Security Hub OpenSearch 服务控件 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Security Hub OpenSearch 服务控件

这些 Amazon Security Hub 控制措施评估亚马逊 OpenSearch 服务(OpenSearch 服务)服务和资源。

这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息,请参阅 按地区划分的控件可用性

[Opensearch.1] OpenSearch 域名应启用静态加密

相关要求:PCIDSSv3.2.1/1.2.1、v3.2.1/1.3.1、PCI DSS v3.2.1/1.3. PCI DSS 4、v3.2. PCI DSS 1/7.2.1、(1)、3、8、8 (1)、.800-53.r5 SI-7 (6) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST

类别:保护 > 数据保护 > 加密 data-at-rest

严重性:

资源类型:AWS::OpenSearch::Domain

Amazon Config 规则:opensearch-encrypted-at-rest

计划类型:已触发变更

参数:

此控件检查 OpenSearch 域名是否启用了 encryption-at-rest配置。如果未启用静态加密,检查将失败。

为了增加敏感数据的安全性,您应将 OpenSearch 服务域配置为静态加密。配置静态数据加密时,会 Amazon KMS 存储和管理您的加密密钥。要执行加密,请 Amazon KMS 使用带有 256 位密钥 (AES-256) 的高级加密标准算法。

要了解有关静态 OpenSearch 服务加密的更多信息,请参阅《亚马逊服务开发者指南》中的亚马逊 OpenSearch 服务静态数据加密。 OpenSearch

修复

要为新域和现有 OpenSearch 域名启用静态加密,请参阅 Amazon S OpenSearch ervice 开发者指南中的启用静态数据加密。

[Opensearch.2] OpenSearch 域名不应向公众开放

相关要求:PCIDSSv3.2.1/1.2.1、v3.2.1/1.3.1、PCI DSS v3.2.1/1.3. PCI DSS 2、v3.2.1/1.3. PCI DSS 4、v3.2.1/1.3. PCI DSS 6、 NIST.800-53.r5 AC-2 1、、 NIST.800-53.r5 AC-3(7)、、(21)、、(11)、(11)、(16) NIST.800-53.r5 AC-3、(20)、(21) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4(21)、(3) NIST.800-53.r5 AC-6、(4) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

类别:保护 > 安全网络配置 > 其中的资源 VPC

严重性:严重

资源类型:AWS::OpenSearch::Domain

Amazon Config 规则:opensearch-in-vpc-only

计划类型:已触发变更

参数:

此控件检查 OpenSearch 域是否在VPC. 它不评估VPC子网路由配置来确定公有访问。

您应确保 OpenSearch 域名未连接到公共子网。请参阅《Amazon OpenSearch 服务开发者指南》中的基于资源的政策。您还应确保根据推荐的最佳实践进行配置。VPC请参阅《Amazon VPC 用户指南》VPC中的安全最佳实践

OpenSearch 部署在中的域VPC可以通过私有 Amazon 网络与VPC资源通信,无需穿越公共 Internet。此配置通过限制对传输中数据的访问来提高安全状况。 VPCs提供多种网络控制来保护对 OpenSearch 域名的访问,包括网络ACL和安全组。Security Hub 建议您将公共 OpenSearch 域迁移VPCs到以利用这些控制措施。

修复

如果您创建带有公共终端节点的域,则以后无法将其放置在中VPC。您必须创建一个新的域,然后迁移数据。反之亦然。如果您在中创建域VPC,则该域不能有公共终端节点。您必须创建另一个域或禁用该控制。

有关说明,请参阅《亚马逊 OpenSearch 服务开发者指南》VPC中的在中启动您的亚马逊 OpenSearch 服务域名

[Opensearch.3] OpenSearch 域应加密节点之间发送的数据

相关要求: NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-1 3、 NIST.800-53.r5 SC-2 3、 NIST.800-53.r5 SC-2 3 (3)、 NIST.800-53.r5 SC-7 (3)、(4) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8 (1)、 NIST.800-53.r5 SC-8 (2)

类别:保护 > 数据保护 > 加密 data-in-transit

严重性:

资源类型:AWS::OpenSearch::Domain

Amazon Config 规则:opensearch-node-to-node-encryption-check

计划类型:已触发变更

参数:

此控件检查 OpenSearch 域名是否启用了 node-to-node加密。如果在域上禁用了 node-to-node加密,则此控件将失败。

HTTPS(TLS) 可用于帮助防止潜在的攻击者使用 person-in-the-middle或类似的攻击窃听或操纵网络流量。只应允许通过 HTTPS (TLS) 进行加密连接。为 OpenSearch 域启用 node-to-node加密可确保集群内部通信在传输过程中得到加密。

此配置可能会降低性能。在启用此选项之前,您应该了解并测试性能权衡。

修复

要在 OpenSearch 域上启用 node-to-node加密,请参阅《亚马逊 OpenSearch 服务开发者指南》中的启用 node-to-node加密。

[Opensearch.4] OpenSearch 应该启用记录到 CloudWatch 日志的域名错误

相关要求: NIST.800-53.r5 AC-2(4)、(26)、(9)、、 NIST.800-53.r5 AC-4 (9)、 NIST.800-53.r5 AC-6 .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、NIST .800-53.r5 SI-4 (20)、.800-53.r5 (20)、NIST .800-53.r5 SI-7 (8) NIST

类别:识别 > 日志记录

严重性:

资源类型:AWS::OpenSearch::Domain

Amazon Config 规则:opensearch-logs-to-cloudwatch

计划类型:已触发变更

参数:

  • logtype = 'error'(不可自定义)

此控件检查 OpenSearch 域是否配置为向日志发送错误 CloudWatch 日志。如果未为域启用错误记录功能, CloudWatch 则此控件将失败。

您应该为 OpenSearch 域启用错误日志,并将这些日志发送到 CloudWatch 日志以进行保留和响应。域错误日志可以帮助进行安全和访问审计,还可以帮助诊断可用性问题。

修复

要启用日志发布,请参阅《Amazon S OpenSearch ervice 开发者指南》中的启用日志发布(控制台)

[Opensearch.5] OpenSearch 域应启用审核日志

相关要求: NIST.800-53.r5 AC-2(4)、(26)、 NIST.800-53.r5 AC-4 (9)、、 NIST.800-53.r5 AC-6 (9)、.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8)、NIST .800-53.r5 SI-4 (20)、.8 NIST 00-53.r5 SI-7 (8)、v4.0.1/10.2.1 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST PCI DSS

类别:识别 > 日志记录

严重性:

资源类型:AWS::OpenSearch::Domain

Amazon Config 规则:opensearch-audit-logging-enabled

计划类型:已触发变更

参数:

  • cloudWatchLogsLogGroupArnList(不可自定义)- Security Hub 不会填充此参数。应为审核日志配置的 CloudWatch 日志组列表,以逗号分隔。

NON_COMPLIANT如果未在此参数列表中指定 OpenSearch域的 CloudWatch 日志日志组,则此规则适用。

此控件检查 OpenSearch 域是否启用了审核记录。如果 OpenSearch 域未启用审核日志,则此控制将失败。

审核日志是高度可定制的。它们允许您跟踪OpenSearch 集群上的用户活动,包括身份验证成功和失败、对身份验证的请求OpenSearch、索引更改以及传入的搜索查询。

修复

有关启用审计日志的说明,请参阅《Amazon S OpenSearch ervice 开发者指南》中的启用审计日志

[Opensearch.6] OpenSearch 域名应至少有三个数据节点

相关要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、NIST .800-53.r5 SI-13 (5)

类别:恢复 > 弹性 > 高可用性

严重性:

资源类型:AWS::OpenSearch::Domain

Amazon Config 规则:opensearch-data-node-fault-tolerance

计划类型:已触发变更

参数:

此控件检查 OpenSearch 域是否配置了至少三个数据节点,并且zoneAwarenessEnabledtrue。如果 OpenSearch 域小于 3 或小instanceCount于 3,zoneAwarenessEnabled则此控制失败false

一个 OpenSearch 域至少需要三个数据节点才能实现高可用性和容错能力。部署具有至少三个数据节点的 OpenSearch 域可确保在节点出现故障时集群运行。

修复

修改 OpenSearch 域中数据节点的数量
  1. 登录 Amazon 控制台并打开亚马逊 OpenSearch 服务控制台,网址为https://console.aws.amazon.com/aos/

  2. 我的域名下,选择要编辑的域名,然后选择编辑

  3. 数据节点下,将节点数设置为大于 3 的数字。如果您要部署到三个可用区,将该数字设置为三的倍数,以确保可用区间的分布均等。

  4. 选择提交

[Opensearch.7] OpenSearch 域名应启用精细访问控制

相关要求: NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (15)、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-5、 NIST.800-53.r5 AC-6

类别:保护 > 安全访问管理 > 敏感API操作受限

严重性:

资源类型:AWS::OpenSearch::Domain

Amazon Config 规则:opensearch-access-control-enabled

计划类型:已触发变更

参数:

此控件检查 OpenSearch 域名是否启用了细粒度访问控制。如果未启用精细访问控制,则控制失败。细粒度的访问控制需要advanced-security-options在 OpenSearch 参数中启update-domain-config用。

精细的访问控制提供了更多方法来控制对您在 Ama OpenSearch zon Service 上的数据的访问权限。

修复

要启用精细访问控制,请参阅《亚马逊服务开发者指南》中的 Amazon Service OpenSearch 中的精细访问控制。 OpenSearch

[Opensearch.8] 应使用最新的安全 OpenSearch 策略对与域的连接进行加密 TLS

相关要求: NIST.800-53.r5 AC-17 (2)、 NIST.800-53.r5 AC-4、 NIST.800-53.r5 IA-5 (1)、 NIST.800-53.r5 SC-1 2 (3)、3、3、 NIST.800-53.r5 SC-1 3 ( NIST.800-53.r5 SC-23)、 NIST.800-53.r5 SC-2 (4)、 NIST.800-53.r5 SC-7 (1)、 NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8、NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)

类别:保护 > 数据保护 > 加密 data-in-transit

严重性:

资源类型:AWS::OpenSearch::Domain

Amazon Config 规则:opensearch-https-required

计划类型:已触发变更

参数:

  • tlsPolicies: Policy-Min-TLS-1-2-PFS-2023-10(不可自定义)

该控制检查是否将 Amazon S OpenSearch ervice 域终端节点配置为使用最新的TLS安全策略。如果 OpenSearch 域终端节点未配置为使用最新的支持策略或HTTPs未启用,则控制失败。

HTTPS(TLS) 可用于帮助防止潜在的攻击者使用 person-in-the-middle或类似的攻击来窃听或操纵网络流量。只应允许通过 HTTPS (TLS) 进行加密连接。加密传输中数据可能会影响性能。您应该使用此功能测试您的应用程序,以了解其性能概况和影响TLS。 TLS与以前的版本相比,1.2 提供了多项安全增强功能TLS。

修复

要启用TLS加密,请使用UpdateDomainConfigAPI操作。配置DomainEndpointOptions字段以指定其值TLSSecurityPolicy。有关更多信息,请参阅《Amazon OpenSearch 服务开发者指南》中的Node-to-node 加密

[Opensearch.9] 应该给 OpenSearch 域名加标签

类别:识别 > 清单 > 标记

严重性:

资源类型:AWS::OpenSearch::Domain

Amazon Config 规则:tagged-opensearch-domain(自定义 Security Hub 规则)

计划类型:已触发变更

参数:

参数 描述 类型 允许的自定义值 Security Hub 默认值
requiredTagKeys 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 StringList 符合 Amazon 要求的标签列表 No default value

此控件会检查 Amazon S OpenSearch ervice 域名是否具有参数中定义的特定密钥的标签requiredTagKeys。如果该域没有任何标签键或未在参数 requiredTagKeys 中指定所有键,则此控件会失败。如果未提供 requiredTagKeys 参数,则此控件仅会检查是否存在标签键,如果该域未使用任何键进行标记,则此控件会失败。自动应用并以 aws: 为开头的系统标签会被忽略。

标签是您分配给 Amazon 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 Amazon 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 Amazon? 在《IAM用户指南》中。

注意

不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 Amazon Web Services 服务,包括 Amazon Billing。有关更多标记最佳做法,请参阅中的为Amazon 资源添加标签Amazon Web Services 一般参考

修复

要向 OpenSearch 服务域添加标签,请参阅《亚马逊 OpenSearch 服务开发者指南》中的使用标签

[Opensearch.10] OpenSearch 域名应安装最新的软件更新

相关要求:NIST.800-53.r5 SI-2、.800-53.r5 SI-2 (2)、NIST .800-53.r5 SI-2 (4)、.800-53.r5 SI-2 (5)、v4.0.1/6.3.3 NIST NIST PCI DSS

类别:识别 > 漏洞、补丁和版本管理

严重性:

资源类型:AWS::OpenSearch::Domain

Amazon Config 规则:opensearch-update-check

计划类型:已触发变更

参数:

此控件用于检查 Amazon S OpenSearch ervice 域是否安装了最新的软件更新。如果已有可用软件更新但没有为该域安装,则控制失败。

OpenSearch 服务软件更新提供适用于该环境的最新平台修复、更新和功能。继续 up-to-date安装补丁有助于维护域的安全性和可用性。如果没有对必需更新采取任何操作,将自动更新服务软件(通常在 2 周后)。我们建议在域流量较低的时段安排更新,以最大限度地减少服务中断。

修复

要为 OpenSearch 域安装软件更新,请参阅《Amazon OpenSearch 服务开发者指南》中的启动更新

[Opensearch.11] OpenSearch 域名应至少有三个专用的主节点

相关要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-36,NIST.800-53.r5 SI-13

类别:恢复 > 弹性 > 高可用性

严重性:

资源类型:AWS::OpenSearch::Domain

Amazon Config 规则:opensearch-primary-node-fault-tolerance

计划类型:已触发变更

参数:

此控件检查一个 Amazon S OpenSearch ervice 域是否配置了至少三个专用主节点。如果域的专用主节点少于三个,则此控件将失败。

OpenSearch 服务使用专用的主节点来提高集群稳定性。专用主节点执行集群管理任务,但不保留数据也不响应数据上传请求。我们建议您使用带备用空间的多可用区,这会向每个生产 OpenSearch 域添加三个专用的主节点。

修复

要更改 OpenSearch 域的主节点数量,请参阅《亚马逊 OpenSearch 服务开发者指南》中的创建和管理亚马逊 OpenSearch 服务域名