亚马逊 OpenSearch 服务控制 - Amazon Security Hub
[Opensearch.1] OpenSearch 域名应启用静态加密[Opensearch.2] OpenSearch 域名不应向公众开放[Opensearch.3] OpenSearch 域应加密节点之间发送的数据[Opensearch.4] OpenSearch 应该启用记录到 CloudWatch 日志的域名错误[Opensearch.5] OpenSearch 域应启用审核日志[Opensearch.6] OpenSearch 域名应至少有三个数据节点[Opensearch.7] OpenSearch 域名应启用精细的访问控制[Opensearch.8] 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密[Opensearch.10] OpenSearch 域名应安装最新的软件更新
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

亚马逊 OpenSearch 服务控制

这些控制与 OpenSearch 服务资源有关。

这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息,请参阅 按地区划分的控件可用性

[Opensearch.1] OpenSearch 域名应启用静态加密

相关要求:PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/7.2.1、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SI-7(6)。

类别:保护 > 数据保护 > 静态数据加密

严重性:

资源类型:AWS::OpenSearch::Domain

Amazon Config 规则:opensearch-encrypted-at-rest

计划类型:已触发变更

参数:

此控件检查 OpenSearch 域名是否启用了 encryption-at-rest 配置。如果未启用静态加密,检查将失败。

为了增加敏感数据的安全性,您应将 OpenSearch 服务域配置为静态加密。配置静态数据加密时,会 Amazon KMS 存储和管理您的加密密钥。要执行加密,请 Amazon KMS 使用带有 256 位密钥的高级加密标准算法 (AES-256)。

要了解有关静态 OpenSearch 服务加密的更多信息,请参阅《亚马逊服务开发者指南》中的亚马逊 OpenSearch 服务静态数据加密。 OpenSearch

修复

要为新域和现有 OpenSearch 域名启用静态加密,请参阅 Amazon S OpenSearch ervice 开发者指南中的启用静态数据加密。

[Opensearch.2] OpenSearch 域名不应向公众开放

相关要求:PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

类别:保护 > 安全网络配置 > VPC 内的资源

严重性:严重

资源类型:AWS::OpenSearch::Domain

Amazon Config 规则:opensearch-in-vpc-only

计划类型:已触发变更

参数:

此控件可检查 OpenSearch 域是否在 VPC 中。它不会评估 VPC 子网路由配置来确定公共访问。

您应确保 OpenSearch 域名未连接到公有子网。请参阅《Amazon OpenSearch 服务开发者指南》中的基于资源的政策。您还应该确保根据建议的最佳实践配置了 VPC。请参阅 Amazon VPC 用户指南中的 VPC 安全最佳实践

OpenSearch 部署在 VPC 中的域可以通过私有 Amazon 网络与 VPC 资源通信,无需穿越公共互联网。此配置通过限制对传输中数据的访问来提高安全状况。VPC 提供了许多网络控制来保护对 OpenSearch 域的访问,包括网络 ACL 和安全组。Security Hub 建议您将公共 OpenSearch 域迁移到 VPC 以利用这些控制措施。

修复

如果您创建一个具有公有端点的域,则以后无法将其放置在 VPC 中。您必须创建一个新的域,然后迁移数据。反之亦然。如果在 VPC 中创建一个域,则该域不能具有公有端点。您必须创建另一个域或禁用该控制。

有关说明,请参阅《亚马逊 OpenSearch 服务开发者指南》中的在 VPC 内启动您的亚马逊 OpenSearch 服务

[Opensearch.3] OpenSearch 域应加密节点之间发送的数据

相关要求:NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)。

类别:保护 > 数据保护 > 传输中数据加密

严重性:

资源类型:AWS::OpenSearch::Domain

Amazon Config 规则:opensearch-node-to-node-encryption-check

计划类型:已触发变更

参数:

此控件检查 OpenSearch 域名是否启用了 node-to-node 加密。如果在域上禁用了 node-to-node 加密,则此控件将失败。

HTTPS (TLS) 可用于帮助防止潜在的攻击者使用 person-in-the-middle 或类似的攻击窃听或操纵网络流量。只允许通过 HTTPS (TLS) 进行加密连接。为 OpenSearch 域启用 node-to-node 加密可确保集群内部通信在传输过程中得到加密。

此配置可能会降低性能。在启用此选项之前,您应该了解并测试性能权衡。

修复

要在 OpenSearch 域上启用 node-to-node 加密,请参阅《亚马逊 OpenSearch 服务开发者指南》中的启用 node-to-node 加密。

[Opensearch.4] OpenSearch 应该启用记录到 CloudWatch 日志的域名错误

相关要求:NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)。

类别:识别 > 日志记录

严重性:

资源类型:AWS::OpenSearch::Domain

Amazon Config 规则:opensearch-logs-to-cloudwatch

计划类型:已触发变更

参数:

  • logtype = 'error'(不可自定义)

此控件检查 OpenSearch 域是否配置为向日志发送错误 CloudWatch 日志。如果未为域启用错误记录功能, CloudWatch 则此控件将失败。

您应该为 OpenSearch 域启用错误日志,并将这些日志发送到 CloudWatch 日志以进行保留和响应。域错误日志可以帮助进行安全和访问审计,还可以帮助诊断可用性问题。

修复

要启用日志发布,请参阅《Amazon S OpenSearch ervice 开发者指南》中的启用日志发布(控制台)

[Opensearch.5] OpenSearch 域应启用审核日志

相关要求:NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)。

类别:识别 > 日志记录

严重性:

资源类型:AWS::OpenSearch::Domain

Amazon Config 规则:opensearch-audit-logging-enabled

计划类型:已触发变更

参数:

  • cloudWatchLogsLogGroupArnList(不可自定义)- Security Hub 不会填充此参数。应为审核日志配置的 CloudWatch 日志组列表,以逗号分隔。

NON_COMPLIANT如果未在此参数列表中指定 OpenSearch域的 CloudWatch 日志日志组,则此规则适用。

此控件检查 OpenSearch 域名是否启用了审核日志。如果 OpenSearch 域未启用审核日志,则此控件将失败。

审核日志是高度可定制的。它们允许您跟踪OpenSearch 集群上的用户活动,包括身份验证成功和失败、对身份验证的请求OpenSearch、索引更改以及传入的搜索查询。

修复

有关启用审计日志的说明,请参阅《Amazon S OpenSearch ervice 开发者指南》中的启用审计日志

[Opensearch.6] OpenSearch 域名应至少有三个数据节点

相关要求:NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)。

类别:恢复 > 弹性 > 高可用性

严重性:

资源类型:AWS::OpenSearch::Domain

Amazon Config 规则:opensearch-data-node-fault-tolerance

计划类型:已触发变更

参数:

此控件检查 OpenSearch 域是否配置了至少三个数据节点,并且zoneAwarenessEnabledtrue。如果 OpenSearch 域小于 3 或小instanceCount于 3,zoneAwarenessEnabled则此控制失败false

一个 OpenSearch 域至少需要三个数据节点才能实现高可用性和容错能力。部署具有至少三个数据节点的 OpenSearch 域可确保在节点出现故障时集群运行。

修复

修改 OpenSearch 域中数据节点的数量

  1. 登录 Amazon 控制台并打开亚马逊 OpenSearch 服务控制台,网址为 https://console.aws.amazon.com/aos/

  2. 我的域名下,选择要编辑的域名,然后选择编辑

  3. 数据节点下,将节点数设置为大于 3 的数字。如果您要部署到三个可用区,将该数字设置为三的倍数,以确保可用区间的分布均等。

  4. 选择提交

[Opensearch.7] OpenSearch 域名应启用精细的访问控制

相关要求:NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-5、NIST.800-53.r5 AC-6。

类别:保护 > 安全访问管理 > 敏感的 API 操作受限

严重性:

资源类型:AWS::OpenSearch::Domain

Amazon Config 规则:opensearch-access-control-enabled

计划类型:已触发变更

参数:

此控件检查 OpenSearch 域名是否启用了细粒度访问控制。如果未启用精细访问控制,则控制失败。细粒度的访问控制需要advanced-security-options在 OpenSearch 参数中启update-domain-config用。

精细的访问控制提供了更多方法来控制对您在 Ama OpenSearch zon Service 上的数据的访问权限。

修复

要启用精细访问控制,请参阅《亚马逊服务开发者指南》中的 Amazon Service OpenSearch 中的精细访问控制。 OpenSearch

[Opensearch.8] 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密

相关要求:NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)。

类别:保护 > 数据保护 > 加密 data-in-transit

严重性:

资源类型:AWS::OpenSearch::Domain

Amazon Config 规则:opensearch-https-required

计划类型:已触发变更

参数:

  • tlsPolicies: Policy-Min-TLS-1-2-PFS-2023-10(不可自定义)

该控制检查与亚马逊 OpenSearch 服务域的连接是否使用最新的 TLS 安全策略。如果 OpenSearch 域未使用最新的支持策略或未启用 HTTP,则控制失败。

HTTPS (TLS) 可用于帮助防止潜在的攻击者使用 person-in-the-middle 或类似的攻击来窃听或操纵网络流量。只允许通过 HTTPS (TLS) 进行加密连接。加密传输中数据可能会影响性能。您应该使用此功能测试应用程序,以了解性能概况和 TLS 的影响。与先前版本的 TLS 相比,TLS 1.2 提供了多项安全增强功能。

修复

要启用 TLS 加密,请使用 UpdateDomainConfigAPI 操作。将该DomainEndpointOptions字段配置为设置TLSSecurityPolicy。有关更多信息,请参阅《亚马逊 OpenSearch 服务开发者指南》中的 N ode-to-node 加密

[Opensearch.10] OpenSearch 域名应安装最新的软件更新

相关要求:NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)。

类别:检测 > 漏洞、补丁和版本管理

严重性:

资源类型:AWS::OpenSearch::Domain

Amazon Config 规则:opensearch-update-check

计划类型:已触发变更

参数:

此控件用于检查 Amazon S OpenSearch ervice 域是否安装了最新的软件更新。如果已有可用软件更新但没有为该域安装,则控制失败。

OpenSearch 服务软件更新提供适用于该环境的最新平台修复、更新和功能。继续 up-to-date 安装补丁有助于维护域的安全性和可用性。如果没有对必需更新采取任何操作,将自动更新服务软件(通常在 2 周后)。我们建议在域流量较低的时段安排更新,以最大限度地减少服务中断。

修复

要为 OpenSearch 域安装软件更新,请参阅《亚马逊 OpenSearch 服务开发者指南》中的启动更新