Elasticsearch 控件 - Amazon Security Hub
[ES.1] Elasticsearch 域应启用静态加密[ES.2] Elasticsearch 域名不可供公共访问[ES.3] Elasticsearch 域应加密节点之间发送的数据[ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch 日志[ES.5] Elasticsearch 域名应该启用审核日志[ES.6] Elasticsearch 域应拥有至少三个数据节点[ES.7] 应将 Elasticsearch 域配置为至少三个专用的主节点[ES.8] 应使用最新的 TLS 安全策略对与 Elasticsearch 域的连接进行加密
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Elasticsearch 控件

这些控件与 Elasticsearch 资源有关。

这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息,请参阅 按地区划分的控件可用性

[ES.1] Elasticsearch 域应启用静态加密

相关要求:PCI DSS v3.2.1/3.4、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)。

类别:保护 > 数据保护 > 静态数据加密

严重性:

资源类型:AWS::Elasticsearch::Domain

Amazon Config 规则:elasticsearch-encrypted-at-rest

计划类型:定期

参数:

此控件检查 Elasticsearch 域是否启用静态加密配置。如果未启用静态加密,检查将失败。

为了在中为您的敏感数据增加一层安全性 OpenSearch,您应将您的数据配置 OpenSearch 为静态加密。Elasticsearch 域提供静态数据加密。该功能 Amazon KMS 用于存储和管理您的加密密钥。为执行加密,它使用具有 256 位密钥 (AES-256) 的高级加密标准算法。

要了解有关静 OpenSearch 态加密的更多信息,请参阅《亚马逊服务开发者指南》中的亚马逊 OpenSearch 服务静态数据加密。 OpenSearch

某些实例类型,例如 t.smallt.medium,不支持静态数据加密。有关详细信息,请参阅《Amazon OpenSearch 服务开发者指南》中的支持的实例类型

修复

要为新的和现有的 Elasticsearch 域启用静态加密,请参阅《亚马逊 OpenSearch 服务开发者指南》中的启用静态数据加密。

[ES.2] Elasticsearch 域名不可供公共访问

相关要求:PCI DSS v3.2.1/1.2.1,PCI DSS v3.2.1/1.3.1,PCI DSS v3.2.1/1.3.2,PCI DSS v3.2.1/1.3.4,PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

类别:保护 > 安全网络配置 > VPC 内的资源

严重性:严重

资源类型:AWS::Elasticsearch::Domain

Amazon Config 规则:elasticsearch-in-vpc-only

计划类型:定期

参数:

此控件检查 Elasticsearch 域是否位于 VPC 中。它不会评估 VPC 子网路由配置来确定公共访问。您应确保 Elasticsearch 域未附加到公共子网。请参阅《Amazon OpenSearch 服务开发者指南》中的基于资源的政策。您还应该确保根据建议的最佳实践配置了 VPC。请参阅 Amazon VPC 用户指南中的 VPC 安全最佳实践

部署在 VPC 内的 Elasticsearch 域可以通过私有 Amazon 网络与 VPC 资源通信,无需穿越公共互联网。此配置通过限制对传输中数据的访问来提高安全状况。VPC 提供了许多网络控制来保护对 Elasticsearch 域的访问,包括网络 ACL 和安全组。Security Hub 建议您将公有 Elasticsearch 域迁移到 VPC,以利用这些控件。

修复

如果您创建一个具有公有端点的域,则以后无法将其放置在 VPC 中。您必须创建一个新的域,然后迁移数据。反之亦然。如果在 VPC 中创建一个域,则该域不能具有公有端点。您必须创建另一个域或禁用该控制。

请参阅亚马逊 OpenSearch 服务开发者指南中的在 VPC 内启动您的亚马逊 OpenSearch 服务

[ES.3] Elasticsearch 域应加密节点之间发送的数据

相关要求:NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)。

类别:保护 > 数据保护 > 传输中数据加密

严重性:

资源类型:AWS::Elasticsearch::Domain

Amazon Config 规则:elasticsearch-node-to-node-encryption-check

计划类型:已触发变更

参数:

此控件用于检查 Elasticsearch 域名是否启用了 node-to-node 加密。

HTTPS (TLS) 可用于帮助防止潜在的攻击者使用 person-in-the-middle 或类似的攻击窃听或操纵网络流量。只允许通过 HTTPS (TLS) 进行加密连接。为 Elasticsearch 域启用 node-to-node 加密可确保集群内部通信在传输过程中得到加密。

此配置可能会降低性能。在启用此选项之前,您应该了解并测试性能权衡。

修复

有关在新域和现有域上启用 node-to-node 加密的信息,请参阅《Amazon S OpenSearch ervice 开发者指南》中的启用 node-to-node加密

[ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch 日志

相关要求:NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)。

类别:识别 – 日志记录

严重性:

资源类型:AWS::Elasticsearch::Domain

Amazon Config 规则:elasticsearch-logs-to-cloudwatch

计划类型:已触发变更

参数:

  • logtype = 'error'(不可自定义)

此控件检查 Elasticsearch 域是否配置为向日志发送错误日志。 CloudWatch

您应该为 Elasticsearch 域启用错误日志,并将这些日志发送到 CloudWatch 日志以进行保留和响应。域错误日志可以帮助进行安全和访问审计,还可以帮助诊断可用性问题。

修复

有关如何启用日志发布的信息,请参阅《Amazon S OpenSearch ervice 开发者指南》中的启用日志发布(控制台)

[ES.5] Elasticsearch 域名应该启用审核日志

相关要求:NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)。

类别:识别 > 日志记录

严重性:

资源类型:AWS::Elasticsearch::Domain

Amazon Config 规则:elasticsearch-audit-logging-enabled(自定义 Security Hub 规则)

计划类型:已触发变更

参数:

  • cloudWatchLogsLogGroupArnList(不可自定义)。Security Hub 不会填充此参数。应为审核日志配置的 CloudWatch 日志组列表,以逗号分隔。

    NON_COMPLIANT如果未在此参数列表中指定 Elasticsearch 域的 CloudWatch 日志组,则此规则适用。

此控件用于检查 Elasticsearch 域名是否启用了审核日志。如果 Elasticsearch 域未启用审核日志,则此控制失败。

审核日志是高度可定制的。它们允许您跟踪 Elasticsearch 集群上的用户活动,包括身份验证成功和失败、对身份验证的请求 OpenSearch、索引更改以及传入的搜索查询。

修复

有关启用审计日志的详细说明,请参阅《Amazon S OpenSearch ervice 开发者指南》中的启用审计日志

[ES.6] Elasticsearch 域应拥有至少三个数据节点

相关要求:NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)。

类别:恢复 > 弹性 > 高可用性

严重性:

资源类型:AWS::Elasticsearch::Domain

Amazon Config 规则:elasticsearch-data-node-fault-tolerance(自定义 Security Hub 规则)

计划类型:已触发变更

参数:

此控件会检查 Elasticsearch 域是否配置了至少三个数据节点,并且 zoneAwarenessEnabledtrue

一个 Elasticsearch 域至少需要三个数据节点才能实现高可用性和容错能力。部署至少具有三个数据节点的 Elasticsearch 域可以确保在节点发生故障时集群正常运行。

修复

修改 Elasticsearch 域中的数据节点数量

  1. 打开亚马逊 OpenSearch 服务控制台,网址为 https://console.aws.amazon.com/aos/

  2. 下,选择要编辑的域的名称。

  3. 选择 Edit domain (编辑域)

  4. 数据节点下,将节点数设置为大于或等于 3 的数字。

    对于三个可用区部署,请设置为三的倍数,以确保可用区间的分布均等。

  5. 选择提交

[ES.7] 应将 Elasticsearch 域配置为至少三个专用的主节点

相关要求:NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)。

类别:恢复 > 弹性 > 高可用性

严重性:

资源类型:AWS::Elasticsearch::Domain

Amazon Config规则:elasticsearch-primary-node-fault-tolerance(自定义 Security Hub 规则)

计划类型:已触发变更

参数:

此控件检查 Elasticsearch 域是否配置了至少三个专用的主节点。如果域不使用专用主节点,则此控制失败。如果 Elasticsearch 域有五个专用的主节点,则此控制权通过。但是,为了降低可用性风险,可能没有必要使用三个以上的主节点,并且会导致额外的成本。

一个 Elasticsearch 域至少需要三个专用的主节点才能实现高可用性和容错能力。在数据节点蓝/绿部署期间,专用的主节点资源可能会紧张,因为还有其他节点需要管理。部署具有至少三个专用主节点的 Elasticsearch 域可确保在节点出现故障时有足够的主节点资源容量和集群操作。

修复

修改 OpenSearch 域中专用主节点的数量

  1. 打开亚马逊 OpenSearch 服务控制台,网址为 https://console.aws.amazon.com/aos/

  2. 下,选择要编辑的域的名称。

  3. 选择 Edit domain (编辑域)

  4. 专用主节点下,将实例类型设置为所需的实例类型。

  5. 主节点数设置为等于或大于三个。

  6. 选择提交

[ES.8] 应使用最新的 TLS 安全策略对与 Elasticsearch 域的连接进行加密

相关要求:NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)。

类别:保护 > 数据保护 > 传输中数据加密

严重性:

资源类型:AWS::Elasticsearch::Domain

Amazon Config 规则:elasticsearch-https-required(自定义 Security Hub 规则)

计划类型:已触发变更

参数:

它可以检查与 Elasticsearch 域的连接是否使用最新的 TLS 安全策略。如果 Elasticsearch 域未使用最新的支持策略或未启用 HTTP,则控制失败。目前最新支持的 TLS 安全策略是Policy-Min-TLS-1-2-PFS-2023-10

HTTPS (TLS) 可用于帮助防止潜在的攻击者使用 person-in-the-middle或类似的攻击来窃听或操纵网络流量。只允许通过 HTTPS (TLS) 进行加密连接。加密传输中数据可能会影响性能。您应该使用此功能测试应用程序,以了解性能概况和 TLS 的影响。与先前版本的 TLS 相比,TLS 1.2 提供了多项安全增强功能。

修复

要启用 TLS 加密,请使用 UpdateDomainConfigAPI 操作配置DomainEndpointOptions对象。这设置了TLSSecurityPolicy.