适用于 Amazon OpenSearch Service 的 Security Hub 控件 - AWS Security Hub
[Opensearch.1] OpenSearch 域名应启用静态加密[Opensearch.2] OpenSearch 域名不可供公共访问[Opensearch.3] OpenSearch 域应加密节点之间发送的数据[Opensearch.4] 应启用 OpenSearch 域错误日志记录到 CloudWatch Logs 的功能。[Opensearch.5] OpenSearch 域名应该启用审核日志[Opensearch.6] OpenSearch 域应拥有至少三个数据节点[Opensearch.7] OpenSearch 域应启用对访问权限精细控制[Opensearch.8] 连接到 OpenSearch 域时应使用最新的 TLS 安全策略进行加密[Opensearch.9] 应标记 OpenSearch 域[Opensearch.10] OpenSearch 域应安装最新的软件更新[Opensearch.11] OpenSearch 域应拥有至少三个专用主节点

适用于 Amazon OpenSearch Service 的 Security Hub 控件

这些 AWS Security Hub CSPM 控件可评估 Amazon OpenSearch Service(OpenSearch Service)服务和资源。这些控件可能并非在所有 AWS 区域都可用。有关更多信息,请参阅 按地区划分的控件可用性

[Opensearch.1] OpenSearch 域名应启用静态加密

相关要求:PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/7.2.1、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SI-7(6)。

类别:保护 > 数据保护 > 静态数据加密

严重性:

资源类型:AWS::OpenSearch::Domain

AWS Config 规则: opensearch-encrypted-at-rest

计划类型:已触发变更

参数:

此控件检查 OpenSearch 域是否启用静态加密配置。如果未启用静态加密,检查将失败。

为了为敏感数据增加一层安全保护,您应该将 OpenSearch Service 域配置为静态加密。配置静态数据加密时,AWS KMS 会存储和管理加密密钥。为执行加密,AWS KMS 使用具有 256 位密钥 (AES-256) 的高级加密标准算法。

要了解有关 OpenSearch Service 静态加密的更多信息,请参阅 Amazon OpenSearch Service 开发人员指南中的 Amazon OpenSearch Service 静态数据加密

修复

要了解有关新的和现有 OpenSearch 静态加密的更多信息,请参阅《Amazon OpenSearch Service 开发人员指南》中的启用静态数据加密

[Opensearch.2] OpenSearch 域名不可供公共访问

相关要求:PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

类别:保护 > 安全网络配置 > VPC 内的资源

严重性:严重

资源类型:AWS::OpenSearch::Domain

AWS Config 规则: opensearch-in-vpc-only

计划类型:已触发变更

参数:

此控件检查 OpenSearch 域是否位于 VPC 中。它不会评估 VPC 子网路由配置来确定公共访问。

您应该确保 OpenSearch 域未连接到公有子网。请参阅 Amazon OpenSearch Service 开发人员指南中的基于资源的策略。您还应该确保根据建议的最佳实践配置了 VPC。请参阅 Amazon VPC 用户指南中的 VPC 安全最佳实践

部署在 VPC 内的 OpenSearch 域可以通过私有 AWS 网络与 VPC 资源通信,无需穿越公共 Internet。此配置通过限制对传输中数据的访问来提高安全状况。VPC 提供了许多网络控制来保护对 OpenSearch 域的访问,包括网络 ACL 和安全组。Security Hub 建议您将公有 OpenSearch 域迁移到 VPC,以利用这些控件。

修复

如果您创建一个具有公有端点的域,则以后无法将其放置在 VPC 中。您必须创建一个新的域,然后迁移数据。反之亦然。如果在 VPC 中创建一个域,则该域不能具有公有端点。您必须创建另一个域或禁用该控制。

有关说明,请参阅 Amazon OpenSearch Service 开发人员指南中的在 VPC 内启动 Amazon OpenSearch Service 域

[Opensearch.3] OpenSearch 域应加密节点之间发送的数据

相关要求:NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)。

类别:保护 > 数据保护 > 传输中数据加密

严重性:

资源类型:AWS::OpenSearch::Domain

AWS Config 规则: opensearch-node-to-node-encryption-check

计划类型:已触发变更

参数:

此控件检查 OpenSearch S域是否已启用节点到节点加密。如果在域上禁用节点到节点加密,则此控制失败。

HTTPS (TLS) 可用于帮助防止潜在攻击者使用中间人或类似攻击来侦听或操纵网络流量。只能允许通过 HTTPS (TLS) 进行加密连接。为 OpenSearch 域启用节点到节点加密可确保集群内部通信在传输过程中得到加密。

此配置可能会降低性能。在启用此选项之前,您应该了解并测试性能权衡。

修复

要在 OpenSearch 域上启用节点到节点加密,请参阅《Amazon OpenSearch Service Developer Guide》中的 Enabling node-to-node encryption

[Opensearch.4] 应启用 OpenSearch 域错误日志记录到 CloudWatch Logs 的功能。

相关要求:NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)。

类别:识别 > 日志记录

严重性:

资源类型:AWS::OpenSearch::Domain

AWS Config 规则: opensearch-logs-to-cloudwatch

计划类型:已触发变更

参数:

  • logtype = 'error'(不可自定义)

此控件检查 OpenSearch 域是否配置为向 CloudWatch Logs 发送错误日志。如果未为某个域启用向 CloudWatch 的错误日志记录,则此控制失败。

您应该为 OpenSearch 域启用错误日志,并将这些日志发送到 CloudWatch Logs 以进行保留和响应。域错误日志可以帮助进行安全和访问审计,还可以帮助诊断可用性问题。

修复

要启用日志发布,请参阅 Amazon OpenSearch Service 开发人员指南中的启用日志发布(控制台)

[Opensearch.5] OpenSearch 域名应该启用审核日志

相关要求: NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)、PCI DSS v4.0.1/10.2.1

类别:识别 > 日志记录

严重性:

资源类型:AWS::OpenSearch::Domain

AWS Config 规则: opensearch-audit-logging-enabled

计划类型:已触发变更

参数:

  • cloudWatchLogsLogGroupArnList(不可自定义)- Security Hub 不会填充此参数。应为审核日志配置的 CloudWatch Logs 日志组列表,以逗号分隔。

此控件用于检查 OpenSearch 域名是否启用了审核日志。如果 OpenSearch 域未启用审核日志,则此控制失败。

审核日志是高度可定制的。它们允许您跟踪 OpenSearch 集群上的用户活动,包括身份验证成功和失败、对 OpenSearch 的请求、索引更改和传入的搜索查询。

修复

有关启用审核日志记录的说明,请参阅 Amazon OpenSearch Service 开发人员指南中的启用审核日志

[Opensearch.6] OpenSearch 域应拥有至少三个数据节点

相关要求:NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)。

类别:恢复 > 弹性 > 高可用性

严重性:

资源类型:AWS::OpenSearch::Domain

AWS Config 规则: opensearch-data-node-fault-tolerance

计划类型:已触发变更

参数:

此控件会检查 OpenSearch 域是否配置了至少三个数据节点,并且 zoneAwarenessEnabledtrue。如果 OpenSearch 域名 instanceCount 小于 3 或 zoneAwarenessEnabledfalse,则此控制失败。

要实现集群级别的高可用性和容错能力,OpenSearch 域应至少有三个数据节点。部署具有至少三个数据节点的 OpenSearch 域可确保在节点出现故障时集群运行。

修复

修改 OpenSearch 域中的数据节点数量

  1. 登录 AWS 控制台并通过以下网址打开 Amazon OpenSearch Service 控制台:https://console.aws.amazon.com/aos/

  2. 我的域名下,选择要编辑的域名,然后选择编辑

  3. 数据节点下,将节点数设置为大于 3 的数字。如果您要部署到三个可用区,将该数字设置为三的倍数,以确保可用区间的分布均等。

  4. 选择提交

[Opensearch.7] OpenSearch 域应启用对访问权限精细控制

相关要求:NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-5、NIST.800-53.r5 AC-6。

类别:保护 > 安全访问管理 > 敏感的 API 操作受限

严重性:

资源类型:AWS::OpenSearch::Domain

AWS Config 规则: opensearch-access-control-enabled

计划类型:已触发变更

参数:

此控件检查 OpenSearch 域名是否启用了精细的访问控制。如果未启用精细访问控制,则控制失败。精细访问控制需要 advanced-security-options 在 OpenSearch 参数 update-domain-config 中启用。

精细访问控制提供了用于控制对 Amazon OpenSearch Service 上的数据的访问的其他方法。

修复

要启用精细访问控制,请参阅 Amazon OpenSearch Service 开发人员指南中的 Amazon OpenSearch Service 中的精细访问控制

[Opensearch.8] 连接到 OpenSearch 域时应使用最新的 TLS 安全策略进行加密

相关要求:NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)。

类别:保护 > 数据保护 > 传输中数据加密

严重性:

资源类型:AWS::OpenSearch::Domain

AWS Config 规则: opensearch-https-required

计划类型:已触发变更

参数:

  • tlsPolicies: Policy-Min-TLS-1-2-PFS-2023-10(不可自定义)

此控件可检查 Amazon OpenSearch Service 域端点是否配置为使用最新的 TLS 安全策略。如果 OpenSearch 域端点未配置为使用最新的支持策略或如果未启用 HTTP,则此控件将失败。

可以使用 HTTPS (TLS) 帮助防止潜在攻击者使用中间人攻击或类似攻击来窃听或操纵网络流量。只能允许通过 HTTPS (TLS) 进行加密连接。加密传输中数据可能会影响性能。您应该使用此功能测试应用程序,以了解性能概况和 TLS 的影响。与先前版本的 TLS 相比,TLS 1.2 提供了多项安全增强功能。

修复

要启用 TLS 加密,请使用 UpdateDomainConfig API 操作。配置 DomainEndpointOptions 字段以指定 TLSSecurityPolicy 的值。有关更多信息,请参阅 Amazon OpenSearch Service 开发人员指南中的节点到节点加密

[Opensearch.9] 应标记 OpenSearch 域

类别:识别 > 清单 > 标记

严重性:

资源类型:AWS::OpenSearch::Domain

AWS Config规则:tagged-opensearch-domain(自定义 Security Hub 规则)

计划类型:已触发变更

参数:

参数 描述 类型 允许的自定义值 Security Hub 默认值
requiredTagKeys 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 StringList(最多 6 项) 1-6 个符合 AWS 要求的标签键。 No default value

此控件可检查 Amazon OpenSearch Service 域是否具有带特定键的标签,这些键在 requiredTagKeys 参数中进行定义。如果该域没有任何标签键或未在参数 requiredTagKeys 中指定所有键,则此控件会失败。如果未提供 requiredTagKeys 参数,则此控件仅会检查是否存在标签键,如果该域未使用任何键进行标记,则此控件会失败。自动应用并以 aws: 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标记,由一个键和一个可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以将标签附加到 IAM 实体(用户或角色)以及 AWS 资源。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 IAM 用户指南中的什么是适用于 AWS 的 ABAC?

注意

请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。可从许多 AWS 服务访问标签,包括 AWS Billing。有关标记更多最佳实践,请参阅《AWS 一般参考》中的标记 AWS 资源

修复

要向 OpenSearch 服务域添加标签,请参阅《Amazon OpenSearch Service 开发人员指南》中的使用标签

[Opensearch.10] OpenSearch 域应安装最新的软件更新

相关要求: NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCI DSS v4.0.1/6.3.3

类别:识别 > 漏洞、补丁和版本管理

严重性:

资源类型:AWS::OpenSearch::Domain

AWS Config 规则: opensearch-update-check

计划类型:已触发变更

参数:

此控件检查 Amazon OpenSearch Service 域是否安装了最新的软件更新。如果已有可用软件更新但没有为该域安装,则控制失败。

OpenSearch Service 软件更新提供了适用于该环境的最新平台修复、更新和功能。保证安装最新的补丁有助于维护域的安全性和可用性。如果没有对必需更新采取任何操作,将自动更新服务软件(通常在 2 周后)。我们建议在域流量较低的时段安排更新,以最大限度地减少服务中断。

修复

要为 OpenSearch 域安装软件更新,请参阅《Amazon OpenSearch Service 开发者指南》中的启动更新

[Opensearch.11] OpenSearch 域应拥有至少三个专用主节点

相关要求:NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-2、NIST.800-53.r5 SC-5、NIST.800-53.r5 SC-36、NIST.800-53.r5 SI-13

类别:恢复 > 弹性 > 高可用性

严重性:

资源类型:AWS::OpenSearch::Domain

AWS Config 规则: opensearch-primary-node-fault-tolerance

计划类型:已触发变更

参数:

此控件可检查 Amazon OpenSearch Service 域是否配置了至少三个专用主节点。如果域的专用主节点少于三个,则此控件将失败。

OpenSearch Service 使用专用主节点来提高集群稳定性。专用主节点执行集群管理任务,但不保留数据也不响应数据上传请求。我们建议您使用带待机功能的多可用区,向每个生产 OpenSearch 域添加三个专用主节点。

修复

要更改 OpenSearch 域的主节点数量,请参阅《Amazon OpenSearch Service 开发人员指南》中的创建和管理 Amazon OpenSearch Service 服务域