本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
适用于 Amazon EMR 的 Security Hub 控件
这些 Amazon Security Hub 控制措施评估亚马逊 EMR(以前称为 Amazon Elastic MapReduce)服务和资源。
这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息,请参阅 按地区划分的控件可用性。
[EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址
相关要求:PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、PCI DSS v4.0.1/1.4.4、1、、(7)、(21)、(21)、(16)、(20),(21)、(3)、(4)、(9) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
类别:保护 > 安全网络配置
严重性:高
资源类型:AWS::EMR::Cluster
Amazon Config 规则:emr-master-no-public-ip
计划类型:定期
参数:无
此控件检查 Amazon EMR 集群上的主节点是否具有公有 IP 地址。如果公有 IP 地址与任何主节点实例相关联,则控制失败。
公有 IP 地址是在实例的 NetworkInterfaces
配置 PublicIp
字段中指定的。此控件仅检查处于 RUNNING
或 WAITING
状态的 Amazon EMR 集群。
修复
在启动期间,您可以控制是否为默认子网或非默认子网中的实例分配公有 IPv4 地址。默认情况下,默认子网的此属性设置为 true
。非默认子网的 IPv4 公共寻址属性设置为false
,除非它是由 Amazon EC2 启动实例向导创建的。在这种情况下,会将属性设置为 true
。
启动后,您无法手动取消公有 IPv4 地址与您的实例的关联。
要修复失败的发现,您必须在 VPC 中启动一个新集群,该集群的私有子网的 IPv4 公有寻址属性设置为false
。有关说明,请参阅 Amazon EMR 管理指南中的在 VPC 中启动集群。
[EMR.2] 应启用 Amazon EMR 屏蔽公共访问权限设置
相关要求:PCI DSS v4.0.1/1.4.4、 NIST.800-53.r5 AC-2 1、、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-3、、(21) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、(20)、 NIST.800-53.r5 SC-7(21)、 NIST.800-53.r5 SC-7(21)、 NIST.800-53.r5 SC-7(3)、 NIST.800-53.r5 SC-7(4)、(9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
类别:保护 > 安全访问管理 > 资源不公开访问
严重性:严重
资源类型:AWS::::Account
Amazon Config 规则:emr-block-public-access
计划类型:定期
参数:无
此控件会检查您的账户是否配置了 Amazon EMR 屏蔽公共访问权限。如果未启用屏蔽公共访问权限设置或允许除端口 22 之外的任何端口,则控制失败。
如果集群的安全配置允许来自公有 IP 地址的入站流量通过某个端口,Amazon EMR 屏蔽公共访问权限会阻止您在公有子网中启动该集群。当来自您的 Amazon Web Services 账户 的用户启动集群时,Amazon EMR 会检查该集群的安全组中的端口规则,并将其与您的入站流量规则进行比较。如果安全组有向公有 IP 地址 IPv4 0.0.0.0/0 或 IPv6 :: /0 开放端口的入站规则,并且这些端口未被指定为账户的例外情况,则 Amazon EMR 不允许用户创建集群。
注意
默认情况下,阻止公有访问处于启用状态。为了增强账户保护,我们建议您将其保持启用状态。
修复
要为 Amazon EMR 配置屏蔽公共访问权限,请参阅《亚马逊 EMR 管理指南》中的使用 Amazon EMR 阻止公有访问。
[EMR.3] Amazon EMR 安全配置应进行静态加密
类别:保护 > 数据保护 > 加密 data-at-rest
严重性:中
资源类型:AWS::EMR::SecurityConfiguration
Amazon Config 规则:emr-security-configuration-encryption-rest
计划类型:已触发变更
参数:无
此控件检查 Amazon EMR 安全配置是否处于静态加密状态。如果未对安全配置进行静态加密,则控制失败。
静态数据是指存储在持久、非易失性存储介质中的数据,无论存储时长如何。对静态数据进行加密可帮助您保护数据的机密性,降低未经授权的用户访问这些数据的风险。
修复
要对静态的 Amazon EMR 安全配置进行加密,请参阅 Amazon EMR 管理指南中的配置数据加密。
[EMR.4] Amazon EMR 安全配置应在传输过程中进行加密
类别:保护 > 数据保护 > 加密 data-in-transit
严重性:中
资源类型:AWS::EMR::SecurityConfiguration
Amazon Config 规则:emr-security-configuration-encryption-transit
计划类型:已触发变更
参数:无
此控件检查 Amazon EMR 安全配置在传输过程中是否经过加密。如果安全配置在传输过程中未加密,则控制失败。
传输中数据是指从一个位置移动到另一个位置的数据,例如在集群中的节点之间或在集群和应用程序之间。数据可能通过互联网或在私有网络内移动。对传输中数据进行加密可降低未经授权的用户侦听网络流量的风险。
修复
要对传输中的 Amazon EMR 安全配置进行加密,请参阅 Amazon EMR 管理指南中的配置数据加密。