翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon OpenSearch Service の Security Hub CSPM コントロール
これらのAWS Security Hub CSPMコントロールは、Amazon OpenSearch Service (OpenSearch Service) サービスとリソースを評価します。コントロールは一部の で使用できない場合がありますAWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。
[Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります
関連する要件: PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/7.2.1、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SI-7(6)
カテゴリ: 保護 > データ保護 > 保管中のデータの暗号化
重要度: 中
リソースタイプ : AWS::OpenSearch::Domain
AWS Config ルール : opensearch-encrypted-at-rest
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、OpenSearch ドメインで保管中の暗号化設定が有効になっているかどうかをチェックします。保管中の暗号化が有効になっていない場合、チェックは失敗します。
機密データのセキュリティを強化するには、保管中に暗号化するように OpenSearch Service ドメインを設定する必要があります。保管中のデータの暗号化を設定すると、 は暗号化キーAWS KMSを保存および管理します。暗号化を実行するために、 は 256 ビットキー (AES-256) で Advanced Encryption Standard アルゴリズムAWS KMSを使用します。
保管中の OpenSearch での暗号化の詳細については、「Amazon OpenSearch Service デベロッパーガイド」の「Encryption of data at rest for Amazon OpenSearch Service」を参照してください。
修正
新規および既存の OpenSearch ドメインの保管時の暗号化を有効にするには、「Amazon OpenSearch Service デベロッパーガイド」の「Enabling encryption of data at rest」を参照してください。
[Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります
関連する要件: PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)
カテゴリ: 保護 > セキュアなネットワーク設定 > VPC 内のリソース
重要度: 非常事態
リソースタイプ : AWS::OpenSearch::Domain
AWS Config ルール : opensearch-in-vpc-only
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、OpenSearch ドメインが VPC 内にあるかどうかをチェックします。このコントロールは、パブリックアクセスの可能性を判断するための VPC サブネットルーティング設定を評価しません。
OpenSearch ドメインがパブリックサブネットに添付済みではないことを確認する必要があります。「Amazon OpenSearch Service 開発者ガイド」の「リソースベースのポリシー」を参照してください。また、推奨されるベストプラクティスに従って VPC が確実に設定されていることを確認する必要があります。「Amazon VPC ユーザーガイド」の「VPC のセキュリティのベストプラクティス」を参照してください。
VPC 内にデプロイされた OpenSearch ドメインは、パブリックインターネットを経由することなく、プライベートAWSネットワーク経由で VPC リソースと通信できます。この設定では、転送中のデータへのアクセスを制限することにより、セキュリティ体制が向上します。VPC は、ネットワーク ACL やセキュリティグループを含む、OpenSearch ドメインへのアクセスを安全にするため、多数のネットワークコントロールを提供します。Security Hub では、これらのコントロールを有効に利用するために、パブリック OpenSearch ドメインを VPC に移行することを推奨します。
修正
パブリックエンドポイントを使用してドメインを作成する場合、後で VPC 内にドメインを配置することはできません。代わりに、新規のドメインを作成して、データを移行する必要があります。逆の場合も同様です。VPC 内にドメインを作成する場合、パブリックエンドポイントを持つことはできません。代わりに、別のドメインを作成するか、このコントロールを無効にする必要があります。
手順については、「Amazon OpenSearch Service デベロッパーガイド」の「Launching your Amazon OpenSearch Service domains within a VPC」を参照してください。
[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります
関連する要件: NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)
カテゴリ: 保護 > データ保護 > 転送中のデータの暗号化
重要度: 中
リソースタイプ : AWS::OpenSearch::Domain
AWS Config ルール : opensearch-node-to-node-encryption-check
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、OpenSearch ドメインでノード間の暗号化が有効になっているかどうかをチェックします。ドメインでノード間の暗号化が無効になっている場合、このコントロールは失敗します。
HTTPS (TLS) を使用すると、潜在的な攻撃者が中間者攻撃または同様の攻撃を使用してネットワークトラフィックを盗聴または操作することを防止できます。HTTPS (TLS) 経由の暗号化された接続のみを許可する必要があります。OpenSearch ドメインでノード間の暗号化を有効にすると、クラスター内通信は転送中に確実に暗号化されます。
この設定には、パフォーマンス上のペナルティが発生する可能性があります。このオプションを有効にする前に、パフォーマンスのトレードオフを認識してテストする必要があります。
修正
OpenSearch ドメインでノード間の暗号化を有効にするには、「Amazon OpenSearch Service デベロッパーガイド」の「ノード間の暗号化を有効にする」を参照してください。
[Opensearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります
関連する要件: NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)
カテゴリ: 識別 > ログ記録
重要度: 中
リソースタイプ : AWS::OpenSearch::Domain
AWS Config ルール : opensearch-logs-to-cloudwatch
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
logtype = 'error'(カスタマイズ不可)
このコントロールは、OpenSearch ドメインが CloudWatch Logs にエラーログを送信するように設定されているかどうかをチェックします。CloudWatch へのエラーログ記録がドメインに対して有効になっていない場合、このコントロールは失敗します。
OpenSearch ドメインのエラーログを有効にし、それらのログを CloudWatch Logs に送信して保持と応答を行う必要があります。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
修正
ログ発行を有効にするには、「Amazon OpenSearch Service デベロッパーガイド」の「Enabling log publishing (console)」を参照してください。
[Opensearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります
関連する要件: NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)、PCI DSS v4.0.1/10.2.1
カテゴリ: 識別 > ログ記録
重要度: 中
リソースタイプ : AWS::OpenSearch::Domain
AWS Config ルール : opensearch-audit-logging-enabled
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
cloudWatchLogsLogGroupArnList(カスタマイズ不可) – Security Hub CSPM はこのパラメータに入力しません。監査ログ用に設定する必要がある CloudWatch Logs ロググループのカンマ区切りリスト。
このコントロールは、OpenSearch ドメインで監査ログ記録が有効になっているかどうかをチェックします。OpenSearch ドメインで監査ログ記録が有効になっていない場合、このコントロールは失敗します。
監査ログは高度なカスタマイズが可能です。これらを使用することで、認証の成功と失敗、OpenSearch へのリクエスト、インデックスの変更、受信検索クエリなど、OpenSearch クラスターでのユーザーアクティビティを追跡できます。
修正
監査ログを有効にする手順については、「Amazon OpenSearch Service デベロッパーガイド」の「Enabling audit logs」を参照してください。
[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です
関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)
カテゴリ: リカバリ > 耐障害性 > 高可用性
重要度: 中
リソースタイプ : AWS::OpenSearch::Domain
AWS Config ルール : opensearch-data-node-fault-tolerance
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは OpenSearch ドメインが少なくとも 3 つのデータノードが設定されているか、また zoneAwarenessEnabled が true かどうかをチェックします。OpenSearch ドメインでは、instanceCount が 3 より小さいか zoneAwarenessEnabled が false の場合、このコントロールは失敗します。
クラスターレベルの高可用性と耐障害性を実現するには、OpenSearch ドメインに少なくとも 3 つのデータノードが必要です。少なくとも 3 つのデータノードを持つ OpenSearch ドメインをデプロイすると、ノードに障害が発生した場合のクラスター操作が確実になります。
修正
OpenSearch ドメインのデータノード数を変更するには
AWSコンソールにサインインし、https://console.aws.amazon.com/aos/
で Amazon OpenSearch Service コンソールを開きます。 [My domains] (ドメイン) で、編集するドメインの名前を選択し、[Edit] (編集) を選択します。
[Data nodes] (データノード) で、[Number of nodes] (ノード数) を
3以上の数値に設定します。3 つのアベイラビリティーゾーンに展開する場合は、アベイラビリティーゾーン間で均等に分配されるように 3 の倍数に設定します。[Submit] を選択してください。
[Opensearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります
関連する要件: NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-5、NIST.800-53.r5 AC-6
カテゴリ: 保護 > セキュアなアクセス管理 > 機密性の高い API オペレーションアクションを制限する
重要度: 高
リソースタイプ : AWS::OpenSearch::Domain
AWS Config ルール : opensearch-access-control-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
OpenSearch ドメインが、きめ細かなアクセスコントロールを有効にしているかどうかをチェックします。きめ細かなアクセスコントロールが有効でない場合、このコントロールは失敗します。OpenSearch パラメータ update-domain-config を有効にするには、きめ細かなアクセスコントロールに advanced-security-options が必要となります。
きめ細かなアクセスコントロールは、Amazon OpenSearch Service のデータへのアクセスをコントロールする追加の方法を提供します。
修正
きめ細かなアクセスコントロールを有効にする方法については、「Amazon OpenSearch Service デベロッパーガイド」の「Fine-grained access control in Amazon OpenSearch Service」を参照してください。
[Opensearch.8] OpenSearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります
関連する要件: NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)
カテゴリ: 保護 > データ保護 > 転送中のデータの暗号化
重要度: 中
リソースタイプ : AWS::OpenSearch::Domain
AWS Config ルール : opensearch-https-required
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
tlsPolicies: Policy-Min-TLS-1-2-PFS-2023-10(カスタマイズ不可)
このコントロールは、Amazon OpenSearch Service ドメインエンドポイントが最新の TLS セキュリティポリシーを使用するように設定されているかどうかを確認します。OpenSearch ドメインエンドポイントが最新のサポートされているポリシーを使用するように設定されていない場合、または HTTPS が有効になっていない場合、コントロ―ルは失敗します。
HTTPS (TLS) を使用すると、潜在的な攻撃者が中間者攻撃または同様の攻撃を使用してネットワークトラフィックを盗聴または操作することを防止できます。HTTPS (TLS) 経由の暗号化された接続のみを許可する必要があります。転送中のデータの暗号化は、パフォーマンスに影響する可能性があります。TLS のパフォーマンスプロファイルと TLS の影響を把握するには、この機能を使用してアプリケーションをテストする必要があります。TLS 1.2 は、以前の TLS バージョンに比べて、いくつかのセキュリティ機能の強化を提供します。
修正
TLS 暗号化を有効にするには、UpdateDomainConfig API オペレーションを使用してください。「DomainEndpointOptions」フィールドを設定して、TLSSecurityPolicy の値を指定します。詳細については、「Amazon OpenSearch Service デベロッパーガイド」の「Node-to-node encryption」を参照してください。
[Opensearch.9] OpenSearch ドメインはにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::OpenSearch::Domain
AWS Configrule: tagged-opensearch-domain (カスタム Security Hub CSPM ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 |
|---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | AWS 要件を満たす 1~6 個のタグキー。 |
No default value
|
このコントロールは、Amazon OpenSearch Service ドメインにパラメータ requiredTagKeys で定義された特定のキーを持つタグがあるかどうかをチェックします。ドメインにタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ドメインにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。
タグは、 AWSリソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWSリソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、IAM ユーザーガイドの「ABAC とはAWS」を参照してください。
注記
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグにはAWS のサービス、 を含む多くのユーザーがアクセスできますAWS Billing。タグ付けのベストプラクティスの詳細については、『』の「 AWSリソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
OpenSearch Service ドメインにタグを追加するには、「Amazon OpenSearch Service デベロッパーガイド」の「タグの使用」を参照してください。
[Opensearch.10] OpenSearch ドメインには、最新のソフトウェアアップデートがインストールされている必要があります
関連する要件: NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCI DSS v4.0.1/6.3.3
カテゴリ: 特定 > 脆弱性、パッチ、バージョン管理
重要度: 中
リソースタイプ : AWS::OpenSearch::Domain
AWS Config ルール : opensearch-update-check
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon OpenSearch Service ドメインに最新のソフトウェアアップデートがインストールされているかどうかをチェックします。ソフトウェアアップデートが利用可能で、ドメインにインストールされていない場合、コントロールは失敗します。
OpenSearch Service のソフトウェアアップデートは、環境で使用可能な最新のプラットフォーム修正、更新、および機能を提供します。パッチのインストールを最新の状態に保つことは、ドメインのセキュリティと可用性を維持するのに役立ちます。必要なアップデートに関するアクションを実行しない場合、サービスソフトウェアは (通常 2 週間後に) 自動的に更新されます。サービスの中断を最小限に抑えるため、ドメインへのトラフィックが少ない時間帯にアップデートをスケジュールすることをお勧めします。
修正
OpenSearch ドメインのソフトウェアアップデートをインストールするには、「Amazon OpenSearch Service デベロッパーガイド」の「Starting an update」を参照してください。
[Opensearch.11] OpenSearch ドメインには少なくとも 3 つの専用プライマリノードが必要です
関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-2、NIST.800-53.r5 SC-5、NIST.800-53.r5 SC-36、NIST.800-53.r5 SI-13
カテゴリ: リカバリ > 耐障害性 > 高可用性
重要度: 低
リソースタイプ : AWS::OpenSearch::Domain
AWS Config ルール : opensearch-primary-node-fault-tolerance
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは Amazon OpenSearch Service ドメインが少なくとも 3 つの専用プライマリノードで設定されているかどうかをチェックします。ドメインの専用プライマリノードが 3 つ未満の場合、コントロールは失敗します。
OpenSearch Service では、クラスターの安定性を向上するために専用プライマリノードを使用します。専用プライマリノードはクラスター管理タスクを実行しますが、データは保持せず、データのアップロードリクエストにも応答しません。スタンバイ付きマルチ AZ を使用することを推奨します。これにより、本番稼働用の各 OpenSearch Service ドメインに 3 つの専用プライマリノードが追加されます。
修正
OpenSearch ドメインのプライマリノードの数を変更するには、「Amazon OpenSearch Service デベロッパーガイド」の「Amazon OpenSearch Service ドメインの作成と管理」を参照してください。
