SEC 1: ¿Qué medidas está tomando para controlar el acceso autorizado a los datos? ElastiCache SEC 2: ¿Sus aplicaciones requieren una autorización adicional para ElastiCache superar los controles basados en la red? SEC 3: ¿Existe el riesgo de que los comandos se ejecuten de forma inadvertida y provoquen la pérdida de datos o errores? SEC 4: ¿Cómo se garantiza el cifrado de datos en reposo con ElastiCache SEC 5: ¿Cómo se cifran los datos en tránsito? ElastiCache SEC 6: ¿Cómo se restringe el acceso a los recursos del plano de control? SEC 7: ¿Cómo se detectan los eventos de seguridad y cómo se responde a ellos?

El pilar de seguridad de Amazon ElastiCache Well-Architected Lens

El pilar de seguridad se centra en proteger la información y los sistemas. Los temas clave incluyen la confidencialidad e integridad de los datos, la identificación y administración de quién puede hacer qué con la administración de privilegios, la protección de los sistemas y el establecimiento de controles para detectar eventos de seguridad.

Temas

SEC 1: ¿Qué medidas está tomando para controlar el acceso autorizado a los datos? ElastiCache
SEC 2: ¿Sus aplicaciones requieren una autorización adicional para ElastiCache superar los controles basados en la red?
SEC 3: ¿Existe el riesgo de que los comandos se ejecuten de forma inadvertida y provoquen la pérdida de datos o errores?
SEC 4: ¿Cómo se garantiza el cifrado de datos en reposo con ElastiCache
SEC 5: ¿Cómo se cifran los datos en tránsito? ElastiCache
SEC 6: ¿Cómo se restringe el acceso a los recursos del plano de control?
SEC 7: ¿Cómo se detectan los eventos de seguridad y cómo se responde a ellos?

SEC 1: ¿Qué medidas está tomando para controlar el acceso autorizado a los datos? ElastiCache

Introducción a nivel de preguntas: todos los ElastiCache clústeres están diseñados para que se pueda acceder a ellos desde instancias de Amazon Elastic Compute Cloud en una VPC, funciones sin servidor (AWS Lambda) o contenedores (Amazon Elastic Container Service). El escenario más frecuente es acceder a un ElastiCache clúster desde una instancia de Amazon Elastic Compute Cloud dentro de la misma Amazon Virtual Private Cloud (Amazon Virtual Private Cloud). Antes de poder conectarte a un clúster desde una EC2 instancia de Amazon, debes autorizar a la EC2 instancia de Amazon a acceder al clúster. Para acceder a un ElastiCache clúster que se ejecuta en una VPC, es necesario conceder la entrada de red al clúster.

Ventaja a nivel de pregunta: El acceso a la red en el clúster se controla mediante grupos de seguridad de VPC. Un grupo de seguridad actúa como un firewall virtual para tus EC2 instancias de Amazon a fin de controlar el tráfico entrante y saliente. Las reglas de entrada controlan el tráfico entrante a la instancia y las reglas de salida controlan el tráfico saliente desde la instancia. En el caso de ElastiCache lanzar un clúster, es necesario asociar un grupo de seguridad. Esto garantiza que haya reglas de tráfico entrante y saliente vigentes para todos los nodos que componen el clúster. Además, ElastiCache está configurado para implementarse exclusivamente en subredes privadas, de modo que solo se puede acceder a ellas a través de la red privada de la VPC.

[Obligatorio] El grupo de seguridad asociado al clúster controla el acceso a la red y al clúster. De forma predeterminada, un grupo de seguridad no tendrá ninguna regla de entrada definida y, por lo tanto, no tendrá una ruta de entrada a ella. ElastiCache Para habilitarlo, configure una regla de entrada en el grupo de seguridad especificando la dirección o el rango IP de origen, el tráfico de tipo TCP y el puerto del ElastiCache clúster (el puerto predeterminado 6379 para Valkey y Redis OSS, ElastiCache por ejemplo). Si bien es posible permitir un conjunto muy amplio de fuentes de entrada, como todos los recursos de una VPC (0.0.0.0/0), se recomienda ser lo más detallado posible a la hora de definir las reglas de entrada, por ejemplo, autorizar únicamente el acceso entrante a los clientes OSS de Valkey o Redis que se ejecuten en instancias de Amazon Amazon asociadas a un grupo de seguridad específico. EC2

[Recursos]:
Se pueden asignar AWS Identity and Access Management políticas [Obligatorias] a las funciones que les permiten acceder a los datos. AWS Lambda ElastiCache Para habilitar esta función, cree una función de ejecución de IAM con el AWSLambdaVPCAccessExecutionRole permiso y, a continuación, asigne la función a la AWS Lambda función.

[Recursos]: Configuración de una función de Lambda para acceder a Amazon ElastiCache en una Amazon VPC: Tutorial: Configuración de una función de Lambda para acceder a Amazon en una Amazon VPC ElastiCache

SEC 2: ¿Sus aplicaciones requieren una autorización adicional para ElastiCache superar los controles basados en la red?

Introducción a nivel de preguntas: en situaciones en las que sea necesario restringir o controlar el acceso a los clústeres a nivel de un cliente individual, se recomienda autenticarse mediante el comando AUTH. ElastiCache Los tokens de autenticación, con la administración opcional de usuarios y grupos de usuarios, permiten solicitar una contraseña antes de ElastiCache permitir que los clientes ejecuten comandos y accedan a las claves, lo que mejora la seguridad del plano de datos.

Ventaja a nivel de pregunta: para ayudar a mantener sus datos seguros, ElastiCache proporciona mecanismos para protegerlos contra el acceso no autorizado a los mismos. Esto incluye aplicar el AUTH o el token AUTH (contraseña) del control de acceso basado en roles (RBAC) al que deben conectarse los clientes antes de ejecutar comandos autorizados. ElastiCache

[Lo mejor] Para la ElastiCache versión 6.x y superior para Redis OSS y la ElastiCache versión 7.2 y superior para Valkey, defina los controles de autenticación y autorización definiendo los grupos de usuarios, los usuarios y las cadenas de acceso. Asigne usuarios a grupos de usuarios y, a continuación, asigne grupos de usuarios a clústeres. Para utilizar el RBAC, este debe seleccionarse al crear el clúster y debe estar habilitado el cifrado en tránsito. Asegúrese de utilizar un cliente de Valkey o Redis que sea compatible con TLS para poder utilizar RBAC.

[Recursos]:
[Lo mejor] Para ElastiCache versiones anteriores a la 6.x para Redis OSS, además de ser una versión sólida. token/password and maintaining a strict password policy for AUTH, it is best practice to rotate the password/token ElastiCache puede administrar hasta dos (2) tokens de autenticación en un momento dado. También puede modificar el clúster para que requiera explícitamente el uso de tokens de autenticación.

[Recursos]: modificar el token AUTH en un clúster existente ElastiCache

SEC 3: ¿Existe el riesgo de que los comandos se ejecuten de forma inadvertida y provoquen la pérdida de datos o errores?

Introducción de pregunta: hay varios comandos de Valkey o Redis OSS que pueden tener una repercusión negativa en las operaciones si se ejecutan por error o por parte de personas malintencionadas. Estos comandos pueden tener consecuencias no deseadas desde el punto de vista del rendimiento y la seguridad de los datos. Por ejemplo, un desarrollador puede llamar de forma rutinaria al comando FLUSHALL en un entorno de desarrollo y, debido a un error, puede intentar ejecutar este comando sin darse cuenta en un sistema de producción, lo que provoca la pérdida accidental de datos.

Ventaja a nivel de pregunta: a partir de la ElastiCache versión 5.0.3 para Redis OSS, podrá cambiar el nombre de ciertos comandos que podrían afectar su carga de trabajo. El cambio del nombre de los comandos puede ayudar a evitar que se ejecuten inadvertidamente en el clúster.

[Obligatorio]

[Recursos]:

SEC 4: ¿Cómo se garantiza el cifrado de datos en reposo con ElastiCache

Introducción a nivel de preguntas: Si bien ElastiCache es un almacén de datos en memoria, es posible cifrar cualquier dato que pueda persistir (en el almacenamiento) como parte de las operaciones estándar del clúster. Esto incluye las copias de seguridad programadas y manuales escritas en Amazon S3, así como los datos guardados en el almacenamiento en disco como resultado de las operaciones de sincronización e intercambio. Los tipos de instancias de las familias M6g y R6g también cuentan con un cifrado en memoria siempre activo.

Ventaja a nivel de pregunta: ElastiCache ofrece un cifrado opcional en reposo para aumentar la seguridad de los datos.

[Obligatorio] El cifrado en reposo solo se puede habilitar en un ElastiCache clúster (grupo de replicación) cuando se crea. No se puede modificar un clúster existente para empezar a cifrar los datos en reposo. De forma predeterminada, ElastiCache proporcionará y administrará las claves utilizadas en el cifrado en reposo.

[Recursos]:
- Restricciones del cifrado en reposo
- Activación del cifrado en reposo
[Lo mejor] Aproveche los tipos de EC2 instancias de Amazon que cifran los datos mientras están en la memoria (como M6g o R6g). Siempre que sea posible, considere la posibilidad de administrar sus propias claves para el cifrado en reposo. Para entornos de seguridad de datos más estrictos, se puede utilizar AWS Key Management Service (KMS) para gestionar automáticamente las claves maestras del cliente (CMK). Mediante ElastiCache la integración con AWS Key Management Service, puede crear, poseer y administrar las claves utilizadas para el cifrado de los datos en reposo de su ElastiCache clúster.

[Recursos]:

SEC 5: ¿Cómo se cifran los datos en tránsito? ElastiCache

Introducción a nivel de pregunta: Es un requisito habitual evitar que los datos corran peligro mientras están en tránsito. Esto representa los datos dentro de los componentes de un sistema distribuido, así como entre los clientes de aplicaciones y los nodos del clúster. ElastiCache cumple con este requisito al permitir el cifrado de los datos en tránsito entre los clientes y el clúster, y entre los propios nodos del clúster. Los tipos de instancias de las familias M6g y R6g también cuentan con un cifrado en memoria siempre activo.

Ventaja a nivel de pregunta: el cifrado ElastiCache en tránsito de Amazon es una función opcional que te permite aumentar la seguridad de tus datos en los puntos más vulnerables, cuando están en tránsito de un lugar a otro.

[Obligatorio] El cifrado en tránsito solo se puede habilitar en un clúster (grupo de replicación) tras su creación. Tenga en cuenta que, debido al procesamiento adicional necesario para cifrar o descifrar datos, la implementación del cifrado en tránsito afectará al rendimiento en cierta medida. Para comprender el impacto, se recomienda comparar la carga de trabajo antes y después de la activaciónencryption-in-transit.

[Recursos]:
- Información general sobre el cifrado en tránsito

SEC 6: ¿Cómo se restringe el acceso a los recursos del plano de control?

Introducción a nivel de preguntas: las políticas de IAM y el ARN permiten controles de acceso detallados ElastiCache para Valkey y Redis OSS, lo que permite un control más estricto para gestionar la creación, modificación y eliminación de clústeres.

Beneficio a nivel de pregunta: la administración de ElastiCache los recursos de Amazon, como grupos de replicación, nodos, etc., puede restringirse a AWS cuentas que tengan permisos específicos basados en las políticas de IAM, lo que mejora la seguridad y la confiabilidad de los recursos.

[Obligatorio] Gestiona el acceso a ElastiCache los recursos de Amazon mediante la asignación de AWS Identity and Access Management políticas específicas a AWS los usuarios, lo que permite controlar mejor qué cuentas pueden realizar determinadas acciones en los clústeres.

[Recursos]:
- Descripción general de la gestión de los permisos de acceso a sus recursos ElastiCache
- Uso de políticas basadas en la identidad (políticas de IAM) para Amazon ElastiCache

SEC 7: ¿Cómo se detectan los eventos de seguridad y cómo se responde a ellos?

Introducción a nivel de preguntas: cuando se implementa con el RBAC activadoElastiCache, exporta CloudWatch métricas para notificar a los usuarios sobre los eventos de seguridad. Estas métricas ayudan a identificar los intentos fallidos de autenticación, acceso a claves o ejecución de comandos para los que los usuarios con RBAC que se conectan no están autorizados.

Además, AWS los recursos de productos y servicios ayudan a proteger su carga de trabajo general al automatizar las implementaciones y registrar todas las acciones y modificaciones para su posterior revisión o auditoría.

Ventaja a nivel de pregunta: Con la supervisión de los eventos, usted permite a su organización responder de acuerdo con sus requisitos, políticas y procedimientos. La automatización de la supervisión y las respuestas a estos eventos de seguridad refuerza su postura de seguridad general.

[Obligatorio] Familiarícese con las CloudWatch métricas publicadas relacionadas con los errores de autenticación y autorización del RBAC.
- AuthenticationFailures = Intentos fallidos de autenticarse en Valkey o Redis OSS
- KeyAuthorizationFailures = Intentos fallidos de los usuarios de acceder a las claves sin permiso
- CommandAuthorizationFailures = Intentos fallidos de los usuarios de ejecutar comandos sin permiso
[Recursos]:
- Métricas de Valkey y Redis OSS
[Lo mejor] Se recomienda configurar alertas y notificaciones para estas métricas y responder según sea necesario.

[Recursos]:
- Uso de CloudWatch alarmas de Amazon
[Lo mejor] Utilice el comando de la ACL LOG de Valkey o Redis OSS para recopilar más detalles.

[Recursos]:
- ACL LOG
[Lo mejor] Familiarícese con las capacidades de los AWS productos y servicios en lo que respecta a la supervisión, el registro y el análisis de ElastiCache las implementaciones y los eventos

[Recursos]:

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Operational Excellence Pillar

Pilar de fiabilidad