SEC 1: Quais etapas você está tomando para controlar o acesso autorizado aos ElastiCache dados?SEC 2: Seus aplicativos exigem autorização adicional para além ElastiCache dos controles baseados em rede?SEG 3: Existe o risco de que os comandos possam ser executados acidentalmente, causando perda ou falha de dados?SEC 4: Como você garante a criptografia de dados em repouso com ElastiCache SEC 5: Como você criptografa dados em trânsito? ElastiCache SEG 6: Como restringir o acesso aos recursos do ambiente de gerenciamento?SEG 7: Como detectar e responder a eventos de segurança?

Pilar de segurança Amazon ElastiCache Well-Architected Lens

O foco do pilar Segurança está na proteção de informações e sistemas. Os principais tópicos incluem confidencialidade e integridade dos dados, identificação e gerenciamento de quem pode fazer o quê com o gerenciamento baseado em privilégios, proteção de sistemas e estabelecimento de controles para detectar eventos de segurança.

Tópicos

SEC 1: Quais etapas você está tomando para controlar o acesso autorizado aos ElastiCache dados?
SEC 2: Seus aplicativos exigem autorização adicional para além ElastiCache dos controles baseados em rede?
SEG 3: Existe o risco de que os comandos possam ser executados acidentalmente, causando perda ou falha de dados?
SEC 4: Como você garante a criptografia de dados em repouso com ElastiCache
SEC 5: Como você criptografa dados em trânsito? ElastiCache
SEG 6: Como restringir o acesso aos recursos do ambiente de gerenciamento?
SEG 7: Como detectar e responder a eventos de segurança?

SEC 1: Quais etapas você está tomando para controlar o acesso autorizado aos ElastiCache dados?

Question-level introdução: Todos os ElastiCache clusters são projetados para serem acessados a partir de instâncias do Amazon Elastic Compute Cloud em uma VPC, funções sem servidor AWS Lambda() ou contêineres (Amazon Elastic Container Service). O cenário mais encontrado é acessar um ElastiCache cluster de uma instância do Amazon Elastic Compute Cloud dentro da mesma Amazon Virtual Private Cloud (Amazon Virtual Private Cloud). Antes de poder se conectar a um cluster usando uma instância do Amazon EC2, você deve autorizar a instância do Amazon EC2 a acessar o cluster. Para acessar um ElastiCache cluster em execução em uma VPC, é necessário conceder a entrada de rede ao cluster.

Question-level benefício: a entrada da rede no cluster é controlada por meio de grupos de segurança da VPC. Um grupo de segurança atua como firewall virtual para as instâncias do Amazon EC2 a fim de controlar o tráfego de entrada e saída. As regras de entrada controlam o tráfego de entrada para a instância e as regras de saída controlam o tráfego de saída da instância. No caso de ElastiCache, ao iniciar um cluster, é necessário associar um grupo de segurança. Isso garante que as regras de tráfego de entrada e saída estejam em vigor para todos os nós que compõem o cluster. Além disso, ElastiCache está configurado para ser implantado exclusivamente em sub-redes privadas, de forma que elas só possam ser acessadas por meio da rede privada da VPC.

[Obrigatório] O grupo de segurança associado ao seu cluster controla a entrada na rede e o acesso ao cluster. Por padrão, um grupo de segurança não terá nenhuma regra de entrada definida e, portanto, nenhum caminho de entrada para. ElastiCache Para habilitar isso, configure uma regra de entrada no grupo de segurança especificando o IP de origem address/range, o tráfego do tipo TCP e a porta do seu ElastiCache cluster (porta padrão 6379 para Valkey e Redis OSS, ElastiCache por exemplo). Embora seja possível permitir um conjunto muito amplo de fontes de entrada, como todos os recursos em uma VPC (0.0.0). 0/0), é recomendável ser o mais granular possível na definição das regras de entrada, como autorizar somente o acesso de entrada aos clientes Valkey ou Redis OSS executados em instâncias do Amazon Amazon EC2 associadas a um grupo de segurança específico.

[Recursos]:
AWS Identity and Access Management As políticas [obrigatórias] podem ser atribuídas a AWS Lambda funções que permitem que elas acessem ElastiCache dados. Para ativar esse recurso, crie uma função de execução do IAM com a AWSLambdaVPCAccessExecutionRole permissão e atribua a função à AWS Lambda função.

[Recursos]: Configurando uma função Lambda para acessar a Amazon em uma ElastiCache Amazon VPC: Tutorial: Configurando uma função Lambda para acessar a Amazon em uma Amazon VPC ElastiCache

SEC 2: Seus aplicativos exigem autorização adicional para além ElastiCache dos controles baseados em rede?

Question-level introdução: Em cenários em que é necessário restringir ou controlar o acesso aos clusters em um nível de cliente individual, é recomendável autenticar por meio do comando AUTH. ElastiCache os tokens de autenticação, com gerenciamento opcional de usuários e grupos de usuários, ElastiCache permitem exigir uma senha antes de permitir que os clientes executem comandos e chaves de acesso, melhorando assim a segurança do plano de dados.

Question-level benefício: para ajudar a manter seus dados seguros, ElastiCache fornece mecanismos de proteção contra o acesso não autorizado aos seus dados. Isso inclui impor a autenticação do Controle de Role-Based Acesso (RBAC) ou o token AUTH (senha) aos quais os clientes devem se conectar antes de executar os comandos autorizados. ElastiCache

[Melhor] Para a ElastiCache versão 6.x e superior para Redis OSS e ElastiCache versão 7.2 e superior para Valkey, defina controles de autenticação e autorização definindo grupos de usuários, usuários e cadeias de acesso. Atribua usuários a grupos de usuários, depois atribua grupos de usuários a clusters. Para utilizar o RBAC, ele deve ser selecionado na criação do cluster e a criptografia em trânsito deve estar habilitada. Use um cliente Valkey ou Redis OSS compatível com TLS para poder aproveitar o RBAC.

[Recursos]:
[Melhor] Para ElastiCache versões anteriores à 6.x do Redis OSS, além de definir uma política de senha forte token/password e manter uma política de senha rígida para AUTH, é uma prática recomendada alternar o. password/token ElastiCache pode gerenciar até dois (2) tokens de autenticação a qualquer momento. Você também pode modificar o cluster para exigir explicitamente o uso de tokens de autenticação.

[Recursos]: modificando o token AUTH em um cluster existente ElastiCache

SEG 3: Existe o risco de que os comandos possam ser executados acidentalmente, causando perda ou falha de dados?

Question-level introdução: Há vários comandos OSS do Valkey ou do Redis que podem ter impactos adversos nas operações se executados por engano ou por agentes mal-intencionados. Esses comandos podem ter consequências não intencionais do ponto de vista da performance e da segurança dos dados. Por exemplo, um desenvolvedor pode chamar rotineiramente o comando FLUSHALL em um ambiente de desenvolvimento e, devido a um erro, pode tentar inadvertidamente chamar esse comando em um sistema de produção, resultando em perda acidental de dados.

Question-level benefício: a partir da ElastiCache versão 5.0.3 para Redis OSS, você pode renomear determinados comandos que podem prejudicar sua carga de trabalho. Renomear os comandos pode ajudar a evitar que sejam executados acidentalmente no cluster.

[Obrigatório]

[Recursos]:

SEC 4: Como você garante a criptografia de dados em repouso com ElastiCache

Question-level introdução: Embora ElastiCache seja um armazenamento de dados na memória, é possível criptografar qualquer dado que possa ser persistido (no armazenamento) como parte das operações padrão do cluster. Isso inclui backups programados e manuais gravados no Amazon S3, bem como dados salvos no armazenamento em disco como resultado de operações de sincronização e troca. Os tipos de instância nas famílias M6g e R6g também oferecem criptografia sempre ativa em memória.

Question-level benefício: ElastiCache fornece criptografia opcional em repouso para aumentar a segurança dos dados.

A At-rest criptografia [Obrigatória] só pode ser ativada em um ElastiCache cluster (grupo de replicação) quando é criada. Um cluster existente não pode ser modificado para começar a criptografar dados em repouso. Por padrão, ElastiCache fornecerá e gerenciará as chaves usadas na criptografia em repouso.

[Recursos]:
- At-Rest Restrições de criptografia
- Ativando a At-Rest criptografia
[Ideal] Utilize os tipos de instância do Amazon EC2 que criptografam dados enquanto eles estão na memória (como M6g ou R6g). Sempre que possível, considere gerenciar suas próprias chaves para criptografia em repouso. Para ambientes de segurança de dados mais rigorosos, o AWS Key Management Service (KMS) pode ser usado para autogerenciar chaves mestras de cliente (CMK). Por meio da ElastiCache integração com AWS Key Management Service, você pode criar, possuir e gerenciar as chaves usadas para criptografia de dados em repouso para seu ElastiCache cluster.

[Recursos]:

SEC 5: Como você criptografa dados em trânsito? ElastiCache

Question-level introdução: É um requisito comum evitar o comprometimento de dados durante o trânsito. Isso representa dados dentro de componentes de um sistema distribuído, bem como entre clientes de aplicativos e nós de cluster. ElastiCache suporta esse requisito ao permitir a criptografia de dados em trânsito entre clientes e cluster e entre os próprios nós do cluster. Os tipos de instância nas famílias M6g e R6g também oferecem criptografia sempre ativa em memória.

Question-level benefício: a criptografia ElastiCache em trânsito da Amazon é um recurso opcional que permite aumentar a segurança de seus dados nos pontos mais vulneráveis, quando eles estão em trânsito de um local para outro.

[Obrigatório] a In-transit criptografia só pode ser habilitada em um cluster (grupo de replicação) após a criação. Observe que, devido ao processamento adicional exigido para encrypting/decrypting os dados, a implementação da criptografia em trânsito terá algum impacto no desempenho. Para entender o impacto, é recomendável comparar a workload antes e depois de ativar a criptografia em trânsito.

[Recursos]:
- In-transit visão geral da criptografia

SEG 6: Como restringir o acesso aos recursos do ambiente de gerenciamento?

Question-level introdução: as políticas do IAM e o ARN permitem controles de acesso refinados ElastiCache para Valkey e Redis OSS, permitindo um controle mais rígido para gerenciar a criação, modificação e exclusão de clusters.

Question-level benefício: o gerenciamento de ElastiCache recursos da Amazon, como grupos de replicação, nós etc. pode ser restrito a AWS contas que tenham permissões específicas com base nas políticas do IAM, melhorando a segurança e a confiabilidade dos recursos.

[Obrigatório] Gerencie o acesso aos ElastiCache recursos da Amazon atribuindo AWS Identity and Access Management políticas específicas aos AWS usuários, permitindo um controle mais preciso sobre quais contas podem realizar quais ações nos clusters.

[Recursos]:
- Visão geral do gerenciamento de permissões de acesso aos seus ElastiCache recursos
- Usando políticas baseadas em identidade (políticas do IAM) para a Amazon ElastiCache

SEG 7: Como detectar e responder a eventos de segurança?

Question-level introdução:ElastiCache, quando implantado com o RBAC ativado, exporta CloudWatch métricas para notificar os usuários sobre eventos de segurança. Essas métricas ajudam a identificar tentativas fracassadas de autenticação, acesso a chaves ou execução de comandos para os quais os usuários do RBAC não têm autorização.

Além disso, AWS os recursos de produtos e serviços ajudam a proteger sua carga de trabalho geral automatizando as implantações e registrando todas as ações e modificações para uso posterior. review/audit

Question-level benefício: ao monitorar eventos, você permite que sua organização responda de acordo com seus requisitos, políticas e procedimentos. Automatizar o monitoramento e as respostas a esses eventos de segurança fortalece sua postura geral de segurança.

[Obrigatório] Familiarize-se com as CloudWatch métricas publicadas relacionadas às falhas de autenticação e autorização do RBAC.
- AuthenticationFailures = Tentativas falhadas de autenticação no Valkey ou no Redis OSS
- KeyAuthorizationFailures = Tentativas fracassadas dos usuários de acessar as chaves sem permissão
- CommandAuthorizationFailures = Tentativas falhadas dos usuários de executar comandos sem permissão
[Recursos]:
- Métricas para o Valkey ou Redis OSS
[Ideal] É recomendável configurar alertas e notificações sobre essas métricas e responder conforme necessário.

[Recursos]:
- Usando CloudWatch alarmes da Amazon
[Ideal] Use o comando ACL LOG do Valkey ou Redis OSS para obter mais detalhes

[Recursos]:
- ACL LOG
[Melhor] Familiarize-se com os recursos de AWS produtos e serviços relacionados ao monitoramento, registro e análise de ElastiCache implantações e eventos

[Recursos]:

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Pilar Excelência operacional

Pilar Confiabilidade