SEC 1: Quais etapas você está tomando para controlar o acesso autorizado aos ElastiCache dados?SEC 2: Seus aplicativos exigem autorização adicional para além ElastiCache dos controles baseados em rede? SEG 3: Existe o risco de que os comandos possam ser executados acidentalmente, causando perda ou falha de dados? SEC 4: Como você garante a criptografia de dados em repouso com ElastiCache SEC 5: Como você criptografa dados em trânsito? ElastiCache SEG 6: Como restringir o acesso aos recursos do ambiente de gerenciamento? SEG 7: Como detectar e responder a eventos de segurança?

Pilar de segurança do Amazon ElastiCache Well-Architected Lens

O foco do pilar Segurança está na proteção de informações e sistemas. Os principais tópicos incluem confidencialidade e integridade dos dados, identificação e gerenciamento de quem pode fazer o quê com o gerenciamento baseado em privilégios, proteção de sistemas e estabelecimento de controles para detectar eventos de segurança.

Tópicos

SEC 1: Quais etapas você está tomando para controlar o acesso autorizado aos ElastiCache dados?
SEC 2: Seus aplicativos exigem autorização adicional para além ElastiCache dos controles baseados em rede?
SEG 3: Existe o risco de que os comandos possam ser executados acidentalmente, causando perda ou falha de dados?
SEC 4: Como você garante a criptografia de dados em repouso com ElastiCache
SEC 5: Como você criptografa dados em trânsito? ElastiCache
SEG 6: Como restringir o acesso aos recursos do ambiente de gerenciamento?
SEG 7: Como detectar e responder a eventos de segurança?

SEC 1: Quais etapas você está tomando para controlar o acesso autorizado aos ElastiCache dados?

Introdução em nível de pergunta: Todos os ElastiCache clusters são projetados para serem acessados a partir de instâncias do Amazon Elastic Compute Cloud em uma VPC, funções sem servidor () ou contêineres (Amazon Elastic Container Service)AWS Lambda. O cenário mais encontrado é acessar um ElastiCache cluster de uma instância do Amazon Elastic Compute Cloud dentro da mesma Amazon Virtual Private Cloud (Amazon Virtual Private Cloud). Antes de se conectar a um cluster a partir de uma EC2 instância da Amazon, você deve autorizar a EC2 instância da Amazon a acessar o cluster. Para acessar um ElastiCache cluster em execução em uma VPC, é necessário conceder a entrada de rede ao cluster.

Benefício: a entrada de rede no cluster é controlada por meio de grupos de segurança da VPC. Um grupo de segurança atua como um firewall virtual para suas EC2 instâncias da Amazon para controlar o tráfego de entrada e saída. As regras de entrada controlam o tráfego de entrada para a instância e as regras de saída controlam o tráfego de saída da instância. No caso de ElastiCache, ao iniciar um cluster, é necessário associar um grupo de segurança. Isso garante que as regras de tráfego de entrada e saída estejam em vigor para todos os nós que compõem o cluster. Além disso, ElastiCache está configurado para ser implantado exclusivamente em sub-redes privadas, de forma que elas só possam ser acessadas por meio da rede privada da VPC.

[Obrigatório] O grupo de segurança associado ao seu cluster controla a entrada na rede e o acesso ao cluster. Por padrão, um grupo de segurança não terá nenhuma regra de entrada definida e, portanto, nenhum caminho de entrada para. ElastiCache Para habilitar isso, configure uma regra de entrada no grupo de segurança especificando o endereço/intervalo IP de origem, o tráfego do tipo TCP e a porta do seu ElastiCache cluster (porta padrão 6379 para Valkey e Redis OSS, ElastiCache por exemplo). Embora seja possível permitir um conjunto muito amplo de fontes de entrada, como todos os recursos em uma VPC (0.0.0.0/0), é recomendável ser o mais granular possível na definição das regras de entrada, como autorizar somente o acesso de entrada aos clientes Valkey ou Redis OSS executados em instâncias da Amazon Amazon associadas a um grupo de segurança específico. EC2

[Recursos]:
AWS Identity and Access Management As políticas [obrigatórias] podem ser atribuídas a AWS Lambda funções que lhes permitem acessar ElastiCache os dados. Para ativar esse recurso, crie uma função de execução do IAM com a AWSLambdaVPCAccessExecutionRole permissão e atribua a função à AWS Lambda função.

[Recursos]: Configurando uma função Lambda para acessar a Amazon em uma ElastiCache Amazon VPC: Tutorial: Configurando uma função Lambda para acessar a Amazon em uma Amazon VPC ElastiCache

SEC 2: Seus aplicativos exigem autorização adicional para além ElastiCache dos controles baseados em rede?

Introdução em nível de pergunta: em cenários em que é necessário restringir ou controlar o acesso aos clusters em um nível de cliente individual, é recomendável autenticar por meio do comando AUTH. ElastiCache os tokens de autenticação, com gerenciamento opcional de usuários e grupos de usuários, ElastiCache permitem exigir uma senha antes de permitir que os clientes executem comandos e chaves de acesso, melhorando assim a segurança do plano de dados.

Benefício em nível de pergunta: para ajudar a manter seus dados seguros, ElastiCache fornece mecanismos de proteção contra acesso não autorizado a seus dados. Isso inclui aplicar a autenticação de controle de acesso baseado em função (RBAC) ou o token de AUTH (senha) a serem usados pelos clientes para se conectarem antes de executar comandos autorizados. ElastiCache

[Melhor] Para a ElastiCache versão 6.x e superior para Redis OSS e ElastiCache versão 7.2 e superior para Valkey, defina controles de autenticação e autorização definindo grupos de usuários, usuários e cadeias de acesso. Atribua usuários a grupos de usuários, depois atribua grupos de usuários a clusters. Para utilizar o RBAC, ele deve ser selecionado na criação do cluster e a criptografia em trânsito deve estar habilitada. Use um cliente Valkey ou Redis OSS compatível com TLS para poder aproveitar o RBAC.

[Recursos]:
[Melhor] Para ElastiCache versões anteriores à 6.x para Redis OSS, além de definir como forte. token/password and maintaining a strict password policy for AUTH, it is best practice to rotate the password/token ElastiCache pode gerenciar até dois (2) tokens de autenticação a qualquer momento. Você também pode modificar o cluster para exigir explicitamente o uso de tokens de autenticação.

[Recursos]: modificando o token AUTH em um cluster existente ElastiCache

SEG 3: Existe o risco de que os comandos possam ser executados acidentalmente, causando perda ou falha de dados?

Introdução: há vários comandos do Valkey ou Redis OSS que podem ter impactos adversos nas operações se executados por engano ou por agentes mal-intencionados. Esses comandos podem ter consequências não intencionais do ponto de vista da performance e da segurança dos dados. Por exemplo, um desenvolvedor pode chamar rotineiramente o comando FLUSHALL em um ambiente de desenvolvimento e, devido a um erro, pode tentar inadvertidamente chamar esse comando em um sistema de produção, resultando em perda acidental de dados.

Benefício em nível de pergunta: a partir da ElastiCache versão 5.0.3 para Redis OSS, você pode renomear determinados comandos que podem prejudicar sua carga de trabalho. Renomear os comandos pode ajudar a evitar que sejam executados acidentalmente no cluster.

[Obrigatório]

[Recursos]:

SEC 4: Como você garante a criptografia de dados em repouso com ElastiCache

Introdução em nível de pergunta: Embora ElastiCache seja um armazenamento de dados na memória, é possível criptografar qualquer dado que possa ser persistido (no armazenamento) como parte das operações padrão do cluster. Isso inclui backups programados e manuais gravados no Amazon S3, bem como dados salvos no armazenamento em disco como resultado de operações de sincronização e troca. Os tipos de instância nas famílias M6g e R6g também oferecem criptografia sempre ativa em memória.

Benefício em nível de pergunta: ElastiCache fornece criptografia opcional em repouso para aumentar a segurança dos dados.

[Obrigatório] A criptografia em repouso só pode ser ativada em um ElastiCache cluster (grupo de replicação) quando é criada. Um cluster existente não pode ser modificado para começar a criptografar dados em repouso. Por padrão, ElastiCache fornecerá e gerenciará as chaves usadas na criptografia em repouso.

[Recursos]:
- Restrições da criptografia em repouso
- Ativar criptografia em repouso
[Melhor] Aproveite os tipos de EC2 instância da Amazon que criptografam dados enquanto eles estão na memória (como M6g ou R6g). Sempre que possível, considere gerenciar suas próprias chaves para criptografia em repouso. Para ambientes de segurança de dados mais rigorosos, o AWS Key Management Service (KMS) pode ser usado para autogerenciar chaves mestras de cliente (CMK). Por meio da ElastiCache integração com AWS Key Management Service, você pode criar, possuir e gerenciar as chaves usadas para criptografia de dados em repouso para seu ElastiCache cluster.

[Recursos]:

SEC 5: Como você criptografa dados em trânsito? ElastiCache

Introdução: é um requisito comum evitar que os dados sejam comprometidos em trânsito. Isso representa dados dentro de componentes de um sistema distribuído, bem como entre clientes de aplicativos e nós de cluster. ElastiCache suporta esse requisito ao permitir a criptografia de dados em trânsito entre clientes e cluster e entre os próprios nós do cluster. Os tipos de instância nas famílias M6g e R6g também oferecem criptografia sempre ativa em memória.

Benefício em nível de pergunta: a criptografia ElastiCache em trânsito da Amazon é um recurso opcional que permite aumentar a segurança de seus dados nos pontos mais vulneráveis, quando eles estão em trânsito de um local para outro.

[Obrigatório] A criptografia em trânsito só pode ser habilitada em um cluster (grupo de replicação) após a criação. Observe que, devido ao processamento adicional necessário para criptografar/descriptografar dados, a implementação da criptografia em trânsito vai afetar a performance. Para entender o impacto, é recomendável comparar sua carga de trabalho antes e depois da ativação. encryption-in-transit

[Recursos]:
- Visão geral da criptografia em trânsito

SEG 6: Como restringir o acesso aos recursos do ambiente de gerenciamento?

Introdução em nível de pergunta: as políticas do IAM e o ARN permitem controles de acesso refinados ElastiCache para Valkey e Redis OSS, permitindo um controle mais rígido para gerenciar a criação, modificação e exclusão de clusters.

Benefício em nível de pergunta: o gerenciamento de ElastiCache recursos da Amazon, como grupos de replicação, nós etc. pode ser restrito a AWS contas que tenham permissões específicas com base nas políticas do IAM, melhorando a segurança e a confiabilidade dos recursos.

[Obrigatório] Gerencie o acesso aos ElastiCache recursos da Amazon atribuindo AWS Identity and Access Management políticas específicas aos AWS usuários, permitindo um controle mais preciso sobre quais contas podem realizar quais ações nos clusters.

[Recursos]:
- Visão geral do gerenciamento de permissões de acesso aos seus ElastiCache recursos
- Usando políticas baseadas em identidade (políticas do IAM) para a Amazon ElastiCache

SEG 7: Como detectar e responder a eventos de segurança?

Introdução em nível de pergunta:ElastiCache, quando implantado com o RBAC ativado, exporta CloudWatch métricas para notificar os usuários sobre eventos de segurança. Essas métricas ajudam a identificar tentativas fracassadas de autenticação, acesso a chaves ou execução de comandos para os quais os usuários do RBAC não têm autorização.

Além disso, AWS os recursos de produtos e serviços ajudam a proteger sua carga de trabalho geral automatizando implantações e registrando todas as ações e modificações para posterior revisão/auditoria.

Benefício: ao monitorar eventos, sua organização consegue responder de acordo com seus requisitos, políticas e procedimentos. Automatizar o monitoramento e as respostas a esses eventos de segurança fortalece sua postura geral de segurança.

[Obrigatório] Familiarize-se com as CloudWatch métricas publicadas relacionadas às falhas de autenticação e autorização do RBAC.
- AuthenticationFailures = Tentativas falhadas de autenticação no Valkey ou no Redis OSS
- KeyAuthorizationFailures = Tentativas fracassadas dos usuários de acessar as chaves sem permissão
- CommandAuthorizationFailures = Tentativas falhadas dos usuários de executar comandos sem permissão
[Recursos]:
- Métricas para o Valkey ou Redis OSS
[Ideal] É recomendável configurar alertas e notificações sobre essas métricas e responder conforme necessário.

[Recursos]:
- Usando CloudWatch alarmes da Amazon
[Ideal] Use o comando ACL LOG do Valkey ou Redis OSS para obter mais detalhes

[Recursos]:
- ACL LOG
[Melhor] Familiarize-se com os recursos de AWS produtos e serviços relacionados ao monitoramento, registro e análise de ElastiCache implantações e eventos

[Recursos]:

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Pilar Excelência operacional

Pilar Confiabilidade