Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pantau ElastiCache kluster Amazon untuk enkripsi saat istirahat
Susanne Kangnoh, Amazon Web Services
Ringkasan
Amazon ElastiCache adalah layanan Amazon Web Services (AWS) yang menyediakan solusi caching berkinerja tinggi, terukur, dan hemat biaya untuk mendistribusikan penyimpanan data dalam memori atau lingkungan cache di cloud. Ini mengambil data dari throughput tinggi dan latensi rendah, penyimpanan data dalam memori. Fungsionalitas ini menjadikannya pilihan populer untuk kasus penggunaan real-time seperti caching, toko sesi, game, layanan geo-spasial, analitik real-time, dan antrian. ElastiCache menawarkan penyimpanan data Redis dan Memcached, yang keduanya menyediakan waktu respons sub-milidetik.
Enkripsi data membantu mencegah pengguna yang tidak sah membaca data sensitif yang tersedia di kluster Redis Anda dan sistem penyimpanan cache terkait mereka. Ini termasuk data yang disimpan ke media persisten, yang dikenal sebagai data saat istirahat, dan data yang dapat dicegat saat melakukan perjalanan melalui jaringan antara klien dan server cache, yang dikenal sebagai data dalam perjalanan.
Anda dapat mengaktifkan enkripsi saat istirahat ElastiCache untuk Redis saat Anda membuat grup replikasi, dengan menyetel AtRestEncryptionEnabledparameter ke true. Ketika parameter ini diaktifkan, parameter ini mengenkripsi disk selama operasi sinkronisasi, pencadangan, dan swap, dan mengenkripsi cadangan yang disimpan di Amazon Simple Storage Service (Amazon S3). Anda tidak dapat mengaktifkan enkripsi saat istirahat pada grup replikasi yang ada. Saat Anda membuat grup replikasi, Anda dapat mengaktifkan enkripsi saat istirahat dengan dua cara berikut:
Dengan memilih opsi Default, yang menggunakan enkripsi yang dikelola layanan saat istirahat.
Dengan menggunakan kunci yang dikelola pelanggan dan memberikan ID kunci atau Nama Sumber Daya Amazon (ARN) dari AWS Key Management Service (AWS KMS).
Pola ini menyediakan kontrol keamanan yang memantau panggilan API dan menghasilkan CloudWatch peristiwa Amazon Events pada CreateReplicationGroupoperasi. Acara ini memanggil fungsi AWS Lambda, yang menjalankan skrip Python. Fungsi mendapatkan ID grup replikasi dari input JSON peristiwa, dan melakukan pemeriksaan berikut untuk menentukan apakah ada pelanggaran keamanan:
Memeriksa apakah AtRestEncryptionEnabledkuncinya ada.
Jika AtRestEncryptionEnabledada, periksa nilainya untuk melihat apakah itu benar.
Jika AtRestEncryptionEnablednilai disetel ke false, tetapkan variabel yang melacak pelanggaran dan mengirimkan pesan pelanggaran ke alamat email yang Anda berikan, dengan menggunakan notifikasi Amazon Simple Notification Service (Amazon SNS).
Prasyarat dan batasan
Prasyarat
Akun AWS aktif.
Bucket S3 untuk mengunggah kode Lambda yang disediakan.
Alamat email tempat Anda ingin menerima pemberitahuan pelanggaran.
ElastiCache logging diaktifkan, untuk akses ke semua log API.
Batasan
Kontrol detektif ini bersifat regional dan harus diterapkan di setiap Wilayah AWS yang ingin Anda pantau.
Kontrol mendukung grup replikasi yang berjalan di cloud pribadi virtual (VPC).
Kontrol mendukung grup replikasi yang menjalankan jenis node berikut:
R5, R4, R3
M5, M4, M3
T3, T2
Versi produk
ElastiCache untuk Redis versi 3.2.6 atau yang lebih baru
Arsitektur
Arsitektur alur kerja
Otomatisasi dan skala
Jika Anda menggunakan AWS Organizations, Anda dapat menggunakan AWS Cloudformation StackSets untuk menerapkan template ini di beberapa akun yang ingin Anda pantau.
Alat
Layanan AWS
Amazon ElastiCache — Amazon ElastiCache memudahkan untuk mengatur, mengelola, dan menskalakan lingkungan cache dalam memori terdistribusi di AWS Cloud. Ini menyediakan cache dalam memori berkinerja tinggi, dapat diubah ukurannya, dan hemat biaya, sambil menghilangkan kompleksitas yang terkait dengan penerapan dan pengelolaan lingkungan cache terdistribusi. ElastiCache bekerja dengan mesin Redis dan Memcached.
AWS CloudFormation — AWS CloudFormation membantu Anda memodelkan dan menyiapkan sumber daya AWS Anda, menyediakannya dengan cepat dan konsisten, serta mengelolanya sepanjang siklus hidupnya. Anda dapat menggunakan template untuk mendeskripsikan sumber daya Anda dan dependensinya, dan meluncurkan dan mengonfigurasinya bersama-sama sebagai tumpukan, alih-alih mengelola sumber daya secara individual. Anda dapat mengelola dan menyediakan tumpukan di beberapa akun AWS dan Wilayah AWS.
AWS Cloudwatch Events — Amazon CloudWatch Events menghadirkan aliran peristiwa sistem yang mendekati waktu nyata yang menjelaskan perubahan dalam sumber daya AWS. CloudWatch Peristiwa menjadi sadar akan perubahan operasional saat terjadi dan mengambil tindakan korektif seperlunya, dengan mengirim pesan untuk merespons lingkungan, mengaktifkan fungsi, membuat perubahan, dan menangkap informasi negara.
AWS Lambda — AWS Lambda adalah layanan komputasi yang mendukung menjalankan kode tanpa menyediakan atau mengelola server. Lambda menjalankan kode Anda hanya bila diperlukan dan menskalakan secara otomatis dari beberapa permintaan per hari menjadi ribuan per detik. Anda hanya membayar untuk waktu komputasi yang Anda gunakan—tidak ada biaya saat kode Anda tidak berjalan.
Amazon SNS - Amazon Simple Notification Service (Amazon SNS) mengoordinasikan dan mengelola pengiriman pesan antara penerbit dan klien, termasuk server web dan alamat email. Pelanggan menerima semua pesan yang dipublikasikan ke topik tempat mereka berlangganan, dan semua pelanggan ke suatu topik menerima pesan yang sama.
Kode
Pola ini mencakup lampiran dengan dua file:
ElasticCache-EncryptionAtRest.zipadalah file terkompresi yang mencakup kontrol keamanan (kode Lambda).elasticache_encryption_at_rest.ymladalah CloudFormation template yang menyebarkan kontrol keamanan.
Lihat bagian Epics untuk informasi tentang cara menggunakan file-file ini.
Epik
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
|---|---|---|
| Unggah kode ke bucket S3. | Buat bucket S3 baru atau gunakan bucket S3 yang sudah ada untuk mengunggah | Arsitek awan |
| Menyebarkan CloudFormation template. | Buka konsol Cloudformation di Wilayah AWS yang sama dengan bucket S3, dan terapkan | Arsitek awan |
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
|---|---|---|
| Berikan nama bucket S3. | Masukkan nama bucket S3 yang Anda buat atau pilih di epik pertama. Bucket S3 ini berisi file.zip untuk kode Lambda dan harus berada di Wilayah AWS yang sama dengan CloudFormation templat dan sumber daya yang akan dievaluasi. | Arsitek awan |
| Berikan kunci S3. | Berikan lokasi file kode Lambda .zip di bucket S3 Anda, tanpa garis miring di depan (misalnya, atau). | Arsitek awan |
| Berikan alamat email. | Berikan alamat email aktif tempat Anda ingin menerima pemberitahuan pelanggaran. | Arsitek awan |
| Tentukan tingkat logging. | Tentukan tingkat logging dan verbositas. | Arsitek awan |
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
|---|---|---|
| Konfirmasikan langganan email. | Ketika CloudFormation template berhasil digunakan, ia mengirimkan pesan email berlangganan ke alamat email yang Anda berikan. Untuk menerima pemberitahuan, Anda harus mengonfirmasi langganan email ini. | Arsitek awan |
Sumber daya terkait
Membuat tumpukan di CloudFormation konsol AWS ( CloudFormation dokumentasi AWS)
Enkripsi At-Rest ElastiCache untuk Redis (dokumentasi Amazon ElastiCache )
Lampiran
Untuk mengakses konten tambahan yang terkait dengan dokumen ini, unzip file berikut: attachment.zip
