[ElastiCache.1] ElastiCache Redis 叢集應啟用自動備份 [ElastiCache.2] ElastiCache （RedisOSS）緩存集群應啟用自 auto 次要版本升級 [ElastiCache.3] ElastiCache (RedisOSS) 複製群組應啟用自動容錯移轉 [ElastiCache.4] ElastiCache (RedisOSS) 複製群組應在靜態時加密 [ElastiCache.5] ElastiCache (RedisOSS) 複寫群組在傳輸過程中應加密 [ElastiCache.6] ElastiCache (RedisOSS) 6.0 版之前的複製群組應該使用 Redis AUTH [ElastiCache.7] ElastiCache 叢集不應使用預設的子網路群組

Amazon ElastiCache 控制

這些控制項與資 ElastiCache 源有關。

這些控制項可能並非全部可用 AWS 區域。如需詳細資訊，請參閱各區域控制項的可用性。

[ElastiCache.1] ElastiCache Redis 叢集應啟用自動備份

相關要求：CP-10、NIST .800-53.r5 CP-6、NIST .800-53.r5 CP-6 (1)、.800-53.r5 CP-6 (2)、NIST .800-53.r5 CP-5 (2)、.800-53.r5 SC-5 (2)、NIST .800-53.r5 SC-5 (2) NIST NIST NIST NIST SI-12 SI-13

類別:復原 > 復原 > 啟用備份

嚴重性：高

資源類型：AWS::ElastiCache::CacheCluster

AWS Config 規則：elasticache-redis-cluster-automatic-backup-check

排程類型：定期

參數：

參數	Description (描述)	Type	允許的自訂值	Security Hub 預設值
`snapshotRetentionPeriod`	最短快照保留期 (天)	Integer	`1` 設定為 `35`	`1`

此控制項會評估 Amazon ElastiCache (RedisOSS) 叢集是否已排程自動備份。如果 Redis 叢集的控制項小SnapshotRetentionLimit於指定的時間段，則會失敗。除非您為快照保留期間提供自訂參數值，否則 Security Hub 會使用預設值 1 天。

Amazon ElastiCache （RedisOSS）集群可以備份其數據。您可以使用備份來還原叢集或植入新叢集。備份包含叢集的中繼資料，以及叢集中的所有資料。所有備份都會寫入 Amazon Simple Storage Service (Amazon S3)，該服務提供耐久性儲存空間。您可以建立新的 Redis 叢集，並使用備份中的資料填入資料來還原資料。您可以使用 AWS Management Console、 AWS Command Line Interface (AWS CLI) 和管理備份 ElastiCache API。

修補

若要在 ElastiCache (RedisOSS) 叢集上排定自動備份，請參閱 Amazon ElastiCache 使用者指南中的排程自動備份。

[ElastiCache.2] ElastiCache （RedisOSS）緩存集群應啟用自 auto 次要版本升級

相關需求：NIST.800-53.R5 四二 (2)、NIST .800-53.R5 四 (2)、.800-53.R5 四二 (4) NIST NIST

類別:識別 > 漏洞、修補程式和版本管理

嚴重性：高

資源類型：AWS::ElastiCache::CacheCluster

AWS Config 規則：elasticache-auto-minor-version-upgrade-check

排程類型：定期

參數：無

此控制項會評估 ElastiCache (RedisOSS) 是否自動將次要版本升級套用至快取叢集。如果 ElastiCache (RedisOSS) 快取叢集沒有自動套用次要版本升級，則此控制項會失敗。

AutoMinorVersionUpgrade這是一項功能，您可以在 ElastiCache (RedisOSS) 中開啟，以便在新的次要快取引擎版本可用時自動升級快取叢集。這些升級可能包括安全性修補程式和錯誤修正。保持安 up-to-date 裝修補程式是保護系統的重要步驟。

修補

若要將自動次要版本升級套用至現有 ElastiCache (RedisOSS) 快取叢集，請參閱 Amazon ElastiCache 使用者指南中的升級引擎版本。

[ElastiCache.3] ElastiCache (RedisOSS) 複製群組應啟用自動容錯移轉

相關要求：NISTCP-10、NIST .800-53.R5 NIST NIST SC-36 SI-13

分類:復原 > 復原能力 > 高可用性

嚴重性：中

資源類型：AWS::ElastiCache::ReplicationGroup

AWS Config 規則：elasticache-repl-grp-auto-failover-enabled

排程類型：定期

參數：無

此控制項會檢查 ElastiCache (RedisOSS) 複寫群組是否已啟用自動容錯移轉。如果沒有為 Redis 複寫群組啟用自動容錯移轉，則此控制項會失敗。

啟用複寫群組的自動容錯移轉時，主要節點的角色會自動容錯移轉至其中一個僅供讀取複本。此容錯移轉和複本升級可確保您可以在升級完成後繼續寫入新的主要項目，以減少發生故障時的整體停機時間。

修補

若要啟用現有 ElastiCache (RedisOSS) 複寫群組的自動容錯移轉，請參閱 Amazon ElastiCache 使用者指南中的修改 ElastiCache 叢集。如果使用 ElastiCache 主控台，請將 [自動容錯移轉] 設為 [啟用]。

[ElastiCache.4] ElastiCache (RedisOSS) 複製群組應在靜態時加密

相關要求：NIST.800-53.R5 介面卡 -9 (1)、NIST .800-53.R5 (6)、.800-53.R5 (5) SC-28 (1)、NIST .800-53.r5 SC-7 (10)、NIST .800-53.R5 NIST NIST NIST SC-13 SC-28

分類:保護 > 資料保護 > 加密 data-at-rest

嚴重性：中

資源類型：AWS::ElastiCache::ReplicationGroup

AWS Config 規則：elasticache-repl-grp-encrypted-at-rest

排程類型：定期

參數：無

此控制項會檢查 ElastiCache (RedisOSS) 複寫群組是否在靜態時加密。如果 ElastiCache (RedisOSS) 複寫群組未在靜態時加密，則此控制項會失敗。

靜態資料加密可降低未經驗證的使用者存取儲存在磁碟上之資料的風險。 ElastiCache (RedisOSS) 複寫群組應在靜態時加密，以增加一層安全性。

修補

若要在 ElastiCache (RedisOSS) 複寫群組上設定靜態加密，請參閱 Amazon ElastiCache 使用者指南中的啟用靜態加密。

[ElastiCache.5] ElastiCache (RedisOSS) 複寫群組在傳輸過程中應加密

相關要求：NIST.800-53.r5 交流 -4, .800-53.r5 IA-5 (1), NIST .800-53.r5 (1), NIST .800-53.r5 SC-12 (3), .800-53.r5 SC-13, .800-53.r5 SC-23, NIST .800-53.r5 代 5, .800-53.R5 星期六 (1), NIST .800-53.R5 (二), NIST .800-53.r5 四七 (6) NIST NIST NIST NIST NIST NIST AC-17 SC-23

分類:保護 > 資料保護 > 加密 data-in-transit

嚴重性：中

資源類型：AWS::ElastiCache::ReplicationGroup

AWS Config 規則：elasticache-repl-grp-encrypted-in-transit

排程類型：定期

參數：無

此控制項會檢查 ElastiCache (RedisOSS) 複寫群組是否在傳輸過程中加密。如果傳輸過程中未加密 ElastiCache (RedisOSS) 複寫群組，則此控制項會失敗。

加密傳輸中的資料可降低未經授權的使用者竊聽網路流量的風險。在 ElastiCache (RedisOSS) 複寫群組上啟用傳輸中加密，每當資料從一個位置移動到另一個位置時 (例如叢集中的節點之間或叢集與應用程式之間)，都會加密資料。

修補

若要在 ElastiCache (RedisOSS) 複寫群組上設定傳輸中加密，請參閱 Amazon ElastiCache 使用者指南中的啟用傳輸中加密。

[ElastiCache.6] ElastiCache (RedisOSS) 6.0 版之前的複製群組應該使用 Redis AUTH

相關需求：交流 -2 (1)、NIST .800-53.R5 交流電 -3、.800-53.r5 交流 -3 (15)、NIST .800-53.R5 交流 -3 (7)、NIST .800-53.R5 交流 -6 NIST NIST

類別：保護 > 安全存取管理

嚴重性：中

資源類型：AWS::ElastiCache::ReplicationGroup

AWS Config 規則：elasticache-repl-grp-redis-auth-enabled

排程類型：定期

參數：無

此控制項會檢查 ElastiCache (RedisOSS) 複寫群組是否已啟用 Redis AUTH。如果 Redis 的節點版本低於 6.0 且AuthToken未使用，則 ElastiCache (RedisOSS) 複寫群組的控制項會失敗。

當您使用 Redis 驗證權杖或密碼時，Redis 需要密碼才能允許用戶端執行命令，進而改善資料安全性。對於 Redis 6.0 及更新版本，我們建議使用以角色為基礎的存取控制 () RBAC。由RBAC於不支援 6.0 之前的 Redis 版本，因此此控制項只會評估無法使用該RBAC功能的版本。

修補

若要在 ElastiCache (RedisOSS) 複寫群組AUTH上使用 Redis，請參閱 Amazon ElastiCache 使用者指南中的修改現有 ElastiCache (RedisOSS) 叢集上的AUTH權杖。

[ElastiCache.7] ElastiCache 叢集不應使用預設的子網路群組

相關需求：NIST.800-53.R5 交流電 -4、NIST .800-53.R5 交流電四 (21)、.800-53.R5、NIST .800-53.R5 (4)、.800-53.R5 (16)、NIST .800-53.r5 SC-7 (21)、.800-53.R5 NIST NIST NIST NIST

類別：保護 > 安全網路組態

嚴重性：高

資源類型：AWS::ElastiCache::CacheCluster

AWS Config 規則：elasticache-subnet-group-check

排程類型：定期

參數：無

此控制項會檢查 ElastiCache 叢集是否設定了自訂子網路群組。如果CacheSubnetGroupName具有值，則控制項會失敗 ElastiCache 叢集default。

啟動 ElastiCache 叢集時，如果沒有預設子網路群組，則會建立預設子網路群組。預設群組會使用預設虛擬私人雲端 (VPC) 中的子網路。我們建議您使用自訂子網路群組，這些群組對叢集所在的子網路有更嚴格的限制，以及叢集從子網路繼承的網路。