亚马逊 ElastiCache 控制 - Amazon Security Hub
[ElastiCache.1] ElastiCache Redis 集群应启用自动备份[ElastiCache.2] ElastiCache 对于 Redis 缓存集群,应启用自动次要版本升级[ElastiCache.3] ElastiCache 对于 Redis 复制组,应启用自动故障转移[ElastiCache.4] ElastiCache 对于 Redis,复制组应进行静态加密[ElastiCache.5] ElastiCache 对于 Redis,复制组应在传输过程中进行加密[ElastiCache.6] ElastiCache 对于 6.0 版本之前的 Redis 复制组,应使用 Redis 身份验证[ElastiCache.7] ElastiCache 群集不应使用默认子网组
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

亚马逊 ElastiCache 控制

这些控制措施与 ElastiCache 资源有关。

这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息,请参阅 按地区划分的控件可用性

[ElastiCache.1] ElastiCache Redis 集群应启用自动备份

相关要求:NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)。

类别:恢复 > 弹性 > 启用备份

严重性:

资源类型:AWS::ElastiCache::CacheCluster

Amazon Config 规则:elasticache-redis-cluster-automatic-backup-check

计划类型:定期

参数:

参数 描述 类型 允许的自定义值 Security Hub 默认值

snapshotRetentionPeriod

最短快照保留期(以天为单位)

整数

135

1

此控件 ElastiCache 用于评估 Amazon for Redis 集群是否已计划自动备份。如果 Redis 集群的 SnapshotRetentionLimit 小于指定时间段,则控制失败。除非您为快照保留期提供自定义参数值,否则 Security Hub 将使用默认值即 1 天。

Amazon ElastiCache for Redis 集群可以备份其数据。可以使用备份还原集群或为新集群做种。备份包含集群的元数据以及集群中的所有数据。所有备份都会写入 Amazon Simple Storage Service (Amazon S3),该服务提供持久存储。您可以通过创建新的 Redis 集群并使用备份中的数据填充该集群来恢复数据。您可以使用 Amazon Web Services Management Console、 Amazon Command Line Interface (Amazon CLI) 和 ElastiCache API 管理备份。

修复

要在 for Redis 集群上 ElastiCache 安排自动备份,请参阅 Amazon ElastiCache 用户指南中的安排自动备份

[ElastiCache.2] ElastiCache 对于 Redis 缓存集群,应启用自动次要版本升级

相关要求:NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)。

类别:识别 > 漏洞、补丁和版本管理

严重性:

资源类型:AWS::ElastiCache::CacheCluster

Amazon Config 规则:elasticache-auto-minor-version-upgrade-check

计划类型:定期

参数:

此控件 ElastiCache 用于评估 Redis 是否自动对缓存集群应用次要版本升级。如果 ElastiCache Redis 缓存集群没有自动应用次要版本升级,则此控制失败。

AutoMinorVersionUpgrade是您可以为 Redis 开启的一项功能, ElastiCache 以便在新的次要缓存引擎版本可用时自动升级您的缓存集群。这些升级可能包括安全补丁和错误修复。继续 up-to-date 安装补丁是保护系统的重要一步。

修复

要对现有 ElastiCache 的 Redis 缓存集群应用自动次要版本升级,请参阅 Amazon ElastiCache 用户指南中的升级引擎版本

[ElastiCache.3] ElastiCache 对于 Redis 复制组,应启用自动故障转移

相关要求:NIST.800-53.r5 CP-10、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)。

类别:恢复 > 弹性 > 高可用性

严重性:

资源类型:AWS::ElastiCache::ReplicationGroup

Amazon Config 规则:elasticache-repl-grp-auto-failover-enabled

计划类型:定期

参数:

此控件检查 Red ElastiCache is 复制组是否启用了自动故障转移。如果未为 Redis 复制组启用自动失效转移,则此控制失败。

为复制组启用自动失效转移后,主节点的角色将自动将失效转移到其中一个只读副本。此失效转移和副本升级可确保您可以在升级完成后恢复写入新的主数据库,从而减少发生故障时的总体停机时间。

修复

要 ElastiCache 为现有的 Redis 复制组启用自动故障转移,请参阅 Amazon ElastiCache 用户指南中的修改 ElastiCache 集群。如果您使用 ElastiCache 控制台,请将自动故障转移设置为启用。

[ElastiCache.4] ElastiCache 对于 Redis,复制组应进行静态加密

相关要求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)。

类别:保护 > 数据保护 > 加密 data-at-rest

严重性:

资源类型:AWS::ElastiCache::ReplicationGroup

Amazon Config 规则:elasticache-repl-grp-encrypted-at-rest

计划类型:定期

参数:

此控件检查 Red ElastiCache is 复制组是否处于静态加密状态。如果未 ElastiCache 对适用于 Redis 的复制组进行静态加密,则此控件将失败。

对静态数据进行加密可降低未经身份验证的用户访问存储在磁盘上的数据的风险。 ElastiCache 对于 Redis,为了增加安全性,应对复制组进行静态加密。

修复

要在 For Redis 复制组上配置静态加密,请参阅 A ma ElastiCache zon 用户指南中的启用静态加密。 ElastiCache

[ElastiCache.5] ElastiCache 对于 Redis,复制组应在传输过程中进行加密

相关要求:NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)。

类别:保护 > 数据保护 > 加密 data-in-transit

严重性:

资源类型:AWS::ElastiCache::ReplicationGroup

Amazon Config 规则:elasticache-repl-grp-encrypted-in-transit

计划类型:定期

参数:

此控件 ElastiCache 用于检查 Redis 复制组在传输过程中是否已加密。如果 For Redis ElastiCache 的复制组在传输过程中未加密,则此控件将失败。

对传输中数据进行加密可降低未经授权的用户侦听网络流量的风险。在 for Redis 复制组上启用传输中的加密可在数据从一个位置移动到另一个位置时对其进行加密,例如在集群中的节点之间或集群与应用程序之间。 ElastiCache

修复

要在 for Redis 复制组上配置传输中加密,请参阅 A ma ElastiCache zon 用户指南中的启用传输中加密。 ElastiCache

[ElastiCache.6] ElastiCache 对于 6.0 版本之前的 Redis 复制组,应使用 Redis 身份验证

相关要求:NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6。

类别:保护 > 安全访问管理

严重性:

资源类型:AWS::ElastiCache::ReplicationGroup

Amazon Config 规则:elasticache-repl-grp-redis-auth-enabled

计划类型:定期

参数:

此控件 ElastiCache 用于检查 Redis 复制组是否启用了 Redis 身份验证。如果适用于 Redis ElastiCache 的复制组节点的 Redis 版本低于 6.0 且AuthToken未在使用中,则该控件将失败。

当您使用 Redis 身份验证令牌或密码时,Redis 在允许客户端运行命令之前需要密码,这提高了数据安全性。对于Redis 6.0及更高版本,我们建议使用基于角色的访问控制(RBAC)。由于 6.0 之前的 Redis 版本不支持 RBAC,因此此控件仅评估无法使用 RBAC 功能的版本。

修复

要在 ElastiCache 适用于 Redis 的复制组上使用 Redis 身份验证,请参阅亚马逊用户指南中的修改现有 ElastiCache 适用于 Redis 的集群上的身份验证令牌。 ElastiCache

[ElastiCache.7] ElastiCache 群集不应使用默认子网组

相关要求:NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(5)。

类别:保护 > 安全网络配置

严重性:

资源类型:AWS::ElastiCache::CacheCluster

Amazon Config 规则:elasticache-subnet-group-check

计划类型:定期

参数:

此控件检查 ElastiCache 集群是否配置了自定义子网组。如果CacheSubnetGroupName具有该值,则 ElastiCache 集群的控件将失败default

启动 ElastiCache 集群时,如果尚不存在默认子网组,则会创建一个默认子网组。默认组使用来自默认虚拟私有云(VPC)的子网。我们建议使用对集群所在子网以及集群从子网继承的网络进行更严格的限制的自定义子网组。

修复

要为 ElastiCache 集群创建新的子网组,请参阅 Amazon ElastiCache 用户指南中的创建子网组