

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Kontrol CSPM Security Hub untuk Amazon EMR
<a name="emr-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon EMR (sebelumnya disebut Amazon Elastic MapReduce). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [EMR.1] Node primer cluster EMR Amazon seharusnya tidak memiliki alamat IP publik
<a name="emr-1"></a>

**Persyaratan terkait:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4, 1,, (7),, (21),,, (11), (16), (16), 20), (21), (3), (4), (9) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::EMR::Cluster`

**AWS Config aturan: emr-master-no-public** [-ip](https://docs.aws.amazon.com/config/latest/developerguide/emr-master-no-public-ip.html)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah node master di klaster EMR Amazon memiliki alamat IP publik. Kontrol gagal jika alamat IP publik dikaitkan dengan salah satu instance node master.

Alamat IP publik ditunjuk di `PublicIp` bidang `NetworkInterfaces` konfigurasi untuk instance. Kontrol ini hanya memeriksa kluster EMR Amazon yang berada dalam status atau`RUNNING`. `WAITING`

### Remediasi
<a name="emr-1-remediation"></a>

Selama peluncuran, Anda dapat mengontrol apakah instance Anda di subnet default atau nondefault diberi alamat publik IPv4 . Secara default, subnet default memiliki atribut ini disetel ke`true`. Subnet nondefault memiliki atribut pengalamatan IPv4 publik yang disetel ke`false`, kecuali jika dibuat oleh wizard instance EC2 peluncuran Amazon. Dalam hal ini, atribut diatur ke`true`.

Setelah diluncurkan, Anda tidak dapat secara manual memisahkan IPv4 alamat publik dari instans Anda.

Untuk memulihkan temuan yang gagal, Anda harus meluncurkan cluster baru di VPC dengan subnet pribadi yang memiliki atribut pengalamatan publik yang IPv4 disetel ke. `false` Untuk petunjuknya, lihat [Meluncurkan cluster ke dalam VPC](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-vpc-launching-job-flows.html) di Panduan Manajemen *EMR Amazon*.

## [EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan
<a name="emr-2"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7),, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Manajemen akses aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [emr-block-public-access](https://docs.aws.amazon.com/config/latest/developerguide/emr-block-public-access.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah akun Anda dikonfigurasi dengan Amazon EMR memblokir akses publik. Kontrol gagal jika pengaturan blokir akses publik tidak diaktifkan atau jika port apa pun selain port 22 diizinkan.

Amazon EMR memblokir akses publik mencegah Anda meluncurkan cluster di subnet publik jika cluster memiliki konfigurasi keamanan yang memungkinkan lalu lintas masuk dari alamat IP publik pada port. Saat pengguna dari Anda Akun AWS meluncurkan kluster, Amazon EMR memeriksa aturan port di grup keamanan untuk klaster dan membandingkannya dengan aturan lalu lintas masuk Anda. Jika grup keamanan memiliki aturan masuk yang membuka port ke alamat IP publik IPv4 0.0.0.0/0 atau IPv6 : :/0, dan port tersebut tidak ditentukan sebagai pengecualian untuk akun Anda, Amazon EMR tidak mengizinkan pengguna membuat cluster.

**catatan**  
Blokir akses publik diaktifkan secara default. Untuk meningkatkan perlindungan akun, kami sarankan Anda tetap mengaktifkannya.

### Remediasi
<a name="emr-2-remediation"></a>

Untuk mengonfigurasi blokir akses publik untuk Amazon EMR, lihat Menggunakan [Amazon EMR memblokir akses publik di Panduan Manajemen](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-block-public-access.html) *EMR* Amazon.

## [EMR.3] Konfigurasi keamanan Amazon EMR harus dienkripsi saat istirahat
<a name="emr-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CP-9 (8), NIST.800-53.R5 SI-12

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EMR::SecurityConfiguration`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah konfigurasi keamanan EMR Amazon mengaktifkan enkripsi saat istirahat. Kontrol gagal jika konfigurasi keamanan tidak mengaktifkan enkripsi saat istirahat.

Data saat istirahat mengacu pada data yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Mengenkripsi data saat istirahat membantu Anda melindungi kerahasiaannya, yang mengurangi risiko bahwa pengguna yang tidak sah dapat mengaksesnya.

### Remediasi
<a name="emr-3-remediation"></a>

Untuk mengaktifkan enkripsi saat istirahat dalam konfigurasi keamanan Amazon EMR, lihat [Mengonfigurasi enkripsi data](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html) di Panduan Manajemen *EMR* Amazon.

## [EMR.4] Konfigurasi keamanan Amazon EMR harus dienkripsi saat transit
<a name="emr-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-8,, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EMR::SecurityConfiguration`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah konfigurasi keamanan EMR Amazon mengaktifkan enkripsi saat transit. Kontrol gagal jika konfigurasi keamanan tidak mengaktifkan enkripsi dalam perjalanan.

Data dalam transit mengacu pada data yang berpindah dari satu lokasi ke lokasi lain, seperti antar node di cluster Anda atau antara klaster Anda dan aplikasi Anda. Data dapat bergerak di internet atau dalam jaringan pribadi. Mengenkripsi data dalam perjalanan mengurangi risiko bahwa pengguna yang tidak sah dapat menguping lalu lintas jaringan.

### Remediasi
<a name="emr-4-remediation"></a>

Untuk mengaktifkan enkripsi saat transit dalam konfigurasi keamanan Amazon EMR, lihat [Mengonfigurasi enkripsi data](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html) di Panduan Manajemen *EMR* Amazon.