Controles do Security Hub para o Amazon OpenSearch Service
Esses controles do AWS Security Hub CSPM avaliam o serviço e os recursos do Amazon OpenSearch Service (OpenSearch Service). Os controles podem não estar disponíveis em todas as Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.
[Opensearch.1] Os domínios do OpenSearch devem ter a criptografia em repouso habilitada
Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SI-7(6)
Categoria: Proteger > Proteção de dados > Criptografia de dados em repouso
Gravidade: média
Tipo de recurso: AWS::OpenSearch::Domain
AWS Config Regra: opensearch-encrypted-at-rest
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se os domínios do OpenSearch têm a configuração da criptografia em repouso habilitada. Ocorrerá uma falha na verificação se a criptografia em repouso não estiver habilitada.
Para obter uma camada de segurança adicional para dados confidenciais, configure seu domínio no OpenSearch Service para ser criptografado em repouso. Quando você configura a criptografia de dados em repouso, AWS KMS armazena e gerencia suas chaves de criptografia. Para executar a criptografia, o AWS KMS usa o algoritmo Advanced Encryption Standard com chaves de 256 bits (AES-256).
Para saber mais sobre a criptografia do OpenSearch Service em repouso, consulte Criptografia de dados em repouso para o Amazon OpenSearch Service no Guia do desenvolvedor do Amazon OpenSearch Service.
Correção
Para habilitar a criptografia em repouso para domínios novos e existentes do OpenSearch, consulte Habilitação da criptografia de dados em repouso no Guia do desenvolvedor do Amazon OpenSearch Service.
[Opensearch.2] Os domínios do OpenSearch não devem ser publicamente acessíveis
Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)
Categoria: Proteger > Configuração de rede segura > Recursos na VPC
Gravidade: crítica
Tipo de recurso: AWS::OpenSearch::Domain
AWS Config Regra: opensearch-in-vpc-only
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se os domínios do OpenSearch estão em uma VPC. Ele não avalia a configuração de roteamento da sub-rede da VPC para determinar a acessibilidade pública.
É necessário garantir que os domínios do OpenSearch não estejam anexados a sub-redes públicas. Consulte as Políticas baseadas em recursos no Guia do desenvolvedor do Amazon OpenSearch Service. Você também deve garantir que a VPC esteja configurada de acordo com as melhores práticas recomendadas. Para saber mais, consulte Grupos de segurança para a VPC no Guia do usuário do Amazon VPC.
Os domínios do OpenSearch implantados em uma VPC podem se comunicar com os recursos da VPC pela rede privada da AWS, sem a necessidade de atravessar a Internet pública. Essa configuração aumenta a postura de segurança ao limitar o acesso aos dados em trânsito. As VPCs fornecem vários controles de rede para proteger o acesso aos domínios do OpenSearch, incluindo ACL de rede e grupos de segurança. O Security Hub recomenda que você migre domínios públicos do OpenSearch para VPCs para aproveitar esses controles.
Correção
Se você criar um domínio com um endpoint público, não será possível colocá-lo em uma VPC posteriormente. Em vez disso, é necessário criar um novo domínio e migrar seus dados. O inverso também é verdadeiro. Se você criar um domínio com uma VPC, ele não poderá ter um endpoint público. Em vez disso, é necessário criar outro domínio ou desabilitar esse controle.
Para obter mais informações, consulte Como iniciar seus domínios do Amazon OpenSearch Service dentro de uma VPC no Guia do desenvolvedor do Amazon OpenSearch Service.
[Opensearch.3] Os domínios do OpenSearch devem criptografar os dados enviados entre os nós
Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2)
Categoria: Proteger > Proteção de dados > Criptografia de dados em trânsito
Gravidade: média
Tipo de recurso: AWS::OpenSearch::Domain
AWS Config Regra: opensearch-node-to-node-encryption-check
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se os domínios do OpenSearch têm a criptografia de nó a nó habilitada. Esse controle falhará se a criptografia de nó a nó for desabilitada no domínio.
O HTTPS (TLS) pode ser usado para ajudar a evitar que invasores espionem ou manipulem tráfego de rede usando ataques person-in-the-middle (intermediários) ou similares. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. Habilitar a criptografia de nó a nó para domínios do OpenSearch garante que as comunicações dentro do cluster sejam criptografadas em trânsito.
Pode haver uma penalidade de performance associada a essa configuração. É necessário estar ciente e testar a compensação de performance antes de habilitar essa opção.
Correção
Para habilitar a criptografia de nó para nó em um domínio do OpenSearch, consulte Enabling node-to-node encryption no Amazon OpenSearch Service Developer Guide.
[Opensearch.4] O registro em log de erros de domínio do OpenSearch no CloudWatch Logs deve estar ativado
Requisitos relacionados: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8)
Categoria: Identificar > Registro em log
Gravidade: média
Tipo de recurso: AWS::OpenSearch::Domain
AWS Config Regra: opensearch-logs-to-cloudwatch
Tipo de programação: acionado por alterações
Parâmetros:
logtype = 'error'(não personalizável)
Esse controle verifica se os domínios do OpenSearch estão configurados para enviar logs de erros para o CloudWatch Logs. Esse controle falhará se o registro em log de erros no CloudWatch não estiver habilitado para um domínio.
É necessário ativar os registros de erros para os domínios do OpenSearch e enviá-los ao CloudWatch Logs para retenção e resposta. Os logs de erros do domínio podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.
Correção
Para obter informações sobre como publicação de logs, consulte Habilitar publicação de logs (console) no Guia do desenvolvedor do Amazon OpenSearch Service.
[Opensearch.5] Os domínios do OpenSearch devem ter o registro em log de auditoria ativado
Requisitos relacionados: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), PCI DSS v4.0.1/10.2.1
Categoria: Identificar > Registro em log
Gravidade: média
Tipo de recurso: AWS::OpenSearch::Domain
AWS Config Regra: opensearch-audit-logging-enabled
Tipo de programação: acionado por alterações
Parâmetros:
cloudWatchLogsLogGroupArnList(não personalizável): o Security Hub não preenche esse parâmetro. Lista separada por vírgulas dos grupos de logs do CloudWatch Logs que devem ser configurados para logs de auditoria.
Esse controle verifica se os domínios do OpenSearch têm o registro em log de auditoria ativado. Esse controle falhará se um domínio do OpenSearch não tiver o registro em log de auditoria ativado.
Os registros em log de auditoria são altamente personalizáveis. Permitem rastrear a atividade do usuário em seus clusters do OpenSearch, incluindo falhas e êxitos na autenticação, solicitações para OpenSearch, alterações em índices e consultas de pesquisa recebidas.
Correção
Para obter instruções detalhadas sobre como habilitar logs de auditoria, consulte Habilitar logs de auditoria no Guia do desenvolvedor do Amazon OpenSearch Service.
[Opensearch.6] Os domínios do OpenSearch devem ter pelo menos três nós de dados
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)
Categoria: Recuperação > Resiliência > Alta disponibilidade
Gravidade: média
Tipo de recurso: AWS::OpenSearch::Domain
AWS Config Regra: opensearch-data-node-fault-tolerance
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se os domínios do OpenSearch estão configurados com pelo menos três nós de dados e zoneAwarenessEnabled é true. Esse controle falhará para um domínio do OpenSearch se instanceCount for menor que 3 ou zoneAwarenessEnabled for false.
Para alcançar alta disponibilidade e tolerância a falhas em nível de cluster, um domínio do OpenSearch deve ter pelo menos três nós de dados. A implantação de um domínio do OpenSearch com pelo menos três nós de dados garante as operações do cluster se um nó falhar.
Correção
Para modificar o número de nós dedicados em um domínio do OpenSearch
Faça login no console AWS abra o console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/
. Em Meus domínios, escolha o nome do domínio a ser editado e escolha Editar.
Em Nós de dados, defina Número de nós como um número maior que
3. Se estiver fazendo implantações em três zonas de disponibilidade, defina um múltiplo de três para garantir uma distribuição igual entre as zonas de disponibilidade.Selecione Enviar.
[Opensearch.7] Os domínios do OpenSearch devem ter um controle de acesso refinado habilitado
Requisitos relacionados: NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
Categoria: Proteger > Gerenciamento de acesso seguro > Ações confidenciais de API restritas
Gravidade: alta
Tipo de recurso: AWS::OpenSearch::Domain
AWS Config Regra: opensearch-access-control-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se os domínios do OpenSearch têm um controle de acesso refinado ativado. O controle falhará se o controle de acesso refinado não estiver habilitado. O controle de acesso refinado exige que advanced-security-options no parâmetro update-domain-config OpenSearch seja ativado.
O controle de acesso refinado oferece formas adicionais de controlar o acesso aos seus dados no Amazon OpenSearch Service.
Correção
Para habilitar um controle de acesso refinado, consulte Controle de acesso refinado no Amazon OpenSearch Service no Guia do desenvolvedor do Amazon OpenSearch Service.
[Opensearch.8] As conexões com os domínios do OpenSearch devem ser criptografadas com a política de segurança TLS mais recente
Requisitos relacionados: NIST.800-53.r5 AC-17(2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5(1), NIST.800-53.r5 SC-12(3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SI-7(6)
Categoria: Proteger > Proteção de dados > Criptografia de dados em trânsito
Gravidade: média
Tipo de recurso: AWS::OpenSearch::Domain
AWS Config Regra: opensearch-https-required
Tipo de programação: acionado por alterações
Parâmetros:
tlsPolicies: Policy-Min-TLS-1-2-PFS-2023-10(não personalizável)
Isso controla se um endpoint de domínio do Amazon OpenSearch Service está configurado para usar a política de segurança do TLS mais recente. O controle falhará se o endpoint do domínio do OpenSearch não for configurado para usar a política mais recente compatível ou se o HTTPs não estiver habilitado.
O HTTPS (TLS) pode ser usado para ajudar a evitar que invasores espionem ou manipulem tráfego de rede usando ataques person-in-the-middle (intermediários) ou similares. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. A criptografia de dados em trânsito pode afetar a performance. É necessário testar sua aplicação com esse atributo para entender o perfil de performance e o impacto do TLS. O TLS 1.2 fornece vários aprimoramentos de segurança em relação às versões anteriores do TLS.
Correção
Para ativar a criptografia TLS, use a operação da API UpdateDomainConfig. Configure o campo DomainEndpointOptions para especificar o valor de TLSSecurityPolicy. Para obter mais informações, consulte Criptografia de nó a nó no Guia do desenvolvedor do Amazon OpenSearch Service.
[Opensearch.9] Os domínios do OpenSearch devem ser marcados
Categoria: Identificar > Inventário > Marcação
Gravidade: baixa
Tipo de recurso: AWS::OpenSearch::Domain
Regra AWS Config: tagged-opensearch-domain (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parameter | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos requisitos da AWS. |
No default value
|
Esse controle verifica se um domínio do Amazon OpenSearch Service tem tags com chaves específicas definidas no parâmetro requiredTagKeys. O controle falhará se o domínio não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o domínio não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.
Uma tag é um rótulo que você atribui a um recurso da AWS e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. É possível anexar tags a entidades do IAM (usuários ou perfis) e a recursos da AWS. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte O que é ABAC para AWS? no Guia do usuário do IAM.
nota
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, incluindo o AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte Tagging your AWS resources na Referência geral da AWS.
Correção
Para adicionar tags a um domínio do OpenSearch Service, consulte Working with tags no Amazon OpenSearch Service Developer Guide.
[Opensearch.10] Os domínios do OpenSearch devem ter a atualização de software mais recente instalada
Requisitos relacionados: NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), PCI DSS v4.0.1/6.3.3
Categoria: Identificar > Gerenciamento de vulnerabilidades, patches e versões
Gravidade: baixa
Tipo de recurso: AWS::OpenSearch::Domain
AWS Config Regra: opensearch-update-check
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um domínio do Amazon OpenSearch Service tem a atualização de software mais recente instalada. O controle falhará se uma atualização de software estiver disponível, mas não instalada para o domínio.
As atualizações de software do OpenSearch Service fornecem as correções, atualizações e recursos mais recentes da plataforma disponíveis para o ambiente. Manter-se atualizado com a instalação do patch ajuda a manter a segurança e a disponibilidade do domínio. Se você não tomar nenhuma ação sobre as atualizações necessárias, o software do serviço será atualizado automaticamente (normalmente após duas semanas). Recomendamos programar atualizações durante um período de pouco tráfego para o domínio para minimizar a interrupção do serviço.
Correção
Para instalar atualizações de software para um domínio do OpenSearch, consulte Início de uma atualização no Guia do desenvolvedor do Amazon OpenSearch Service.
[Opensearch.11] Os domínios do OpenSearch devem ter pelo menos três nós primários dedicados
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-36, NIST.800-53.r5 SI-13
Categoria: Recuperação > Resiliência > Alta disponibilidade
Gravidade: baixa
Tipo de recurso: AWS::OpenSearch::Domain
AWS Config Regra: opensearch-primary-node-fault-tolerance
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se os domínios do Amazon OpenSearch Service estão configurados com pelo menos três nós primários dedicados. O controle falhará se o domínio tiver menos de três nós primários dedicados.
O OpenSearch Service usa nós primários dedicados para aumentar a estabilidade do cluster. Um nó primário dedicado realiza tarefas de gerenciamento de cluster, mas não retem dados nem responde a solicitações de upload de dados. Recomendados usar multi-AZ com modo de espera, que adiciona três nós primários dedicados a cada domínio de produção do OpenSearch.
Correção
Para alterar o número de nós primários de um domínio do OpenSearch Service, consulte Creating and managing Amazon OpenSearch Service domains no Amazon OpenSearch Service Developer Guide.
