Controlli del Security Hub per Amazon EMR - AWS Security Hub
[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata[EMR.3] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlli del Security Hub per Amazon EMR

Questi AWS Security Hub controlli valutano il servizio e le risorse di Amazon EMR (precedentemente chiamato Amazon Elastic MapReduce). I controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.

[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici

Requisiti correlati: PCI DSS versione 3.2.1/1.2.1, PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.2, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.6, PCI DSS versione 4.0.1/1.4.4, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21),, (11), (16), (20) NIST.800-53.r5 AC-3, (21), (3) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (4) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoria: Protezione > Configurazione di rete protetta

Gravità: alta

Tipo di risorsa: AWS::EMR::Cluster

AWS Config regola: emr-master-no-public -ip

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se i nodi master sui cluster Amazon EMR hanno indirizzi IP pubblici. Il controllo fallisce se gli indirizzi IP pubblici sono associati a una qualsiasi delle istanze del nodo master.

Gli indirizzi IP pubblici sono indicati nel PublicIp campo della NetworkInterfaces configurazione dell'istanza. Questo controllo controlla solo i cluster Amazon EMR che si trovano in uno RUNNING stato or. WAITING

Correzione

Durante il lancio, puoi controllare se alla tua istanza in una sottorete predefinita o non predefinita viene assegnato un indirizzo pubblico. IPv4 Per impostazione predefinita, le sottoreti predefinite hanno questo attributo impostato su. true Le sottoreti non predefinite hanno l'attributo IPv4 public address impostato sufalse, a meno che non sia stato creato dalla procedura guidata di EC2 avvio dell'istanza di Amazon. In tal caso, l'attributo è impostato su. true

Dopo il lancio, non puoi dissociare manualmente un IPv4 indirizzo pubblico dalla tua istanza.

Per correggere un risultato non riuscito, è necessario avviare un nuovo cluster in un VPC con una sottorete privata con IPv4 l'attributo di indirizzamento pubblico impostato su. false Per istruzioni, consulta Launch clusters in un VPC nella Amazon EMR Management Guide.

[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata

Requisiti correlati: PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6, (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoria: Protezione > Gestione sicura degli accessi > Risorsa non accessibile al pubblico

Severità: critica

Tipo di risorsa: AWS::::Account

Regola AWS Config : emr-block-public-access

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se il tuo account è configurato con l'accesso pubblico a blocchi di Amazon EMR. Il controllo fallisce se l'impostazione di blocco dell'accesso pubblico non è abilitata o se è consentita una porta diversa dalla porta 22.

L'accesso pubblico a blocchi di Amazon EMR impedisce l'avvio di un cluster in una sottorete pubblica se il cluster ha una configurazione di sicurezza che consente il traffico in entrata da indirizzi IP pubblici su una porta. Quando un utente dal tuo Account AWS avvia un cluster, Amazon EMR controlla le regole delle porte nel gruppo di sicurezza per il cluster e le confronta con le regole del traffico in entrata. Se il gruppo di sicurezza ha una regola in entrata che apre le porte agli indirizzi IP pubblici IPv4 0.0.0.0/0 o IPv6 : :/0 e tali porte non sono specificate come eccezioni per il tuo account, Amazon EMR non consente all'utente di creare il cluster.

Nota

Il blocco dell'accesso pubblico è abilitato per impostazione predefinita. Per aumentare la protezione degli account, ti consigliamo di mantenerlo abilitato.

Correzione

Per configurare l'accesso pubblico a blocchi per Amazon EMR, consulta Using Amazon EMR block public access nella Amazon EMR Management Guide.

[EMR.3] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive

Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CP-9 (8), NIST.800-53.r5 SI-12

Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest

Gravità: media

Tipo di risorsa: AWS::EMR::SecurityConfiguration

Regola AWS Config : emr-security-configuration-encryption-rest

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se una configurazione di sicurezza di Amazon EMR ha la crittografia a riposo abilitata. Il controllo fallisce se la configurazione di sicurezza non abilita la crittografia a riposo.

I dati inattivi si riferiscono ai dati archiviati in uno spazio di archiviazione persistente e non volatile per qualsiasi durata. La crittografia dei dati inutilizzati consente di proteggerne la riservatezza, riducendo il rischio che un utente non autorizzato possa accedervi.

Correzione

Per abilitare la crittografia a riposo in una configurazione di sicurezza di Amazon EMR, consulta Configurare la crittografia dei dati nella Amazon EMR Management Guide.

[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito

Requisiti correlati: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2), NIST.800-53.r5 SC-1 3, 3, 3 ( NIST.800-53.r5 SC-23) NIST.800-53.r5 SC-2

Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit

Gravità: media

Tipo di risorsa: AWS::EMR::SecurityConfiguration

Regola AWS Config : emr-security-configuration-encryption-transit

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se una configurazione di sicurezza di Amazon EMR ha la crittografia in transito abilitata. Il controllo fallisce se la configurazione di sicurezza non abilita la crittografia in transito.

I dati in transito si riferiscono ai dati che si spostano da una posizione all'altra, ad esempio tra i nodi del cluster o tra il cluster e l'applicazione. I dati possono spostarsi su Internet o all'interno di una rete privata. La crittografia dei dati in transito riduce il rischio che un utente non autorizzato possa intercettare il traffico di rete.

Correzione

Per abilitare la crittografia in transito in una configurazione di sicurezza di Amazon EMR, consulta Configurare la crittografia dei dati nella Amazon EMR Management Guide.