Controles de Security Hub para ElastiCache

Estos controles de AWS Security Hub CSPM evalúan el servicio y los recursos de Amazon ElastiCache. Es posible que estos controles no estén disponibles en todas las Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.

[ElastiCache.1] Los clústeres de ElastiCache (Redis OSS) deben tener habilitada la copia de seguridad automática

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13(5)

Categoría: Recuperación > Resiliencia > Respaldos habilitados

Gravedad: alta

Tipo de recurso: AWS::ElastiCache::CacheCluster, AWS:ElastiCache:ReplicationGroup

AWS Config Regla de: elasticache-redis-cluster-automatic-backup-check

Tipo de programa: Periódico

Parámetros:

Este control evalúa si un clúster de Amazon ElastiCache (Redis OSS) tiene habilitadas las copias de seguridad automáticas. El control falla si el SnapshotRetentionLimit para el clúster de Redis OSS es inferior al periodo de tiempo especificado. A menos que se proporcione un valor personalizado de parámetro para el periodo de retención de instantáneas, Security Hub utiliza un valor predeterminado de 1 día.

Los clústeres de ElastiCache (Redis OSS) pueden crear copias de seguridad de sus datos. Puede utilizar la característica de copia de seguridad para restaurar un clúster o para propagar datos en un nuevo clúster. La copia de seguridad consiste en los metadatos del clúster, junto con todos los datos del clúster. Todas las copias de seguridad se escriben en Amazon S3, que proporciona un almacenamiento duradero. Puede restaurar los datos mediante la creación de un nuevo clúster de ElastiCache que se complete con los datos provenientes de una copia de seguridad. Puede administrar copias de seguridad mediante la Consola de administración de AWS, la AWS CLI y la API de ElastiCache.

Corrección

Para obtener información sobre cómo programar copias de seguridad automáticas para un clúster de ElastiCache, consulte Programación de copias de seguridad automáticas en la Guía del usuario de Amazon ElastiCache.

[ElastiCache.2] Los clústeres de ElastiCache deben tener habilitadas las actualizaciones automáticas de versiones secundarias

Requisitos relacionados: NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5) PCI DSS v4.0.1/6.3.3

Categoría: Identificar > Administración de vulnerabilidades, parches y versiones

Gravedad: alta

Tipo de recurso: AWS::ElastiCache::CacheCluster

AWS Config Regla de: elasticache-auto-minor-version-upgrade-check

Tipo de programa: Periódico

Parámetros: ninguno

Este control evalúa si Amazon ElastiCache aplica de manera automática las actualizaciones de versiones secundarias a un clúster de caché. El control falla si el clúster de caché no tiene habilitadas las actualizaciones automáticas de versiones secundarias.

La actualización automática de versiones secundarias es una característica que puede habilitar en Amazon ElastiCache para actualizar los clústeres de caché cuando haya una nueva versión secundaria del motor. Estas actualizaciones pueden incluir parches de seguridad y correcciones de errores. Mantenerse al día con la instalación de los parches es un paso importante para proteger los sistemas.

Corrección

Para aplicar actualizaciones automáticas de versiones secundarias a un clúster de caché de ElastiCache existente, consulte Administración de versiones para ElastiCache en la Guía del usuario de Amazon ElastiCache.

[ElastiCache.3] Los grupos de replicación de ElastiCache deben tener habilitada la conmutación por error automática

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

Categoría: Recuperación > Resiliencia > Alta disponibilidad

Gravedad: media

Tipo de recurso: AWS::ElastiCache::ReplicationGroup

AWS Config Regla de: elasticache-repl-grp-auto-failover-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control verifica si un grupo de replicación de ElastiCache tiene habilitada la conmutación por error automática. El control falla si la conmutación por error automática no está habilitada para un grupo de replicación.

Cuando se habilita la conmutación por error automática para un grupo de replicación, la característica del nodo principal tendrá una conmutación por error automática en una de las réplicas de lectura. Esta conmutación por error y promoción de réplica garantizan que pueda reanudar la escritura en la réplica principal tan pronto como se complete la promoción, lo cual reduce el tiempo de inactividad general en caso de falla.

Corrección

Para habilitar la conmutación por error automática en un grupo de replicación de ElastiCache existente, consulte Modificación de un clúster de ElastiCache en la Guía del usuario de Amazon ElastiCache. Si utiliza la consola ElastiCache, habilite la conmutación por error automática.

[ElastiCache.4] Los grupos de replicación de ElastiCache deben cifrarse en reposo

Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)

Categoría: Proteger > Protección de datos > Cifrado de datos en reposo

Gravedad: media

Tipo de recurso: AWS::ElastiCache::ReplicationGroup

AWS Config Regla de: elasticache-repl-grp-encrypted-at-rest

Tipo de programa: Periódico

Parámetros: ninguno

Este control verifica si un grupo de replicación de ElastiCache está cifrado en reposo. El control falla si el grupo de replicación no está cifrado en reposo.

El cifrado de los datos en reposo reduce el riesgo de que un usuario no autenticado acceda a los datos almacenados en el disco. Los grupos de replicación de ElastiCache (Redis OSS) deben cifrarse en reposo para ofrecer un nivel de seguridad adicional.

Corrección

Para configurar el cifrado en reposo en un grupo de replicación de ElastiCache, consulte Habilitación del cifrado en reposo en la Guía del usuario de Amazon ElastiCache.

[ElastiCache.5] Los grupos de replicación de ElastiCache (Redis OSS) deben cifrarse en tránsito

Requisitos relacionados: NIST.800-53.r5 AC-17(2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5(1), NIST.800-53.r5 SC-12(3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SI-7(6), PCI DSS v4.0.1/4.2.1

Categoría: Proteger > Protección de datos > Cifrado de datos en tránsito

Gravedad: media

Tipo de recurso: AWS::ElastiCache::ReplicationGroup

AWS Config Regla de: elasticache-repl-grp-encrypted-in-transit

Tipo de programa: Periódico

Parámetros: ninguno

Este control verifica si un grupo de replicación de ElastiCache está cifrado en tránsito. El control falla si el grupo de replicación no está cifrado en tránsito.

El cifrado de los datos en tránsito reduce el riesgo de que un usuario no autorizado pueda espiar el tráfico de la red. Habilitar el cifrado en tránsito en un grupo de replicación de ElastiCache cifra los datos cada vez que se trasladan de un lugar a otro, como entre nodos del clúster o entre el clúster y la aplicación.

Corrección

Para configurar el cifrado en tránsito en un grupo de replicación de ElastiCache, consulte Habilitación del cifrado en tránsito en la Guía del usuario de Amazon ElastiCache.

[ElastiCache.6] Los grupos de replicación de ElastiCache (Redis OSS) de versiones anteriores de Redis deben tener Redis OSS AUTH activado

Requisitos relacionados: NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-6, PCI DSS v4.0.1/8.3.1

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::ElastiCache::ReplicationGroup

AWS Config Regla de: elasticache-repl-grp-redis-auth-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si los grupos de replicación de ElastiCache (Redis OSS) tienen habilitada Redis OSS AUTH. Se produce un error en el control si la versión de Redis OSS de los nodos del grupo de replicación es inferior a la 6.0 y AuthToken no está en uso.

Cuando utiliza los tokens de autenticación o contraseñas de Redis, Redis solicita una contraseña antes de permitir que los clientes ejecuten comandos, lo cual mejora la seguridad de los datos. Para Redis 6.0 y versiones posteriores, se recomienda utilizar el control de acceso basado en roles (RBAC). Como el RBAC no es compatible con las versiones de Redis anteriores a la 6.0, este control solo evalúa las versiones que no pueden usar la característica RBAC.

Corrección

Para usar Redis AUTH en un grupo de replicación de ElastiCache (Redis OSS), consulte Modificación del token AUTH en un clúster de ElastiCache (Redis OSS) existente en la Guía del usuario de Amazon ElastiCache.

[ElastiCache.7] Los clústeres de ElastiCache no deben usar el grupo de subredes predeterminado

Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(5)

Categoría: Proteger - Configuración de red segura

Gravedad: alta

Tipo de recurso: AWS::ElastiCache::CacheCluster

AWS Config Regla de: elasticache-subnet-group-check

Tipo de programa: Periódico

Parámetros: ninguno

Este control verifica si un clúster de ElastiCache está configurado con un grupo de subredes personalizado. El control falla si el valor CacheSubnetGroupName para un clúster de ElastiCache es default.

Al lanzar un clúster de ElastiCache, se crea un grupo de subredes predeterminado si aún no existe uno. El grupo predeterminado utiliza subredes de la nube privada virtual (VPC) predeterminada. Recomendamos usar grupos de subredes personalizados que restrinjan más las subredes en las que reside el clúster y las redes que el clúster hereda de las subredes.

Corrección

Para crear un nuevo grupo de subredes para un clúster de ElastiCache, consulte Creación de un grupo de subredes en la Guía del usuario de Amazon ElastiCache.