ElastiCache 复制组是否处于静态加密状态。如果复制组未进行静态加密,则控制失败。

对静态数据进行加密可降低未经身份验证的用户访问存储在磁盘上的数据的风险。 ElastiCache (RedisOSS) 复制组应进行静态加密,以增加安全性。

修复

要在 ElastiCache 复制组上配置静态加密,请参阅 A mazon ElastiCache 用户指南中的启用静态加密

[ElastiCache.5] ElastiCache 复制组在传输过程中应加密

相关要求: NIST.800-53.r5 AC-17 (2)、、 NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-1 2 (3)、3、3、3 ( NIST.800-53.r5 SC-13)、 NIST.800-53.r5 SC-2 (4)、 NIST.800-53.r5 SC-2 (1)、 NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8 NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)、v4.0.1/4.2.1 PCI DSS

类别:保护 > 数据保护 > 加密 data-in-transit

严重性:

资源类型:AWS::ElastiCache::ReplicationGroup

AWS Config 规则:elasticache-repl-grp-encrypted-in-transit

计划类型:定期

参数:

此控件检查 ElastiCache 复制组在传输过程中是否已加密。如果复制组在传输过程中未加密,则控制失败。

对传输中数据进行加密可降低未经授权的用户侦听网络流量的风险。在 ElastiCache 复制组上启用传输中的加密可在数据从一个位置移动到另一个位置时对其进行加密,例如在集群中的节点之间或集群与应用程序之间。

修复

要在 ElastiCache 复制组上配置传输中加密,请参阅 A mazon ElastiCache 用户指南中的启用传输中加密

[ElastiCache.6] ElastiCache (RedisOSS)早期版本的复制组应启用 Redis OSS AUTH

相关要求: NIST.800-53.r5 AC-2(1)、、 NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-6、PCI DSS v4.0.1/8.3.1

类别:保护 > 安全访问管理

严重性:

资源类型:AWS::ElastiCache::ReplicationGroup

AWS Config 规则:elasticache-repl-grp-redis-auth-enabled

计划类型:定期

参数:

此控件检查 ElastiCache (RedisOSS)复制组是否启用了 Redis OSS AUTH。如果复制组节点的 Redis OSS 版本低于 6.0 且AuthToken未在使用,则控制失败。

当您使用 Redis 身份验证令牌或密码时,Redis 在允许客户端运行命令之前需要密码,这提高了数据安全性。对于 Redis 6.0 及更高版本,我们建议使用基于角色的访问控制 ()。RBAC由RBAC于 6.0 之前的 Redis 版本不支持,因此此控件仅评估无法使用该功能的版本。RBAC

修复

要在 ElastiCache (RedisOSS) 复制组AUTH上使用 Redis,请参阅亚马逊 ElastiCache 用户指南中的修改现有 ElastiCache (RedisOSS) 集群上的AUTH令牌

[ElastiCache.7] ElastiCache 群集不应使用默认子网组

相关要求: NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 (5)

类别:保护 > 安全网络配置

严重性:

资源类型:AWS::ElastiCache::CacheCluster

AWS Config 规则:elasticache-subnet-group-check

计划类型:定期

参数:

此控件检查集 ElastiCache 群是否配置了自定义子网组。如果 ElastiCache 集群的值CacheSubnetGroupName为该值,则控制失败default

启动 ElastiCache 集群时,如果尚不存在默认子网组,则会创建一个默认子网组。默认组使用默认虚拟私有云中的子网 (VPC)。我们建议使用对集群所在子网以及集群从子网继承的网络进行更严格的限制的自定义子网组。

修复

要为 ElastiCache 集群创建新的子网组,请参阅 Amazon ElastiCache 用户指南中的创建子网组